自诞生以来,AI技术给信息和数字社会带来多维度变革,特别是近两年来生成式AI 和大模型技术的突破,推动一批新兴业态的出现,产生深远的影响。

在网络安全领域,如何将大模型的能力引入并赋能网络安全技术和产业发展,已经成为网络安全界的热门话题。国际安全专家认为,生成式AI对网络安全领域影响深远。尤其是大模型和安全知识库的结合,对技术和人员要求都很高的安全监测、安全运维等方向将产生巨大变革。

在国内,奇安信等一批网络安全企业已积极探索AI及大模型的安全应用,初步形成应用案例。在刚刚结束的两会上,关于网络安全的提案聚焦于AI安全,包括“大力探索“AI+安全”创新应用,抢占国家安全的人工智能战略制高点”、“全面推进“AI+”行动”、“鼓励兼具“安全和 AI”能力的企业解决通用大模型安全问题”等议题,将AI安全推到了国家战略层面。

1.AI赋能网络安全技术创新

从网络安全企业的角度看,AI对网络安全攻防两端均带来影响,一方面降低了攻击者成本,一方面也提供了安全检测和运维的有利工具。主要的技术和产品变革体现在如下几个方面:

(1)网络行为与威胁分析。AI支持的用户行为分析解决方案分析跨系统和应用程序的用户行为,以检测内部威胁和受损帐户。这些工具利用机器学习算法来检测异常用户活动,例如未经授权的访问和数据泄露,从而能够快速响应潜在事件。基于AI还能够实现自动威胁分析。自动威胁分析使用人工智能来有效识别和分类网络威胁。这些工具收集和分析大量数据,以识别网络攻击的模式和趋势,为增强安全措施提供有价值的见解。

(2)人工智能支持的安全事件管理。安全事件管理自动化并改进了网络事件响应流程。它使用人工智能算法来分析和关联实时数据,从而能够及早发现威胁并更快、更有效地响应安全事件。

(3)基于人工智能的入侵检测。基于人工智能的入侵检测系统监控网络流量,以识别可疑活动和表明可能入侵的异常情况。 通过分析网络模式并应用复杂的算法,这些系统可以检测未经授权的访问尝试和恶意行为,并向团队发出警报。

(4)AI 驱动的端点保护。人工智能支持的端点保护工具利用机器学习算法来检测和防止高级恶意软件和勒索软件攻击。这些工具分析文件行为、网络流量和系统活动,以实时检测和缓解威胁,确保企业端点的稳健性。

(5)安全知识问答。通过生成式AI深度学习网络安全知识库,能够对一般性网络安全问题给出准确、快速的回答,帮助网络安全分析人员、网络安全运维人员快速定位安全问题,降低网络安全事件处置难度,缩短网络安全人员培养周期。

(5)数据与文件分类。网络防御中的数据与文件分类涉及根据数字文件的机密性或敏感性级别对数字文件进行分类。这使得组织能够充分保护信息并应用适合风险级别的安全措施。 ‍常见类别包括公共、内部、机密和受限文档,并且可以配置访问控制以有效保护信息。

2. 领先网安企业持续打造AI赋能安全技术与产品

以Palo Alto、CrowdStrike、奇安信等公司为代表的全球领先网络安全企业持续投入AI+安全,近年来更加着重将生成式AI大模型赋能网络安全技术,打造新一代的网络安全产品,重点加强安全运维、高级威胁防护、零信任等能力。

(1)Palo Alto将AI能力应用于安全管理与运维、安全接入和威胁监测

Palo Alto是目前全球营收和市值最高的网络安全企业。2023年营收68.93亿美元,市值在2024年初突破1000亿美元,成为首个市值过千亿美元的网络安全企业。早期核心产品为防火墙和IPS,定义了下一代防火墙技术成为行业标杆并获得市场认可,近年来战略重点向软件和服务转移,通过收购进入零信任安全、云安全、SASE、安全分析和自动化、威胁情报和安全咨询领域,使其在高位仍保持20%以上的快速增长。

随着AI技术发展,Palo Alto推动人工智能和机器学习进入网络安全产品组合,帮助客户通过自动化流程更高效地运营。涉及的技术产品主要包括安全管理与运维、安全接入和威胁监测三大类。

1)安全管理与运维Cortex XSIAM

Palo Alto将AI赋能安全管理与运维产品,推出新一代安全管理与运维平台 Cortex XSIAM,为客户提供的安全运营解决方案,可将组织的所有数据和工具整合到单个人工智能驱动的平台中。采用自动化优先的方法,在分析师查看事件之前,自动执行安全任务以减少手动工作并加速事件响应和修复。实现人工智能驱动,超越了传统的检测方法,将各种数据源的事件连接起来,以准确地检测和大规模阻止威胁。实现平台融合,将数据和 SOC 功能(XDR、SOAR、ASM、SIEM)集中到一个平台中。消除控制台切换,简化安全操作。

