AI驱动安全体系与产业演进

6月6日，奇安信集团总裁吴云坤出席2024全球数字经济大会数字安全高层论坛暨北京网络安全大会(BCS2024)数字产业创新峰会，并发表题为《AI驱动安全体系和产业演进》的主题演讲，对AI到底能为网络安全带来什么，AI是否可以解决网络安全所有问题，以及网络安全产业因AI会发生怎样的变化，进行了深度诠释。

现发表主题演讲全文如下。

在每一次重大技术变革中，我们都需要思考一个问题，当产业的需求侧发生变化的时候，供给侧该如何发展。

以ChatGPT为代表的生成式AI掀起了新一轮技术变革，来自信通院的数据显示，2023年我国人工智能核心产业规模达5784亿元，增速13.9%；全年全国研发经费投入超过3.3万亿元，比上一年增长8.1%，生成式AI的企业采用率已达15%，各行各业都对以生成式AI为代表的人工智能技术寄予厚望，网络安全行业也不例外，网络安全行业在发展AI过程中，需要回答三个问题：

一是AI到底能为网络安全带来什么？

二是AI可以解决网络安全所有问题吗？

三是网络安全产业因AI会发生怎样的变化？

加速攻防对抗中OODA闭环是AI驱动安全的目标

AI到底能为网络安全带来什么？当前AI赋能网络安全的主要目标是提升安全能力和工作效率，此外还希望解决安全人力资源短缺问题，利用AI覆盖以前因为能力不够、人手不足做不了的安全工作，主要有以下四个应用场景。

一是威胁发现场景。将基于安全大模型的AI与高级威胁监测系统结合进行威胁分析研判，分析能力和分析效率要远远高于安全专家，奇安信的实践表明，1个安全大模型每分钟可以处理2条告警，相当于50-60个安全人员的处理能力，可以解析各种网络攻击类型和技术细节，包括攻击方式、漏洞利用和恶意代码等，有助于识别攻击者的方法和策略。AI的加入提升了人为判断的准确度，从海量噪声中快速、准确地洞察、发现和判定真正的威胁。

二是样本判定场景。比如传统引擎面对未知病毒、变种病毒往往无法检出，需要安全专家人工分析样本提取特征码，升级病毒库，存在周期长、响应不及时、成本高以及升级失败等问题。奇安信利用人工智能病毒引擎QDE对132万多个样本的检测结果显示，QDE的检出率为97.9%，比传统病毒引擎高出4.13%，误报率仅0.009%，远低于传统引擎误报率0.04%，最为重要的是，相较于传统引擎，QDE整个检出过程无需人的参与。AI增强了样本识别和判断准确度，提高识别效率，通过AI技术可以快速准确的判定真正的恶意样本。

三是安全运营场景。让基于大模型的AI学会人类专家分析研判告警的方法，能够根据告警内包含的信息自主规划、拆解成系列子任务，再通过智能体调用各类专用工具完成完整的研判任务链，得到像人类专家一样的精准研判结果，大幅提升了安全运营效率和能力。AI替代人分析多元数据和情报，提高事件研判与处置效率，解放安全专家，大幅度提升运营效率。

四是知识工程支撑攻防实战场景。AI能够汇聚来自人和设备的数据、能力、经验和场景形成知识沉淀，与大模型的学习、分析和推理能力充分结合，形成对齐甚至超越安全专家的能力。比如将实网攻防演练的实践经验以及多种防御场景下的运营实践归档，萃取并形成知识沉淀，赋能提升作战能力和效率。

以上四个场景是AI赋能安全众多场景中的一部分，从中也可以看到网络安全基于AI创新的本质和目标。

OODA循环是现代战争中一套非常重要的作战理论，基本观点是作战双方较量谁能更快更好地完成“观察—判断—决策—行动”的循环，从观察到行动的闭环时间越短，作战效率越高。

网络空间也有一个IACD集成自适应网络安全防护框架，把OODA循环引入到了网络空间，将物理世界中传统的控制和决策方法，转换适用于网络空间，通过加速实施OODA循环，提升对抗威胁的能力和效率。

