腾讯央国企行业安全资深架构师 王倜 在本次大会上分享的主题为“大模型技术下安全运营领域的应用探讨和实践分享”。以下是现场速记。
腾讯央国企行业安全资深架构师 王倜
王倜:各位领导、各位来宾,大家上午好!我是腾讯安全架构师王倜,今天很高兴有机会为大家介绍腾讯安全。我今天汇报的主题是大模型技术下安全运营领域的应用探讨和实践应用。
这几年来AI大模型技术发展的非常火热,可以说大模型的智能涌现为我们各行各业都带来了一些全新的机遇,与此同时AI大模型也给我们的企业安全带来了新的一些安全风险和新的安全挑战。这里有一组数据,在过去的一年黑客攻击者通过自动生成的社工攻击,让社会工程攻击量增加了135%,ChatGDP发布会,钓鱼电子邮件的平均语言复杂度提升17%,数量增加2.6倍。腾讯安全认为AI大模型即将为AI领域开启新一轮的攻强守弱。黑客可以更加的容易通过以更低的门槛和更低的成本来去生产大量的更多、更密集的攻击。相对而言,我们的企业反守方来说就需要去对我们的防护体系进行相应的升级,去升级成更加精准的检测的能力和更加高效的响应的能力。
在新的一轮的技术实践周期,要落地的周期中必定要经过包括了成本、效率具体落地的周期。这个周期对于我们企业来说,必然是非常具有挑战和严峻的周期。
具体而言,进入智能化时代之后,我们企业将面临四大安全新的挑战和风险。
第一个反应窗口期缩短。
过去黑客攻击可能是以天以周为单位来进行攻击的频率。随着AI的智能化自动化生成新技术的涌入,我们现在面临黑客攻击将以小时甚至以分钟的频率。所以过去回合制的攻防进入随时的战争。
第二个是防御半径增加。
这一块主要是随着企业业务的发展将有更多的资产,更多的数据会暴露在互联网上。这些资产可能也是我们过去传统的安全检测手段,往往会忽略的暴露面。比如说像小程序、公众号,传统的解决手段往往是对这些资产是忽略掉的。这些暴露面增加了,我们的风险也会增加。
第三个是情报库失效。
通过AI可以随时随地的产生各种新的行为和样本,我们传统的基于规则的安全策略将会逐渐失效。
第四个是区分人和机器难度增大。
同样也是一样,黑客会利用AI提升用户模拟真实行为效率的技术,所以会让我们企业安全变得更加难以去辨别。
针对这样的风险,这样的安全趋势。腾讯安全运营实践之路也很简单就是持续的进化,不断的进化,让安全回归到本质。安全的本质实际就是攻防,就是去提升攻防检测检出的精准度,去提升安全攻防的响应效率。
从三个维度进行进化:
第一.从最基础的安全原则能力:防、检、抓去进行技能的进化。比如从过去的以串接式安全防护架构进化称以旁路阻断全新的安全防护架构,通过旁路的阻断架构可以提升我们安全防护第一是范围,第二是它检测防护的效率。
第二.从整个安全运营方面,要从智能去进行进化,进化它的智力。这一块是从过去以本地模型为主的安全运营的思路,要进化成以云端的全球的威胁情报为主的安全思路,同时结合我们提到的防检抓的能力去进行整体安全实践的闭环联动。
第三.在底层算力这一块,我们要进化底层的算力,对算力进行进化,去大幅的提升安全数据从存储到分析到使用到检索的工作效率。
首先在防守这一块,通过旁路阻断系统。这些系统也都是腾讯自研,在腾讯20多年来我们自身互联网应用安全运营经验和能力的总结和输出。通过旁路阻断系统同时通过API进行安全设备联动可以实现整体安全事件闭环处理,通过旁路阻断达到99.99%阻断效率。安全旁路系统跟我们在座每一位每天都相关,我们每天所使用的腾讯的微信、QQ还有视频、游戏的业务,它的背后实际上就是采用这种天幕去进行互联网业务的防护。