2)安全接入Prisma SASE

Palo Alto Prisma SASE可借助新一代 SD-WAN、ZTNA 2.0 和 Cloud SWG 连接并保护分支机构和混合办公人员的远程安全接入,新功能将帮助企业通过人工智能驱动的自主数字体验管理 (ADEM) 自动完成复杂的IT运营。还可将单点产品整合到单一云交付服务中,以提高效率。

3)威胁监测Prisma Cloud

Palo Alto Prisma Cloud结合了先进的机器学习和威胁情报,例如 Palo Alto Networks AutoFocus、TOR 出口节点和其他来源,以高效识别每个 MITRE ATT&CK 云矩阵的各种策略和技术,同时最大限度地减少误报。这使得安全团队能够将调查和补救工作集中在最关键的事件上,而不会陷入警报风暴的泥潭。可进行网络异常检测、用户和实体行为分析、基于威胁情报的威胁检测、对误报和漏报进行精细控制。

(2)Fortinet 生成式人工智能安全能力集成至分析响应产品

Fortinet是大型传统网络安全企业,目前营收仅次于Palo Alto,市值则只有Palo Alto的一半。早期核心产品为FortiGate防火墙,采用ASIC加速实现多层防御(UTM)。近年来战略重点向软件和服务转移,通过收购等方式构建Fortinet Security Fabric平台,包括网络安全、终端安全、云安全、基于Web的应用安全、身份和访问管理、沙箱和邮件安全等。其商业模式正在向订阅服务模式转型。

Fortinet主要开发生成式人工智能助手为安全人员提供指导,简化复杂的安全任务并实现安全分析工作流的全面自动化。其产品Fortinet Advisor 基于生成式人工智能(GenAI)技术,赋能安全团队快速制定明智决策,高效应对各类威胁,节省复杂任务处理时间。Fortinet Advisor为 SIEM 、SOAR、SecOps等产品提供集成能力,优化威胁调查和响应、SIEM 查询、SOAR Playbook 创建等功能。主要能力包括:

专业调查-不同级别分析师均可获得有关特定威胁和严重程度、攻击者特征和攻击策略的最新威胁情报。智能响应-针对修复措施、威胁响应 Playbook、威胁猎捕指标等提出富有成效的建议,以加速消除威胁。自动化操作-分析师使用简单的自然语言即可执行复杂任务,如数据查询、报告生成和 Playbook 创建。

(3)CrowdStrike将AI能力应用于安全管理与分析、安全运营和数据保护

CrowdStrike是近年来快速崛起的网络安全企业,是目前全球市值排名第二的网络安全企业。其营收远低于Palo Alto和Fortinet,但增速超50%。CrowdStrike从终端安全切入,通过收购补强短板快速布局新的安全赛道,快速扩展构建安全云平台Falcon平台化安全能力覆盖终端安全、安全与IT 运营、托管服务、威胁情报、零信任、云安全。

CrowdStrike将将对话式 AI 引入网络安全,通过每天对数万亿个数据点进行训练的模型,可以预测并阻止威胁。采用单一代理构建,在可扩展的云原生平台上进行部署和管理,实现工作流程自动化。从技术产品层面,AI能力主要应用于安全管理与分析,并进一步加强了安全运营和数据保护等方面。

1)安全管理平台Falcon Raptor

CrowdStrike构建了一体化的智能安全管理平台,用于融合数据、网络安全和IT基础设施的管理,并内置 GenAI 和工作流程自动化。通过该平台安全团队能够快速将数据转化为洞察,以便更快、更准确地做出决策;打破安全和 IT 的数据孤岛,共同合作,推动快速行动,增强组织抵御风险的能力;组织可自由地利用最新的 GenAI 创新来加速业务,而不必担心敏感数据泄露。

2)对话式AI Charlotte AI

Charlotte AI 为组织提供对话式 AI 的变革力量:通过利用多个基础人工智能模型,Charlotte AI 将数小时的工作时间缩短为几分钟或几秒,实现网络安全民主化并在整个 Falcon 平台上创造价值。对话式AI有助于提升所有技能水平的分析师,提升安全相应和处置能力,简化网络安全管理措施。

3)防止 GenAI 数据泄露

Falcon Data Protection让企业可以更安全的使用生成式人工智能。通过 ChatGPT 等生成式 AI 工具实时阻止恶意和意外泄露,防止数据泄露;对所有基于 Web 的生成式 AI 工具实施策略并追溯衍生内容,即使它在文件和 SaaS 应用程序之间共享。

