【CISO】专栏
1.网络安全行业25年的发展历程
一个有趣的悖论:虽然互联网从一个相对"亲密"的环境(早期参与者较少,彼此熟识)发展到今天的庞大规模,但网络安全的基本问题却惊人地保持不变。最关键的变化不是威胁的类型(如缓冲区溢出、跨站脚本等漏洞仍然存在),而是攻击的规模、频率和严重程度,以及实施攻击者的专业程度都显著提升。
需要特别强调的是,行业长期以来一直在采用"创可贴"式的解决方案,即在问题出现后进行修补,而不是从根本上解决这些持续存在的安全弱点。这种情况既是一个挑战,也创造了机会 - 特别是在AI技术出现的背景下,可能终于有机会从根本上重新思考和解决这些长期存在的安全问题,而不是继续采用临时修补的方法。
2.网络安全意识和态度在过去十多年间的显著演变
从2010年开始,每隔几年就会发生重大的安全事件(如Google和RSA的数据泄露),这些事件曾经都是轰动性新闻,但现在类似事件却变得如此普遍,以至于人们对此麻木。这种变化反映出一个矛盾的现象:一方面,网络安全意识已经大幅提高,企业(尤其是像Google这样的科技公司)和政府都更加重视这个问题;但另一方面,安全事件的频繁发生却使其"标准化"了,不再引起人们的特别关注。同时,企业在应对网络安全挑战时面临的实际困境:它们需要在快速发展业务、推动创新和管理技术债务之间找到平衡,而这种平衡因行业(如医院和银行)的不同而异,且往往受到资源限制的约束。这反映出网络安全不仅是技术问题,更是一个需要考虑业务现实和资源约束的复杂管理挑战。
启示:
1. 高层重视的关键性:
- 网络安全需要自上而下的支持和推动。高层领导的参与不仅能确保资源投入,更能形成全公司范围内的安全文化。
- 领导层的积极参与表明他们将网络安全视为战略优先级,而不仅仅是技术部门的问题。
- 技术团队可能会倾向于谨慎和渐进式的变革,担心快速变化带来的风险。
- 但有时候,商业环境和威胁形势的变化要求更快的响应速度。
- 领导层从战略高度可能看到了更紧迫的需求,因此会推动更快的变革节奏。
2. 安全意识的演进:
- 反映出网络安全已经从一个纯技术问题演变为业务战略的核心组成部分。
- 高层领导需要具备足够的安全意识,才能做出前瞻性的决策。
3. 平衡的艺术:
- 即使是在Google那样的科技巨头,技术团队和领导层之间也存在着对变革速度的不同理解。
- 找到推进速度和稳妥性之间的平衡点是一个持续的挑战。
在当今的数字时代,网络安全必须是一个由领导层主导的战略议题,而不仅仅是技术团队的责任。有时候,正确的决策可能来自于领导层的前瞻性视野,即使技术团队可能觉得节奏太快。这种"良性压力"可以推动组织在安全能力上的持续提升。
3.政府在网络安全意识和治理方面的重要作用
十年前高管们往往将网络安全威胁视为一个理论性的、远离现实的问题。而像CISA(美国网络安全和基础设施安全局)的建立和其领导层的工作,成功地改变了这种认知。通过政府高层直接传达网络安全威胁的紧迫性和普遍性,CISA帮助企业高管认识到这不再是一个可以忽视的理论问题,而是一个正在发生的、规模巨大的实际威胁。更重要的是,CISA通过推动"安全设计"等具体倡议,为企业提供了实际的行动指南,这不仅帮助了企业建立更好的安全实践,也为一线网络安全从业者提供了与管理层沟通的有力支持,使网络安全真正成为企业优先考虑的事项之一。这体现了从认知到行动的完整转变过程。
4.当前AI技术发展与实际应用之间存在认知差距
虽然AI(特别是大语言模型)在技术圈内引起巨大轰动,但普通大众的实际体验与技术专家的认知有很大差异。类比计算器的发展历程,说明真正有价值的AI应用不是独立的聊天机器人,而是将被无缝集成到日常工作流程中的辅助工具。就像今天我们使用计算器时几乎意识不到它的存在一样,未来的AI也会以这种"无形但无处不在"的方式融入生活,比如在医疗诊断、文档处理等领域默默发挥作用。这种观点既打破了对AI的过度炒作,也指出了AI真正的发展方向——它将成为像电力一样的基础设施,而不是独立的、引人注目的工具。
5.当前AI在网络安全领域的关键竞争态势
