騰訊央國企行業安全資深架構師 王倜 在本次大會上分享的主題為“大模型技術下安全運營領域的應用探討和實踐分享”。以下是現場速記。
騰訊央國企行業安全資深架構師 王倜
王倜:各位領導、各位來賓,大家上午好!我是騰訊安全架構師王倜,今天很高興有機會為大家介紹騰訊安全。我今天匯報的主題是大模型技術下安全運營領域的應用探討和實踐應用。
這幾年來AI大模型技術發展的非常火熱,可以說大模型的智能涌現為我們各行各業都帶來了一些全新的機遇,與此同時AI大模型也給我們的企業安全帶來了新的一些安全風險和新的安全挑戰。這里有一組數據,在過去的一年黑客攻擊者通過自動生成的社工攻擊,讓社會工程攻擊量增加了135%,ChatGDP發布會,釣魚電子郵件的平均語言復雜度提升17%,數量增加2.6倍。騰訊安全認為AI大模型即將為AI領域開啟新一輪的攻強守弱。黑客可以更加的容易通過以更低的門檻和更低的成本來去生產大量的更多、更密集的攻擊。相對而言,我們的企業反守方來說就需要去對我們的防護體系進行相應的升級,去升級成更加精準的檢測的能力和更加高效的響應的能力。
在新的一輪的技術實踐周期,要落地的周期中必定要經過包括了成本、效率具體落地的周期。這個周期對于我們企業來說,必然是非常具有挑戰和嚴峻的周期。
具體而言,進入智能化時代之后,我們企業將面臨四大安全新的挑戰和風險。
第一個反應窗口期縮短。
過去黑客攻擊可能是以天以周為單位來進行攻擊的頻率。隨著AI的智能化自動化生成新技術的涌入,我們現在面臨黑客攻擊將以小時甚至以分鐘的頻率。所以過去回合制的攻防進入隨時的戰爭。
第二個是防御半徑增加。
這一塊主要是隨著企業業務的發展將有更多的資產,更多的數據會暴露在互聯網上。這些資產可能也是我們過去傳統的安全檢測手段,往往會忽略的暴露面。比如說像小程序、公眾號,傳統的解決手段往往是對這些資產是忽略掉的。這些暴露面增加了,我們的風險也會增加。
第三個是情報庫失效。
通過AI可以隨時隨地的產生各種新的行為和樣本,我們傳統的基于規則的安全策略將會逐漸失效。
第四個是區分人和機器難度增大。
同樣也是一樣,黑客會利用AI提升用戶模擬真實行為效率的技術,所以會讓我們企業安全變得更加難以去辨別。
針對這樣的風險,這樣的安全趨勢。騰訊安全運營實踐之路也很簡單就是持續的進化,不斷的進化,讓安全回歸到本質。安全的本質實際就是攻防,就是去提升攻防檢測檢出的精準度,去提升安全攻防的響應效率。
從三個維度進行進化:
第一.從最基礎的安全原則能力:防、檢、抓去進行技能的進化。比如從過去的以串接式安全防護架構進化稱以旁路阻斷全新的安全防護架構,通過旁路的阻斷架構可以提升我們安全防護第一是范圍,第二是它檢測防護的效率。
第二.從整個安全運營方面,要從智能去進行進化,進化它的智力。這一塊是從過去以本地模型為主的安全運營的思路,要進化成以云端的全球的威脅情報為主的安全思路,同時結合我們提到的防檢抓的能力去進行整體安全實踐的閉環聯動。
第三.在底層算力這一塊,我們要進化底層的算力,對算力進行進化,去大幅的提升安全數據從存儲到分析到使用到檢索的工作效率。
首先在防守這一塊,通過旁路阻斷系統。這些系統也都是騰訊自研,在騰訊20多年來我們自身互聯網應用安全運營經驗和能力的總結和輸出。通過旁路阻斷系統同時通過API進行安全設備聯動可以實現整體安全事件閉環處理,通過旁路阻斷達到99.99%阻斷效率。安全旁路系統跟我們在座每一位每天都相關,我們每天所使用的騰訊的微信、QQ還有視頻、游戲的業務,它的背后實際上就是采用這種天幕去進行互聯網業務的防護。