(4)奇安信推出Q-GPT安全机器人

国外企业在AI赋能网络安全领域开展探索和应用的同时,国内网络安全企业也在积极探索AI以及大模型应用,已形成初步案例。

国内网络安全领军企业奇安信推出业界首个工业级大模型应用Q-GPT安全机器人,实现智能化的安全运营,进一步提升安全知识问答和代码检查与生成能力。开发了AI能力平台、AI对抗平台、Al 训练平台。通过海量的安全知识数据和定向训练,使安全机器人可以通过简单对话,实时、自动为客户进行安全研判,大幅提升客户侧的运营效率。

奇安信大模型卫士则保障客户使用大模型的数据安全,解决了企业客户对于大模型“想用不敢用”的顾虑。其主要有4重功能:防止数据投喂造成的敏感数据泄露、建立身份识别与溯源机制避免触发数据跨境安全监管红线、对企业内部大模型应用状况全面分析。大模型卫士也是基于传统的安全技术,部署在终端和网络端,能够完美适配主流大模型应用。

(5)Splunk AI驱动的安全助手加速检测、调查和响应

Splunk是目前全球营收排名第三的网络安全企业。其业务从SIEM领域进入,通过自研和战略收购、生态合作全力打造“Data-to-Everything”平台,业务范围覆盖安全、IT运维和DevOps三大市场,近年来专注投入业务应用安全领域。

在人工智能领域Splunk主要开发了 AI 助手。Splunk AI利用人工辅助自动化为SecOps、ITOps 和工程团队带来全面的上下文和解释、快速的事件检测以及更高的工作效率。利用集成在日常工作流程中的强大 AI,解决您的日常用例。并将这些能力集成于AI驱动的安全助手。

AI安全助手利用直接集成到工作流中的开箱即用机器学习功能-包含在 Enterprise Security、用户行为分析、IT 服务智能、On-Call、应用程序监控和基础设施监控中。使用生成式 AI 帮助新用户快速跟上进度,借助 Splunk AI Assistant(预览版)帮助高级用户利用 Splunk 的更多功能。此外,适用于异常检测的 Splunk 应用让用户只需点击几下,就能利用强大的机器学习算法来检测异常。利用包括指导式工作流和智能助手的机器学习工具箱和适用于数据科学和深度学习的 Splunk 应用(针对拥有数据科学工具的高级用例)量身定制 ML,以处理任何用例。

(6)Okta使用 AI能力加强身份威胁保护

Okta是全球领先的网络安全企业,专注于身份安全。其业务从单点登录产品切入,产品具有独创性,迅速获得市场和用户的认可,收购Auth0进一步巩固访问管理市场的领导地位。通过自研和战略收购、生态合作打造统一身份服务云平台Okta Identity Cloud,为企业提供集成化身份管理和保护。

Okta AI将利用人工智能技术来帮助用户制定身份策略,并保护他们免受网络攻击。核心功能是基于人工智能技术的身份策略制定和安全防护。通过分析用户的在线行为和历史记录,Okta AI可以自动识别潜在的安全威胁,并为每个用户制定个性化的身份策略。这些策略将帮助用户在使用各种在线服务时保护自己的隐私和数据安全,降低受到网络攻击的风险。此外,Okta AI还可以与其他安全产品和平台无缝集成,为用户提供更加全面的安全防护。例如,当用户登录到一个存在安全隐患的网站时,Okta AI可以立即发出警报,并建议用户采取相应的安全措施。同时,Okta AI还可以为企业提供实时的安全监控和报警功能,帮助企业及时发现并应对潜在的安全威胁。

Okta AI的部分功能是建立在Google的Vertex AI之上。Vertex AI是谷歌旗下的一家人工智能研究机构,致力于开发先进的机器学习和深度学习技术。通过与谷歌的合作,Okta将能够利用Vertex AI的强大计算能力和丰富的算法资源,为用户提供更加智能、高效的安全防护服务。Okta的用户将可以通过订阅服务的方式使用Okta AI的功能。

(7)Zscaler将AI能力应用于威胁检测与零信任

Zscaler是全球领先的网络安全企业。从网络边界安全市场进入,通过收购增强云安全平台服务能力,发展为SASE云安全平台Zero Trust Exchange平台提供动态、弹性和多租户的云原生SASE解决方案,包括零信任安全、数据安全和终端安全。

Zscaler致力于用AI提升威胁监测能力,并在云原生Zero Trust Exchange 平台上提供AI 驱动的增强安全服务边缘(SSE)平台。

1)威胁检测平台Risk360

基于AI能力实现利用来自 300 万亿个每日信号的威胁情报的实时AI阻止高级威胁攻击。通过建立风险量化和可视化框架,提供组织风险的整体视角,并给出相应措施。实现基于人工智能驱动的网络钓鱼检测,命令和控制检测,云浏览器隔离,基于风险的动态政策,上下文警报和网络风险评估。

