“将人工智能应用于网络安全,会产生什么奇妙反应?”
源于ChatGPT的爆火以及引发的新一轮科技革命,似乎让整个网络安全产业都在重新思考“AI与安全”这一课题,并坚定信念:安全该进入AI时代了。
事实上,智能安全并不是一个新词汇。给安全以智能,利用人工智能技术提升安全防护能力,多年以前就有不少厂商频繁提及,不过是“广告”多一些还是“疗效”多一些,行业内的普遍认知是,前者的成分显然更重。坦白说,智能安全在过去更多是安全厂商打造的“面子工程”,放在实战中,背后真正发挥作用的还是基于规则、基于特征比对、基于人工经验的老方法。从当下看,由ChatGPT开始引发的AI革命式升级会对网络安全产生哪些深刻变革,智能安全的路会走多远,我们不能准确预知。不过,对于六方云来说,把智能安全做为“里子”,走AI赋能安全的技术路线却是坚定的。在2018年成立之初,六方云便提出了AI赋能安全的关键技术路线,即:基于无监督学习的异常检测,基于有监督学习的威胁甄别,基于反馈学习的威胁研判与安全运营。6年的坚持和实践,让这家出圈于工业互联网安全的厂商也多了一个标签——“新时代”背景下应运而生的“新安全”公司。“+AI”,是工业企业数智化“安全”转型的技术保障
在别人还在小心翼翼地探索求证时,六方云已经将AI视为确定性路线,即把智能安全定位为产品技术研发的核心。成立之初就创造性地提出了“AI基因,威胁免疫”的产品技术标签,六方云将“AI”刻在了产品技术发展的DNA中。
作为一家创业公司,对市场还没看清的新技术义无反顾地全身心投入,无疑是一场冒险游戏,“六方云为什么就认定了AI?”
在智会社对六方云CTO王智民的采访中,他告诉我们,随着网络攻击的复杂性提高,以及向高级威胁、未知威胁演进,传统安全手段面临的瓶颈挑战越来越大。AI在多维度时空关联分析与建模方面具有先天的优势,一是相对于人来说不会遗漏,不会疲惫,因此也就不会产生人为疏忽导致的错误;二是可以通过多维度的数据提取隐藏在其中的信息,AI的感知力是人类所无法达到的。
六方云AI安全免疫系统区别于传统的静态检测“已知威胁”的解决方案,它围绕资产、业务应用、风险等对象,从安全日志、终端行为、网络流量和资产管理等多源数据采集为基础,通过监控用户终端行为、互联网出口流量、结合机器学习和人工智能算法,从海量数据中找到用户行为之间的关联,学习其行为模式。为每台设备和每个用户画像,建立起各自的健康模型,形成不同设备和用户的正常行为基线,从而判别有威胁的行为并及时预警。
目前,这套AI安全体系在高级与未知威胁检测和智能安全运营两大方向上,发挥出的成效显著。
首先,在未知威胁检测方面,六方云进行了大量的探索和实践,比如运用无监督学习和反馈学习对某个被保护的WEB站点进行基线网络交互行为建模,从而去发现一些未知漏洞的利用攻击、未知攻击行为。王智民表示,在交易特别频繁和交易量特别大的WEB网站比如证券交易网站效果非常好,可以发现很多的欺诈行为。但是在一些交互频率和交互量不大的WEB网站,由于模型学习不完整,很容易出现误报率较高的问题,这时六方云选择运用无监督学习对变种病毒进行检测,实现的效果比基于规则的特征库检测的检出率高出一个数量级。
举例来说,基于人工智能技术,六方云打造了应对高级与未知威胁攻击的网络威胁检测与回溯产品(简称“神探”),神探产品基于AI模型可对用户现网环境的网络连接行为进行持续的学习,结合多引擎校验分析,做到精准检测、深度检测。特别是最近让安全界头疼的“勒索攻击”,神探产品因为在钓鱼邮件、隐蔽隧道、恶意加密流量、变种病毒的检测方面效果要明显好于传统的全流量威胁检测产品,因此针对勒索攻击检测方面具有独特的优势。
其次,在智能安全运营方面,面对当前影响安全运营效率的主要因素:安全事件告警量太大致使安全运营的工作量大,告警准确率不高使得安全运营疲于奔命,缺乏处理告警事件的推荐优先级使得安全运营的平均研判时间MTTI很大,告警事件之间缺乏关联关系从而导致安全运营严重依赖安全专家等问题。六方云将AI的统计分析算法用于分析大量的安全告警事件,实现安全事件数量去重、安全事件关联分析与威胁挖掘、安全事件处理优先级排序、攻击行为还原、安全策略推荐等方面。目前在安全事件数量去重、攻击链还原两个方面已经获得超过P级事件量的实践和检验,取得了良好的效果。
体现在产品上,举例来说,六方云改进了工业防火墙、工业审计告警量大、准确率低的老毛病,从实践效果来看,可以实现从以往的1万条告警/天到几十条有效告警/天,减轻运维人员工作量,让安全事件查看驾轻就熟;针对当前70%以上的应用网络流量已经加密的现实,六方云采用深度学习建模,在NGFW产品中实现准确率达到95%以上的加密应用识别,从而让“以应用为中心实施访问控制”的下一代防火墙名副其实;六方云工业态势感知平台采用无监督学习实现超过10个工业业务场景的异常检测与威胁挖掘,让威胁研判更有针对性,安全运营效率明显提升。