人工智能目前处于一个"着迷期",一个重要的对比是:虽然防御者受到法律法规的约束,但攻击者可以不受限制地利用AI技术。攻击者已经开始将AI应用于深度伪造、社会工程、钓鱼邮件等攻击手段,使其更具效率和说服力。整个网络安全的竞争最终会简化为一场"速度赛跑"——谁能更快地发现和修复软件漏洞,谁就能在这场竞争中占据优势。这也是AI在网络安全中的核心应用场景,突出了防御方面临的紧迫挑战:如何在受到规则约束的情况下,依然能够跟上或超越攻击者的步伐。
6.AI在网络安全领域发展
我们认为技术本身的开发并不是最大的挑战,真正需要时间的是整个生态系统的适应过程。具体来说,企业需要调整其业务流程,监管机构需要建立适当的审计框架,而安全从业者则需要建立对这些自动化系统的信任。我们可以通过一个理想的未来场景来说明这一点:系统能够自动检测漏洞、实时应用修补程序,并无缝集成供应商的更新。这种自动化的安全响应机制虽然在技术上可以较快实现,但要让它在企业环境中成为标准做法,需要整个行业在文化、流程和信任方面经历一个渐进的转变过程。这体现了技术变革中一个普遍的现象:技术的发展往往比人们和组织对它的接受和适应要快得多。
7.AI在安全运营中的关键应用场景
7.1.利用AI进行数据汇总和自动化分析
传统上,安全运营中心的分析师需要手动处理和关联来自不同系统的大量数据,这是一项耗时且容易造成信息疲劳的工作。但通过引入AI辅助工具,系统可以自动将分散的数据点整合成简明的摘要(例如"Alice访问可疑网站并下载了恶意软件"),让分析师能够快速理解情况的本质并做出判断。这种自动化的数据汇总不仅提高了工作效率,也降低了分析师的认知负担,使他们能够将更多精力放在需要深入分析和判断的任务上。这是AI在网络安全领域最容易实现且效益显著的应用之一,代表了安全运营向智能化、自动化方向发展的趋势。
7.2.安全运营中告警处理的一个常见场景和痛点
具体来说,安全分析师在处理告警后需要撰写跟进报告,记录与相关人员的沟通和调查结果。这项工作有两个主要挑战:首先,编写详细的事件报告是一项繁琐且不受欢迎的任务;其次,这些报告需要足够准确和详细,因为它们将被用于未来类似事件的参考比对,或者在最初判断出错时作为回溯分析的依据。这正是AI可以提供帮助的领域之一,通过自动化和标准化报告编写过程,不仅可以减轻分析师的工作负担,还能确保报告的一致性和可用性。
7.3.AI在企业安全运营中的实际应用前景
AI助手可以承担大量繁琐但必要的任务,如处理帮助台工单、进行配置审查和生成等工作。通过在众多工作环节中"安静地"植入AI助手,可以显著提升工作效率,减轻安全团队的日常负担。更重要的是,这种改变不仅仅是效率的提升,还可能从根本上改善网络安全人才的工作体验,有助于人才保留,简化新人培训流程,从而缓解整个行业面临的人才短缺问题。这反映了AI在网络安全领域的应用正在从单点突破走向全面融入日常运营的趋势。
8.AI代理在网络安全领域的应用原则和边界
通过将AI代理比作传统软件开发中的模块化功能可以揭示其本质,虽然AI代理具有强大的潜力,但我们应该对其进行明确的角色限定和范围控制,AI代理应该像一个专注于特定任务的员工一样,有明确的职责边界和可衡量的表现标准,而不是一个无限制的全能系统。
比如,如果我的代理不仅可以查询VirusTotal,而且实际上可以下载Metasploit并利用漏洞攻击另一个系统,你可以不断继续下去,然后对此感到非常害怕。
9.AI代理在网络攻击中的重要悖论
虽然AI代理可能具有强大的攻击能力,但对攻击者来说反而可能成为一把双刃剑。自动化攻击工具可能失控的风险(如SQL Slammer和Conficker蠕虫)。对于国家级攻击者来说的核心问题:AI代理可能缺乏对战略目标、行动界限和行动安全(OPSEC)的深入理解,这可能导致行动失控或暴露。这种情况类似于自主武器系统带来的指挥控制挑战。因此,尽管AI代理提供了强大的攻击潜力,但在实际应用中,特别是在需要精确控制和战略考虑的高级攻击场景中,其使用可能会受到严格限制,需要经过深思熟虑的规划和实验才能有效运用。
推荐阅读
闲谈
威胁情报
1.威胁情报 - 最危险的网络安全工作
2.威胁情报专栏 | 威胁情报这十年(前传)
3.网络威胁情报的未来
4.情报内生?| 利用威胁情报平台落地网空杀伤链的七种方法
5.威胁情报专栏 | 特别策划 - 网空杀伤链
6.以色列情报机构是如何远程引爆黎巴嫩传呼机的?
7.对抗零日漏洞的十年(2014~2024)
8.零日漏洞市场现状(2024)
APT
入侵分析与红队攻防
天御智库