【新要聞】人才缺口超三百萬，大模型驅(qū)動網(wǎng)絡(luò)安全運營走向“自動駕駛”

若說當前網(wǎng)絡(luò)安全行業(yè)關(guān)注度最高的技術(shù)應(yīng)用方向，非 AI 大模型莫屬，網(wǎng)絡(luò)安全行業(yè)也在呼喚 GPT 盡快應(yīng)用至業(yè)務(wù)。

隨著攻防演練走向?qū)崙?zhàn)化，一些新變化在一次次實戰(zhàn)演練中日益凸顯。技術(shù)奔走，當前國內(nèi)網(wǎng)絡(luò)安全在攻擊側(cè)和需求側(cè)都與以往不同，網(wǎng)絡(luò)安全模式和產(chǎn)業(yè)出現(xiàn)相應(yīng)新特征，效果導向成為了網(wǎng)絡(luò)安全建設(shè)的落點。目前，網(wǎng)絡(luò)安全行業(yè)已經(jīng)基本告別了安全基礎(chǔ)防護和合規(guī)建設(shè)，轉(zhuǎn)而將焦點放在了安全運營與實戰(zhàn)演練。

(資料圖片)

企業(yè)所面對的風險、資產(chǎn)與威脅，是近年來網(wǎng)絡(luò)安全運營中變化最明顯的部分。技術(shù)帶來的問題還要靠技術(shù)解決，安全從業(yè)者還是要擁抱新技術(shù)、應(yīng)對新變化，探索大數(shù)據(jù)、威脅情報、AI 大模型等新技術(shù)在網(wǎng)絡(luò)安全運營中的落地應(yīng)用。

網(wǎng)絡(luò)安全對 GPT 的天然需求

為什么市場呼喚安全 GPT？一個重要原因在于安全運營中發(fā)生的變化越來越多，大概可以總結(jié)為三個主要方面：風險、資產(chǎn)、威脅。

面對風險，演習中經(jīng)常能夠發(fā)現(xiàn)：越來越多的攻擊開始大量使用 0day。對于軟件廠商和用戶來說，0day 攻擊是危害最大的一類攻擊，它被攻擊者掌握卻未被軟件廠商修復，在暴露前對于廠商來說是未知的風險。而現(xiàn)實的傳播中存在大量的已知漏洞與未知漏洞，但基于成本、破壞程度等綜合考慮，并不是所有的漏洞都必須立即打補丁，也存在并不用打補丁的情況。

如何對已知、未知漏洞進行修補時效上的區(qū)分和判定？是不是所有暴露出來的已知漏洞都必須修復？在一個單位面臨幾千到幾十萬個攻擊中，如何區(qū)分真正成功的漏洞攻擊？都需要使用技術(shù)協(xié)助區(qū)分。

資產(chǎn)方面，對攻擊面的關(guān)注成為了新趨勢。資產(chǎn)包括了服務(wù)、軟件、中間件等，甚至人員、供應(yīng)鏈等也會成為黑客用來突破的攻擊界面。往往企業(yè)或單位的體量越大，容易暴露的攻擊面也就越多。以學校為例，雖然有很多專業(yè)人員與工具進行防范檢查，但是每個學生都可被作為攻擊面，更現(xiàn)實的情況還有人員安全意識很難大幅提升，導致黑客發(fā)個郵件，發(fā)個 QQ，可能就會實現(xiàn)欺騙、釣魚。

說到威脅，古老的攻擊方式——釣魚，現(xiàn)在也釣出許多新花樣。釣魚工具日漸高級，二維碼釣魚、加企業(yè)微信釣魚、發(fā)郵件釣魚、附件釣魚等等層出不窮，現(xiàn)在釣魚已經(jīng)跟過去魚叉式攻擊結(jié)合起來，防范難度被迫需要升級。而除了釣魚攻擊之外，還有很多覆蓋范圍較廣、以金錢為主要目的的勒索軟件，以及針對性極強的威脅—— APT 攻擊，這對國產(chǎn)軟件發(fā)展也造成了一定威脅。