王智民表示,目前,六方云已经将AI技术赋能到公司部分产品中去,实现被动防御走向主动防御的革命性创新。在人工智能安全技术的积累上,六方云的无监督模型超过50个,有监督模型超过150个,在钓鱼邮件,恶意加密流量、隐蔽隧道、变种病毒等威胁检测精准率达到90%以上,ROC平均超过0.7。
同时,六方云提前认知到OT与IT走向融合的趋势,并与时俱进,将AI技术应用到工业互联网的“四层三网两平台一系统”,实现主动防御效果的更大提升。
“OT/IT融合”,是工业企业数智化“安全”转型必须面对的趋势
“‘+AI’是六方云产品技术体系的技术保障,‘OT/IT融合’是六方云产品技术体系价值体现的前提条件。”王智民强调。
OT与IT走向融合是一个必然的趋势,这个趋势推动的源泉可以说是工业4.0,也可以说是工业互联网。OT与IT走向融合的场景,六方云称之为XIoT(OT、IoT、IIoT、MIoT…),作为一家以“让万物安全互联”为使命的网络安全产品和技术服务提供商,我们看到六方云“以技术保障技术”的创新能力,也看到AI深植其中的影子。
首先,六方云创新打造了工控安全技术,秉承以“藏漏洞”为主、“补漏洞”为辅的理念,在第一代静态白名单防护技术的基础上,六方云发明了第二代“动态白名单防护”技术。
该技术做到了基于动态行为特征建立动态白名单,实现工控系统安全防护从以“网络区域”为中心到以“资产与数据”为中心的转变。比如工业防火墙的“地址对象”就是一个动态的资产白名单,这个白名单里面的资产数量和类型都是变化的,而且可以建立拥有不同权限的“地址对象”白名单;不仅基于文件建立应用程序白名单,基于工控协议建立工控指令白名单,还会基于主机内存信息建立行为白名单,基于网络行为建立网络行为白名单。比如工业审计里面的“机器学习”功能基于无监督学习建立工控网络操作指令周期模型,从而及时发现工控系统中的违规行为;不仅基于工艺流程建立工艺流程白名单,还会基于工艺参数建立工艺参数白名单;基于工业通信流量建立上位机与下位机之间的操作行为基线模型,从而准确发现诸如PLC停止、程序上装等7类敏感操作。
当然,在白名单“动”起来之后,“动”得是否准确尤为重要,这时人工智能技术又起到关键作用。王智民指出,所有这些白名单都会采用AI算法或模型进行持续的评估后动态调整,在这个过程中,严格意义上是存在“灰名单”的,所谓的灰名单指的是名单里面有“不确定的”,但在AI算法模型的自动化计算下,六方云做到了从灰到白的时间窗口更小。
其次,源于XIoT场景下典型的四高特性:高可用性、高可靠性、高确定性、高安全性。六方云进一步打造了OT/IT融合安全技术:防护引擎一体化、防护功能一体化、防护知识库一体化。
防护引擎一体化,使得安全措施的时延、抖动、时序满足工业场景下的高可靠性和高确定性要求;防护功能一体化,确保安全防护的完备性和高性价比,避免引入更多的安全措施所带来的单点故障,避免显著增加时延等缺陷以满足工业场景的高可用性要求;防护知识库一体化,提高威胁检测准确率,确保安全防护效果符合工业场景下的高安全性要求。
不止于此,六方云还将零信任理念引入到XIoT场景下的安全防护,比如为减少攻击面的虚拟补丁技术、防扫描技术、软件定义网络边界技术;为减少影响面的微隔离技术;为减少风险点的设备资产身份认证与持续评估技术等。
面对不断变化的网络安全环境,六方云选择重兵投入技术,基于场景提供端到端的XIoT安全解决方案,让万物安全互联。
以“+AI”提供技术保障,以“OT/IT融合”打造端到端的XIoT安全解决方案,至此,六方云构筑了护航工业互联网安全的两大核心基础。在六方云2023年合作伙伴大会上,王智民进一步阐述了六方云向“万物安全互联”目标迈进的技术发展策略,其中包括专注2个技术突破、建立3个方案创新、实现4个产品提升、设定5个发展规划。通过将“专、精、特、新”四大能力贯穿其中,六方云又进一步打造出独特的产品技术竞争力。
举例来说,六方云的“5+1”产品线都有自己的鲜明特色,工控安全产品线的鲜明特色就是要走OT/IT融合安全,网络安全产品线的鲜明特色是XIoT的场景化定制,云安全产品线的鲜明特色是无代理的云网络微隔离,态势感知产品线的鲜明特色是具有工业场景下的智能运维,AI安全产品线的鲜明特色是高级与未知威胁检测,安全服务产品线的鲜明特色是“不仅动嘴还敢动手”。这即是六方云在产品方案上打造的“特色”能力。
此外,在“专”上,六方云保持专注,致力于做出安全工具应该有的“专业”水准;在“精”上,功能做到精细化、精准化,产品打造“精品”;在“新”上,追求产品技术创新,“+AI”构建安全威胁免疫系统则是典型体现。
“新时代”,要求“新安全”公司能够适应时代发展,能够解决好万物互联场景下的信息安全问题。什么是新时代,无疑,人工智能、万物互联是我们面向的新时代;何谓新安全,六方云的答案是以“OT/IT融合”与“+AI”为代表的新体系、新技术进阶。
很明显,我们正处在技术变革的爆发期,数字化、智能化发展越深入,生产力越得到提升,意味着安全也越重要。让万物安全互联,“以技术保障技术”,六方云跑出了向“新安全”公司迈进的新姿态。