AI在上述四个场景中实现能力和效率提升，核心问题是解决了IACD的OODA闭环中效率低下的问题，有效加速建立OODA闭环，提升了威胁对抗的能力和效率。

在观察（检测）阶段，用AI来代替人做威胁检测和情报加工，提高检测能力。

在判断（分析）阶段，用AI做研判分析，找到确定的威胁，提高分析能力和效率，弥补网络安全中高级分析人员短缺问题。

在决策（研判指挥）阶段，发挥生成式AI优势，综合各种情报、上下文和资产信息快速评估风险，进行决策，提升决策效率。

在行动（响应处置）阶段，用生成式AI理解安全设备的API，根据决策结果进行自动化编程，生成响应策略，大大减少人的工作率，提升效率。

网络空间对抗其实也是OODA的博弈对抗，是攻防双方比拼谁能够更快速实现OODA闭环，所以网络安全领域的创新核心不是单点技术的提升，而是使用新技术让网络空间的OODA（“检测-分析-研判指挥-响应处置”）循环闭环不断加速，获得与威胁作战的优势，这也是AI赋能安全，解决网络安全各种问题的核心和本质逻辑。

奇安信集团总裁吴云坤

基于内生安全思想的安全体系是AI驱动安全的基础

AI能解决所有安全问题吗？网络安全领域一直有一个观点，网络安全没有银弹技术，从最早的老三样到后来的威胁情报、态势感知、零信任，解决的都是单点技术问题，都不是银弹技术，无法解决网络安全所有问题，AI同样也不是银弹技术。

AI加速建立OODA循环是目标，但基础是体系。我们之前的网络安全产业PK的是单一产品的性能、功能和指标，但不能形成很好的OODA闭环，不仅安全产品之间没有形成一个闭环体系，更重要的是安全跟信息化系统环境完全无关，安全设备、安全软件没有内生嵌入到OA、生产等信息化和业务系统，没有有效的对话方式形成体系。单点技术做得再深，如果没有体系的建立，也无法加速OODA闭环，也就无法形成与威胁攻防对抗的优势。

体系不是一个简单的单体系统凑在一起，而是基于客户环境、客户场景和客户需求及目标，通过基于系统工程的思维设计出来的。

比如网络资产攻击面管理，需要将IT基础设置、终端安全、主机安全、资产测绘、安全运营等多个子系统，基于场景和环境，通过数据闭环、运营闭环，使得不同软硬件系统和流程进行交互，才能形成OODA闭环，实现资产掌控能力。

能够支撑加速建立OODA闭环的网络安全体系有三个特点：

一是系统互联。分布于不同场景的所有系统、所有设备通过可互操作的规范、可以互通的IOC情报互联互通形成体系，成为建立OODA循环的底座。

二是数据驱动。体系中无论是系统互联、设备互联，数据是基础和关键，数据要在相互联通的设备和系统中自由流动，同时将所有设备和系统中的数据会聚，支撑形成决策和处置策略，下发到相应的设备和系统执行处置动作，形成威胁处置闭环。在整个过程中，数据中台的角色非常关键，它需要提供丰富的接口，可以无缝集成进入原有企业网络中，与所有安全产品实现协同联动；其次需要具有数据会聚和处理能力，为整体体系提供数据支撑；同时还要具有开放的扩展能力,使得能力更为丰富，应用更为快捷。

三是人装结合。在体系中，人是设备的使用者和运营者，是数据源，也能改变数据，人必须在OODA闭环中，这就是安全运营的概念，部署的安全设备，建设的安全系统只有有效运营起来，才能形成体系，真正将安全能力输出，在安全运营体系中，将人、数据、工具和流程进行结合，统运全局，让安全能力“活”起来，在遭到威胁和攻击时，及时进行预警和响应，完成安全事件的闭环处置。

所以体系不单是技术问题，体系的建立要用系统工程思维将技术、管理和运行融合。

网络安全是一个复杂系统，需要用系统工程的方法，通过全局性、系统性、体系化的规划建设和运行，将多种异构设备形成的技术体系、人与设备连接的运行体系还有管理体系融合在一起，形成一个体系。