2)零信任网络访问控制

Zscaler的下一代零信任网络访问,通过由 AI 提供支持的极其简单的用户到应用细分,最大限度地减少内部攻击面并限制横向移动。通过私有应用遥测、用户上下文、行为和位置数据,最大限度地减少攻击面并阻止横向移动,从而推动 AI 驱动的应用细分。

(8)Cloudflare为AI应用安全提供安全工具和防护能力

Cloudflare从CDN加速服务市场领域进入,逐步扩展提供网站安全服务,尤其是针对DDoS攻击可以提供有效防护。通过收购方式快速进入零信任安全领域 ,全球云平台Cloudflare One(SASE)融合网络服务和零信任安全为企业提供SASE平台服务。

Cloudflare更加注重为AI应用提供安全能力,并开发了一系列的工具和产品,包括AI安全基础设施one for ai,AI安全助手Cursor,以及AI防火墙。

1)Cloudflare one for ai

Cloudflare one for ai 拥有开发人员构建可扩展的 AI 驱动应用程序所需的所有基础设施,可以提供尽可能靠近用户的 AI 推理计算。它也是利用传统的策略、防护等网络安全技术组合,帮助企业可以安全的使用AI工具,保证网络数据安全,而不是将AI技术融入网络安全产品。

2)AI安全助手Cursor

Cursor基于生成式 AI的能力,可以回答开发者平台的问题,以提升其开发效率。通过Cursor开发者可以迅速找到其需要的接口,以及指向Cloudflare文档中可帮助开发者进一步了解的相关页面的链接文档。Cloudflare还在探索更深层的AI帮助开发者的功能,例如在 UI上进行操作,将AI生成的代码,或者开发者自己写的代码直观的链接在一起,实现更高效的开发。

3)AI防火墙Firewall for AI

Cloudflare 着重保护AI应用安全,推出了 AI 网关,使 AI 应用程序更加可靠、可观察和可扩展。保护LLM 应用程序免受可能被 AI 模型武器化的潜在漏洞的影响。AI防火墙为AI应用开发人员提供可观测性功能,以了解 AI 流量,例如请求数量、用户数量、运行应用程序的成本和请求持续时间。此外,开发人员还可以通过缓存和速率限制来管理成本。通过缓存,客户将能够缓存重复问题的答案,从而减少不断对昂贵的 API 进行多次调用的需要。速率限制将有助于管理恶意行为者和大量流量,以管理增长和成本,使开发人员能够更好地控制他们如何扩展应用程序。

3. AI技术引领安全变革已成趋势

随着AI技术的进一步发展,国内外主要网络安全企业在开发和引入AI能力,强化自身网络安全产品和能力的同时,进入AI安全的新赛道。

AI赋能网络安全行业已经显示出巨大价值和发展潜力,诞生了一批新型AI+安全的技术与产品,初步得到市场认可;同时也推动国内外领先网络安全企业的转型与快速发展。可以预见,AI安全新兴市场将引领网络安全产业变革,为产业发展注入新的活力。

根据Marketsandmarkets报告,2023年全球网络安全人工智能市场规模为224亿美元,预计在预测期内复合年增长率为21.9%,到2028年将达到606亿美元。2025年之前,AI自动执行日常事件响应任务将成为主流,缩短响应时间,最大限度地减少手动错误,同时整合可解释的Al,以提高透明度,促进更好地了解威胁检测机制。2028年之前,网络安全企业将能够更多地使用联合机器学习模型进行协作威胁情报。2030年之前,AI将与数据安全能力紧密结合,以确保敏感数据的保护和数据交易的安全。

AI技术引领网络安全变革已成为行业趋势。网络安全企业和用户唯有积极推进和采用AI赋能技术与产品,才能在攻防双方围绕AI利用的竞赛中不至于落后,这对网络安全企业既是需要应对挑战,更是难得创新发展机遇。

本文作者

奇安信集团产业发展研究中心是奇安信集团的产业研究团队。长期关注国内外网络安全和数字化产业相关领域,跟踪产业发展现状与趋势,研究网络安全各细分领域,包括产品技术、市场、投融资和产业生态,站在行业一线通过全局视角为网络安全产业发展建言献策,为企业决策提供依据,从业人员提供参考。

陈华平:奇安信集团副总裁,产业发展研究中心负责人。

乔思远:产业发展研究中心研究员,主要负责宏观分析和前沿技术研究。

李强:产业发展研究中心研究员,主要负责产业宏观分析和解决方案研究。

赵昌毅:产业发展研究中心研究员,主要负责产业宏观分析和解决方案研究。

声明:本文来自虎符智库,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。