RSAC2023解读第6期 | 安全运营的困境和破局之道

RSAC是全球最具影响力的信息安全大会之一，2023年的RSAC会议中，安全运营依然是热门话题之一。随着企业数字化转型的加速和云化的快速发展，企业面临的网络安全风险有增无减，那么企业的安全运营现状如何？面临哪些困境？在本次大会中又有什么解决方案呢？让我们跟随各位演讲专家的视角一起看一下。

(ISC)?的报告显示，全球网络安全人员的缺口为340万。据教育部最新公布的数据显示，到2027年，我国网络安全人员缺口将达327万，而国内高校的人才培养规模约为3万/年。“网络安全的本质在对抗，对抗的本质在攻防两端能力较量”，而人与人的对抗占据了重要方面。网络威胁的激增和人才的缺乏，导致运营人员长期处于满负荷的工作状态，缺乏持续的培训和成长，每天面临着繁重复杂的工作。Trellix的CEO布莱恩·帕尔马在对德国某制造业公司的CISO调研后，如此评论道：“老实说，我们很难与他的SOC团队中的任何人交谈，这项工作的要求如此之高，分析师甚至无法将目光从他们的屏幕上移开哪怕一秒钟。”

我们还看到了其他挑战，如威胁的平均检测和响应时间居高不下；高危漏洞持续爆发，攻击者对漏洞的武器化时间越来越短；伴随着生成式AI的利用，攻击者在持续升级自己的武器，而大部分企业对新技术的应用是落后于攻击者的。

毫无疑问，由ChatGPT引爆的AI浪潮让安全专家们看到了安全运营的破局思路。微软在今年3月份抢先发布基于GPT4的Security Copilot，谷歌在RSAC2023推出了基于安全LLM Sec-PaLM的Google Cloud Security AI Workbench，还有其他企业也发布了类似的AI模型，或者探索将生成式AI应用到网络安全的思路和前景。在谈到如何利用AI解决运营难题时，大家一致认可在泛化模型基础上，结合安全数据、威胁信息和经验等，形成适用于网络安全的专用模型，并着重强调了用户交互和使用体验要更加自然。

虽然目前生成式AI还无法达成我们的诉求，但可以想象，在生成式AI助力下，运营的自动化能够更好更快地实现，安全专家们从繁琐的告警中解脱出来，专注于更高价值的威胁分析和调查，并对AI模型进行调优。这同时也会降低行业门槛，普通分析师根据AI的自然语言提示来完成工作，最后再由AI生成一份威胁分析报告。

XDR（Extended Detection and Response，扩展检测和响应）是一种相对新兴的技术，2018年由Palo Alto Networks提出，可以为安全运营团队提供改进的威胁预防、检测和响应能力。根据Gartner发布的2022安全运营技术成熟度曲线，XDR处在Peak of Inflated Expectations（期望膨胀期）的顶端。一直以来，业界对于XDR技术褒贬不一，本文不做讨论，SIEM（Security Information and Event Management，安全信息与事件管理）等作对比，我们专注于该技术对安全运营带来的改变。XDR采集和整合跨电子邮件、Web应用、终端、网络和云端等高保真数据，提供所有数据的可见性，通过分析和自动化技术实现对威胁接近实时的检测和响应。XDR不是单一的产品，而是一个可以扩展的平台，提供给企业一个统一的视角来应对日益复杂的网络威胁。借助XDR，企业可以更好落地AI算法，达成网络安全建设目标。

正如本次RSAC2023的主题——“Stronger Together”，合作、共强让我们可以共享信息，领先攻击者。在网络威胁日益频繁的今天，数据泄露、供应链攻击、地缘政治导致的黑客攻击、APT攻击等犯罪活动对企业造成严重危害，我们更应该加强合作，为企业提供简单、易用、高效的安全解决方案，切实保护企业的业务、资产、数据安全。