系统工程思维就是专注于整体系统设计和应用，而不是各个部分。从问题的整体性来审视，将问题的所有方面和变量都考虑在内，梳理其相互依赖关系，并达到“涌现”的效果。网络安全需要以获得组织所需要的“能力”为目标，重点关注“巨系统、构成系统”的完整性、联系性、协同性，将安全架构与业务架构、技术架构、应用架构和数据架构充分融合，以输出整体能力。

2018年，奇安信提出了“内生安全”，用基于系统工程思维的体系化方法，把安全能力内置到数字换环境和业务系统中，感知、响应对业务系统和数据的任何破坏行为，真正做到体系化的“事前防控”，达到1+1>2的“涌现”效果。实现内生安全需要安全技术与信息化和业务融合内生，安全能力与信息化环境和业务系统深度融合、全面覆盖，以能力为导向输出覆盖全局的体系化、实战化、组件化的安全能力，构建出动态综合的安全防御体系。

北京冬奥会的安全保障就是体系建设和运行的成功实践。在奥运历史上首次全局性、系统性采用内生安全方法开展网络安全规划建设和运行，运用系统工程思维统筹管理、技术和运行整体。同时还拉通了冬奥防御体系与监管机构的网空对抗体系，让冬奥会的威胁对抗真正形成了闭环，抵御住了超过3.8亿次的攻击，跟踪、研判、处置了涉奥关键网络安全事件105起，确保了整个冬奥会的网络安全“零事故”。

从系统工程角度看体系，技术、管理和运营是体系的不同的子系统，只有融合在一起才能真正形成体系。需求侧的甲方客户很早就开始用EA方法论规划建设信息化系统，但供给侧的安全厂商由于长期受单品思维影响，在体系化方面落后于需求侧的发展，在基于AI的创新中，需要尽快摒弃单品或单点技术思维，加快补齐体系化的短板。

立足体系化是AI驱动网络安全产业演进的方向

AI已经成为全球网络安全领域创新热点, AI驱动安全也是安全领域的重要重新方向之一。在刚刚结束的RSAC2024上推出的新产品中60%与AI相关，创新沙盒十强有7家是AI方向，冠军Reality Defender就是利用多模型方法来检测深度伪造内容。今年BCS安全创客汇进入40强的参赛创业企业中，也有5家是AI赛道的。从RSAC创新沙盒和BCS安全创客汇看，目前网络安全在AI方向上的创新，绝大多数还是聚焦在用AI解决单点安全问题。

而反观PaloAlto、CrowdStrick等高速发展的综合性安全厂商，过去几年中，一直在向平台化方向发展，基于平台化提供体系，通过自研、并购或者构建生态，来填补体系中的薄弱点，从单品提供商发展成为体系供应商。他们在AI创新方面，也是将AI技术赋能产品和技术，基于体系加速威胁对抗闭环。比如PaloAlto推出了基于AI驱动的集成SOC平台XSIAM，统⼀了EDR、XDR、SOAR、ASM、UEBA、TIP和SIEM等模块，将威胁检测、事件管理、威胁情报、自动化、攻击面管理等将多个产品整合到⼀个集成平台中，事件响应响应速度从2-3天缩短到小时甚至分钟级。

近年来，网络安全行业在持续出台标准和规范，推动安全厂商和设备互操作，形成体系，比如国外的架构驱动的可度量安全MSM，还是有国内即将出台的《信息安全技术网络安全产品互联互通框架》等系列标准。

基于体系的AI创新是网络安全领域的必由之路，国内安全厂商在发展AI过程中需要从以下几个方面出发。

一是基于AI的创新在网络安全行业由来已久，须紧扣加速网络空间OODA循环闭环寻找方向。

二是基于内生安全思想建设和运行安全体系，才能让单点技术通过体系在对抗威胁闭环中发挥最大效能。

三是国内安全厂商多以单品研发为主，需要加强在体系建设方面的资源投入和产业协作。

四是安全厂商科研组织、产品组织和客户组织变革是拥抱AI走向体系化发展的必由之路。

奇安信希望基于多年发展积累的数据、知识和技术资源，从甲方视角构建安全体系，连接更多的技术创新公司，共同进行基于AI的创新。

声明：本文来自虎符智库，版权归作者所有。文章内容仅代表作者独立观点，不代表士冗科技立场，转载目的在于传递更多信息。如有侵权，请联系 service@expshell.com。