據(jù) 360 發(fā)布的《2022 年全球高級持續(xù)性威脅（APT）研究報告》，2022 年針對中國發(fā)起的攻擊活動共涉及 14 個 APT 組織，政府、教育、信息技術(shù)、科研和國防軍工等 15 個行業(yè)領(lǐng)域依然是 APT 組織攻擊活動主要的目標領(lǐng)域。此外，在 2022 年 APT 組織針對我國展開的攻擊活動目標中，包含我國國產(chǎn)化操作系統(tǒng)和自主軟件供應(yīng)商，顯示出了攻擊活動瞄準我國自主可控領(lǐng)域發(fā)展的趨勢。

網(wǎng)絡(luò)安全形勢復雜，而龐大的人才缺口又加劇了這一挑戰(zhàn)。多位網(wǎng)絡(luò)安全企業(yè)的高管層曾不同程度向鈦媒體 App 表達過網(wǎng)絡(luò)安全在人才方面的窘迫現(xiàn)狀。" 網(wǎng)安人才的缺口至少有幾十萬，這其中尤為缺少能夠解決以上復雜難題的專家。" 微步在線創(chuàng)始人兼 CEO 薛鋒對鈦媒體 App 表示。

教育部數(shù)據(jù)也印證了這一判斷，據(jù) 2022 年 9 月發(fā)布的《網(wǎng)絡(luò)安全人才實戰(zhàn)能力白皮書》，到 2027 年，我國網(wǎng)絡(luò)安全人員缺口將達 327 萬，而高校人才培養(yǎng)規(guī)模為 3 萬 / 年，許多行業(yè)面臨著網(wǎng)絡(luò)安全人才缺失的困境。

業(yè)界期待 GPT 的到來能在一定程度上緩解網(wǎng)絡(luò)安全領(lǐng)域的人才壓力，此前綠盟科技CTO 葉曉虎也對鈦媒體 App 透露，訓練好的 GPT 知識儲備量可以達到一年級博士生的水平。雖然 GPT 技術(shù)在安全的應(yīng)用也是剛剛開始，但從應(yīng)用表現(xiàn)來看，通過分析 IP 以及整合相關(guān)資料提高安全運營人員和安全分析師的工作效率，這樣的變化已經(jīng)可以給安全運營帶來一些突破和創(chuàng)新。

據(jù)鈦媒體 App 了解，一些網(wǎng)絡(luò)安全客戶也根據(jù)使用需求向企業(yè)提出了更細節(jié)的想法，已經(jīng)有一些防御者想好了怎么使用安全 GPT，他們甚至希望生成 PPT，直接貼到自己的報告里面。與客戶業(yè)務(wù)進行結(jié)合，與高校、用戶單位共創(chuàng)，或許是安全 GPT 目前發(fā)展的適宜生態(tài)。

據(jù)鈦媒體 App 不完全統(tǒng)計，當前已經(jīng)有微軟、360 集團、綠盟科技、微步在線等多家網(wǎng)絡(luò)安全公司已經(jīng)基于大模型推出了對應(yīng)的 GPT 工具，應(yīng)用方向不乏安全評估、防御、威脅情報分析處置自動化、安全屆智能客服等領(lǐng)域。可以預見的是隨著越來越多的安全的企業(yè)加入對 GPT 的探索，網(wǎng)絡(luò)安全運營的自動化、智能化有望進入 " 自動駕駛 " 階段。

安全 GPT 的智能化潛力

自從大模型出現(xiàn)之后，深度學習等等都變成了 " 傳統(tǒng) AI"。據(jù)了解，在傳統(tǒng) AI 應(yīng)用中，已經(jīng)可以依靠圖數(shù)據(jù)庫和 AI 雙重支持，進行關(guān)聯(lián)分析和拓線。據(jù)微步在線數(shù)據(jù)，在 Windows 下的 PE 文件和 Linux 下的 ELF 文件中，傳統(tǒng)機器學習查殺可以做到在 97%、98% 檢出率的情況下，保持十萬分之二，十萬分之五的誤報率。這種機器學習模型也提高了產(chǎn)出率，只需要幾個月時間訓練模型以及后續(xù)重復訓練模型可以做到極高產(chǎn)出。