第二在檢這一塊,通過騰訊高級危險檢測,結合了傳統的規則檢測引擎和AI檢測引擎以及沙箱再加上云端的威脅情報去應對AI大模型時代下的新型的攻擊,從而就可以去應對比如說像未知威脅等新型威脅,這是檢測方面。
最后一塊是抓,剛才也提到了我們高級威脅檢測,通過我們云端的也是全國規模最大的騰訊威脅情報庫去對抗AI自動生成的攻擊行為。通過一條日志和云端威脅情報結合,我們可以看清敵人,可以把攻擊者畫像進行精準描繪,這是騰訊的威脅情報,這也是我們非常有優勢,非常有核心競爭力的安全的原子能力。
第二個維度:智力進化。
安全運維效果和效率都需要持續智力方面的進化。
首先是從攻擊者的視角要看清風險,剛才也提到傳統檢測手段往往對于像Github、暗網甚至小程序暴露在互聯網上的風險面,這樣的攻擊面是沒有檢測能力的。所以通過騰訊安全運營制定的進化,我們要對過去往往忽略的暴露面進行攻擊面的管理和檢測。
第二是應對各種新型攻擊和威脅,這一塊主要是通過騰訊三大引擎+威脅情報就可以對未知威脅甚至新型病毒、木馬進行全面深入的檢測。
第三是提升安全運營的工作效率和效果。這一塊也是騰訊安全原則能力里面特色的一塊,通過自動化的算法可以提升整個安全運維人員的工作效率,將過去安全運維人員大量精力放在告警日志排查,去解放安全運維人員的工作量。
最后是實時對抗需求聯動,實現整體安全閉環。
最后將騰訊優勢的安全能力進行介紹,剛才提到騰訊在安全運營方面,我們有特色告警日志降噪的功能,我們通過自動化研判的分析模塊,可以將每天安全運營中心產生的大量的告警日志去做自動的分析和研判,從而去大幅減少誤判會誤報的告警日志。
騰訊經過智能化研判的模塊,可以減輕工作量提升工作效率。
第二部分:
首先通過傳統的規則檢測引擎加上情報畫像和AI檢測引擎,這三大引擎就可以對抗來自于AI的智能生成的攻擊行為,自動生成社工攻擊。
第二塊是通過覆蓋已知的威脅去發現我們內部的用戶,內部的風險行為,去管控內部的風險,所以這是我們用戶行為分析的模塊,這樣的原子能力。
最后一塊是底層的算力平臺的進化,騰訊基于整個云原生的理念去打造的高性能、分布式的安全數據湖,安全日志平臺,它主要關注的是對于數據層面的存儲、分析和檢索方面效率的提升。
通過騰訊數據安全湖和傳統ES的存儲進行對比,在同等性能、同等背景的情況下,對于服務器和存儲資源的消耗是傳統的ES的五分之一。換算成整個資產的投入,我們第一年就可以節省30%的硬件投入成本,同時在各種開銷上面壓縮比方面也都有大幅的提升。
最后一塊跟各位領導匯報騰訊安全運營的最佳實踐。
首先是海爾集團多分支一體化安全運營中心項目,海爾集團主要關注的是各級的分子公司,他們二級單位安全運營的日志以及第三方的傳統設備的安全數據,它想做一個大集中做一個匯總。通過騰訊的安全運營中心為它實現了多極化安全運營整體架構和部署,同時針對于它各級分子公司實際的安全運營需求,我們也制定了20多個策略規則去滿足它全集團安全運營的日常的工作,從而大幅提升不管從攻防還是運營方面的能力。
第二塊是深交所態勢感知項目。
首先深交所跟海爾也一樣它關注多級安全運營的架構,另外它更加關注整個威脅的檢測,流量的分析以及預警和情報的支撐。這一塊通過騰訊各級的原子化的安全能力,從防、檢、抓,從檢測、防護再到威脅情報的支撐,會去幫深交所構建了它的整體安全運營的體系。
騰訊安全除了剛才提到的安全運營和管理以外,騰訊安全還能夠提供了包括邊界安全、端點安全個應用開發安全、數據安全、業務安全于一體的整體提升企業數字安全架構去守護企業生命線。
我今天的匯報就到這里,謝謝大家!
京公網安備 11010502049343號