第二在检这一块,通过腾讯高级危险检测,结合了传统的规则检测引擎和AI检测引擎以及沙箱再加上云端的威胁情报去应对AI大模型时代下的新型的攻击,从而就可以去应对比如说像未知威胁等新型威胁,这是检测方面。
最后一块是抓,刚才也提到了我们高级威胁检测,通过我们云端的也是全国规模最大的腾讯威胁情报库去对抗AI自动生成的攻击行为。通过一条日志和云端威胁情报结合,我们可以看清敌人,可以把攻击者画像进行精准描绘,这是腾讯的威胁情报,这也是我们非常有优势,非常有核心竞争力的安全的原子能力。
第二个维度:智力进化。
安全运维效果和效率都需要持续智力方面的进化。
首先是从攻击者的视角要看清风险,刚才也提到传统检测手段往往对于像Github、暗网甚至小程序暴露在互联网上的风险面,这样的攻击面是没有检测能力的。所以通过腾讯安全运营制定的进化,我们要对过去往往忽略的暴露面进行攻击面的管理和检测。
第二是应对各种新型攻击和威胁,这一块主要是通过腾讯三大引擎+威胁情报就可以对未知威胁甚至新型病毒、木马进行全面深入的检测。
第三是提升安全运营的工作效率和效果。这一块也是腾讯安全原则能力里面特色的一块,通过自动化的算法可以提升整个安全运维人员的工作效率,将过去安全运维人员大量精力放在告警日志排查,去解放安全运维人员的工作量。
最后是实时对抗需求联动,实现整体安全闭环。
最后将腾讯优势的安全能力进行介绍,刚才提到腾讯在安全运营方面,我们有特色告警日志降噪的功能,我们通过自动化研判的分析模块,可以将每天安全运营中心产生的大量的告警日志去做自动的分析和研判,从而去大幅减少误判会误报的告警日志。
腾讯经过智能化研判的模块,可以减轻工作量提升工作效率。
第二部分:
首先通过传统的规则检测引擎加上情报画像和AI检测引擎,这三大引擎就可以对抗来自于AI的智能生成的攻击行为,自动生成社工攻击。
第二块是通过覆盖已知的威胁去发现我们内部的用户,内部的风险行为,去管控内部的风险,所以这是我们用户行为分析的模块,这样的原子能力。
最后一块是底层的算力平台的进化,腾讯基于整个云原生的理念去打造的高性能、分布式的安全数据湖,安全日志平台,它主要关注的是对于数据层面的存储、分析和检索方面效率的提升。
通过腾讯数据安全湖和传统ES的存储进行对比,在同等性能、同等背景的情况下,对于服务器和存储资源的消耗是传统的ES的五分之一。换算成整个资产的投入,我们第一年就可以节省30%的硬件投入成本,同时在各种开销上面压缩比方面也都有大幅的提升。
最后一块跟各位领导汇报腾讯安全运营的最佳实践。
首先是海尔集团多分支一体化安全运营中心项目,海尔集团主要关注的是各级的分子公司,他们二级单位安全运营的日志以及第三方的传统设备的安全数据,它想做一个大集中做一个汇总。通过腾讯的安全运营中心为它实现了多极化安全运营整体架构和部署,同时针对于它各级分子公司实际的安全运营需求,我们也制定了20多个策略规则去满足它全集团安全运营的日常的工作,从而大幅提升不管从攻防还是运营方面的能力。
第二块是深交所态势感知项目。
首先深交所跟海尔也一样它关注多级安全运营的架构,另外它更加关注整个威胁的检测,流量的分析以及预警和情报的支撑。这一块通过腾讯各级的原子化的安全能力,从防、检、抓,从检测、防护再到威胁情报的支撑,会去帮深交所构建了它的整体安全运营的体系。
腾讯安全除了刚才提到的安全运营和管理以外,腾讯安全还能够提供了包括边界安全、端点安全个应用开发安全、数据安全、业务安全于一体的整体提升企业数字安全架构去守护企业生命线。
我今天的汇报就到这里,谢谢大家!
京公网安备 11010502049343号