因此，疊加 GPT 之后，網(wǎng)絡(luò)安全智能化又進入了一個新階段。" 使用安全 GPT 的其中一個作用就是分析 IP，后臺通過 AI 算法生成對 IP 的判定，提供豐富信息來幫助安全人員做進一步分析和研判，提升分析效率。" 薛鋒對鈦媒體 App 表示。具體來看，判定內(nèi)容首先會給出域名類型的結(jié)果，再對這個 IP 威脅類型進行進一步分析，包括：它是不是做過掃描、是否發(fā)過邏輯郵件，掃描過端口的時間、攻擊負載等，更進一步還會有相關(guān)背景或惡意關(guān)聯(lián)信息的延伸介紹。

更具體一些的例子比如黑客域名控制，在過去只會得到 " 這是一個遠程控制域名 " 的答案，而通過安全 GPT 會得到更多信息：這是個惡意的域名、注冊人、注冊時間，以及作為命令控制服務(wù)器能干什么事情，這個黑客的主要目的等等。

不僅如此，接下來安全 GPT 還會提供簡單的應(yīng)對方法：它會進一步告訴使用者如何防范這種蠕蟲；并且還會告訴使用者這個家族可能有超過一千多個木馬病毒變種，然后繼續(xù)關(guān)聯(lián)互聯(lián)網(wǎng)上曾經(jīng)報道過這個木馬病毒文章的分析和摘要。

但是就目前來看，GPT 在網(wǎng)安行業(yè)內(nèi)的嘗試不會像其它行業(yè)一樣擁有大幅的能效提升，最重要的原因是" 檢測 " 這一核心的技術(shù)能力無法通過 GPT 準確實現(xiàn)。

GPT 的最終效果是進行推理總結(jié)，從而輔助安全分析師、安全運營人員等提升工作效率，它并不擅長做專業(yè)的檢測和判斷。檢測要靠專業(yè)引擎、專業(yè)工具來實現(xiàn)，對于判斷是不是病毒這件事情還得依靠上文所提及的傳統(tǒng) AI，利用深度學習或者它寫的規(guī)則進行判定；而 GPT 在這個判定過程中容易根據(jù)語言導向推理呈現(xiàn)誤報、誤判的結(jié)果。"由此，在模型上我們覺得將來更多的是指令的微調(diào)。" 一位網(wǎng)絡(luò)安全領(lǐng)域資深專家判斷。

大模型很重要，但是它無法決定終局的勝負，作為一個專業(yè)模型，它對專業(yè)知識、專業(yè)場景的理解或許更重要。" 我比較認同‘數(shù)據(jù) + 情報 +AI 就等于安全 GPT ’這個想法 " 薛鋒說。他表示，數(shù)據(jù)只是我們的勞動對象，我們還是需要情報和 AI，作為加工和分析數(shù)據(jù)的兩種工具和手段，三者結(jié)合有可能做出好的 GPT。

不過，不同背景的網(wǎng)絡(luò)安全公司對 "GPT" 的研發(fā)和應(yīng)用也存在路線上的差異，比如有的側(cè)重 " 情報 "，有的側(cè)重 " 監(jiān)測 "，有的更偏向于 " 客服 "，有的則跨圈做起了 "AIoT"。但差異之外也有共性存在，在提出安全大模型的網(wǎng)絡(luò)安全公司中，超半數(shù)以上明確提出了大模型的安全運營能力，大家也都不同程度的強調(diào)分析、執(zhí)行等環(huán)節(jié)的自動化。

而在網(wǎng)絡(luò)安全 "GPT" 的落地應(yīng)用中，各大網(wǎng)絡(luò)安全公司也分處于不同階段，奇安信、安恒信息、綠盟科技等依舊保持著大模型研發(fā)的進行時，但相應(yīng)的，他們也對大模型的實踐能力規(guī)劃出更多元的方向，提出更高要求；而已經(jīng)發(fā)布大模型產(chǎn)品的公司也在持續(xù)調(diào)優(yōu)，他們讓基礎(chǔ)的大模型產(chǎn)品率先著陸，再根據(jù)市場變動書寫自己的進化論。

因此，對于安全 GPT 的定義可以有多種，但殊途同歸，多元化的競爭環(huán)境或?qū)榫W(wǎng)絡(luò)安全未來積累更肥沃的土壤。（本文首發(fā)鈦媒體 APP 作者 | 賈雨微 編輯 | 秦聰慧）