RSAC2023解讀第6期 | 安全運營的困境和破局之道

RSAC是全球最具影響力的信息安全大會之一，2023年的RSAC會議中，安全運營依然是熱門話題之一。隨著企業(yè)數(shù)字化轉型的加速和云化的快速發(fā)展，企業(yè)面臨的網(wǎng)絡安全風險有增無減，那么企業(yè)的安全運營現(xiàn)狀如何？面臨哪些困境？在本次大會中又有什么解決方案呢？讓我們跟隨各位演講專家的視角一起看一下。

(ISC)2的報告顯示，全球網(wǎng)絡安全人員的缺口為340萬。據(jù)教育部最新公布的數(shù)據(jù)顯示，到2027年，我國網(wǎng)絡安全人員缺口將達327萬，而國內高校的人才培養(yǎng)規(guī)模約為3萬/年。“網(wǎng)絡安全的本質在對抗，對抗的本質在攻防兩端能力較量”，而人與人的對抗占據(jù)了重要方面。網(wǎng)絡威脅的激增和人才的缺乏，導致運營人員長期處于滿負荷的工作狀態(tài)，缺乏持續(xù)的培訓和成長，每天面臨著繁重復雜的工作。Trellix的CEO布萊恩·帕爾馬在對德國某制造業(yè)公司的CISO調研后，如此評論道：“老實說，我們很難與他的SOC團隊中的任何人交談，這項工作的要求如此之高，分析師甚至無法將目光從他們的屏幕上移開哪怕一秒鐘?！?/span>

我們還看到了其他挑戰(zhàn)，如威脅的平均檢測和響應時間居高不下；高危漏洞持續(xù)爆發(fā)，攻擊者對漏洞的武器化時間越來越短；伴隨著生成式AI的利用，攻擊者在持續(xù)升級自己的武器，而大部分企業(yè)對新技術的應用是落后于攻擊者的。

毫無疑問，由ChatGPT引爆的AI浪潮讓安全專家們看到了安全運營的破局思路。微軟在今年3月份搶先發(fā)布基于GPT4的Security Copilot，谷歌在RSAC2023推出了基于安全LLM Sec-PaLM的Google Cloud Security AI Workbench，還有其他企業(yè)也發(fā)布了類似的AI模型，或者探索將生成式AI應用到網(wǎng)絡安全的思路和前景。在談到如何利用AI解決運營難題時，大家一致認可在泛化模型基礎上，結合安全數(shù)據(jù)、威脅信息和經(jīng)驗等，形成適用于網(wǎng)絡安全的專用模型，并著重強調了用戶交互和使用體驗要更加自然。

雖然目前生成式AI還無法達成我們的訴求，但可以想象，在生成式AI助力下，運營的自動化能夠更好更快地實現(xiàn)，安全專家們從繁瑣的告警中解脫出來，專注于更高價值的威脅分析和調查，并對AI模型進行調優(yōu)。這同時也會降低行業(yè)門檻，普通分析師根據(jù)AI的自然語言提示來完成工作，最后再由AI生成一份威脅分析報告。

XDR（Extended Detection and Response，擴展檢測和響應）是一種相對新興的技術，2018年由Palo Alto Networks提出，可以為安全運營團隊提供改進的威脅預防、檢測和響應能力。根據(jù)Gartner發(fā)布的2022安全運營技術成熟度曲線，XDR處在Peak of Inflated Expectations（期望膨脹期）的頂端。一直以來，業(yè)界對于XDR技術褒貶不一，本文不做討論，SIEM（Security Information and Event Management，安全信息與事件管理）等作對比，我們專注于該技術對安全運營帶來的改變。XDR采集和整合跨電子郵件、Web應用、終端、網(wǎng)絡和云端等高保真數(shù)據(jù)，提供所有數(shù)據(jù)的可見性，通過分析和自動化技術實現(xiàn)對威脅接近實時的檢測和響應。XDR不是單一的產品，而是一個可以擴展的平臺，提供給企業(yè)一個統(tǒng)一的視角來應對日益復雜的網(wǎng)絡威脅。借助XDR，企業(yè)可以更好落地AI算法，達成網(wǎng)絡安全建設目標。

正如本次RSAC2023的主題——“Stronger Together”，合作、共強讓我們可以共享信息，領先攻擊者。在網(wǎng)絡威脅日益頻繁的今天，數(shù)據(jù)泄露、供應鏈攻擊、地緣政治導致的黑客攻擊、APT攻擊等犯罪活動對企業(yè)造成嚴重危害，我們更應該加強合作，為企業(yè)提供簡單、易用、高效的安全解決方案，切實保護企業(yè)的業(yè)務、資產、數(shù)據(jù)安全。