AISecOps白皮书精华解读之技术体系篇

百家 作者:绿盟科技 2021-03-12 18:00:14

全文共2663字,阅读大约需要5分钟。


摘要:“AISecOps技术是以安全运营目标为导向,以人、流程、技术与数据的融合为基础,面向预防、检测、响应、预测、恢复等网络安全风险管控、攻防对抗的关键环节,构建数据驱动、具有高自动化水平的可信任安全智能技术栈,可实现安全智能范畴下的感知、认知、决策与行动能力,辅助甚至代替人在动态环境下完成各类安全运营服务。”


本文为《AISecOps白皮书精华解读之背景内涵篇》的姊妹篇,基于上述AISecOps的核心内涵,将重点从指标体系、数据体系、技术框架、技术成熟度、技术图谱等层次,介绍AISecOps的技术体系构建。


1

AISecOps指标体系


网络安全运营能力的提供以目标为导向,从企业、组织、国家的愿景目标出发,进而构建安全运营任务级别的运营指标,进一步指导构建数据与分析层面的技术指标,最终形成图1 所示的层次化指标体系,以评估技术实现的有效性。


愿景目标指企业、组织、国家等主体层面的核心安全、业务、商业目标。例如,维护IT基础设施的稳定运行,保护核心数据资产,维护品牌价值的安全性等。这些愿景目标与主体的发展目标密不可分。


运营指标以愿景目标为基础,针对网络安全相关的业务能力制定安全运营核心指标,以评估安全运营能力水平。在运营指标的导向下,需要有针对性地对数据融合水平和分析技术水平进行评估,以促进技术能力的迭代。


在数据层面,需要考虑包括覆盖率、规范化、存储时效、多样性、交互性等指标;在分析层面,不仅要考虑传统机器学习等技术的评估指标,包括预测精确性、召回率、ROC等,还重点考察场景覆盖率、TOPN召回率/误报率、整体/单点误报率及模型可解释性等面向可运营、易运营的分析指标,以合理促进技术与人、流程的深度融合。


图1:AISecOps指标体系


2

AISecOps数据体系


当前,大规模多维度网络安全大数据的接入,为通过数据分析发现、处置网络威胁带来了全新机会。但考虑到可用的存储、计算资源有限,对安全数据源的甄选和统一处理就显得尤为重要。从网络攻防的对抗本质出发,以给定的网络空间为战场,以保护资产(包括实体资产和虚拟资产)并打击威胁主体为目的,智能化的威胁分析应该收集并构建以下维度的关键数据图,如图2 所示。

  • 环境数据图。如资产、资产脆弱性、文件信息、用户信息、IT系统架构信息等。

  • 行为数据图。如网络侧检测告警、终端侧检测告警、文件分析日志、应用日志、蜜罐日志、沙箱日志等。

  • 情报数据图。各类外部威胁情报。

  • 知识数据图。各类知识库(如ATT&CK、CAPEC、CWE)等。


图2:AISecOps数据分类


各类安全关联数据(包括但不限于以上四个类别)已在很多大数据分析场景中被采用,但仍然没有成熟、统一的体系描述这些数据的分类和使用模式。故应将这里列举的四类数据,从网络威胁事件分析实践出发,通过图结构组织起来,实现每个类别图内关联和不同类别图间关联,以满足网络空间对抗的基本战术需求,包括对环境的掌握、对威胁主体行动的理解、对外部情报的融合以及储备基本知识。四图分立,又通过指定类型的实体进行关联,在保证不同类型图数据表达能力的同时,实现了全局的连接能力。


3

AISecOps技术框架


图3 阐述了AISecOps的技术框架,针对安全运营技术中的关键环节,参考人工智能的经典范式“感知-认知-决策-行动”和经典作战决策OODA循环模型的“观测-调整-决策-执行”体系,进行子任务及其阶段划分,每个阶段包括多个不同子任务。


图3:AISecOps技术框架


整体上,AISecOps技术框架包含两个大的循环。一个是图中实线覆盖的机器自循环,这是AISecOps追求的运营关键任务自动化的终极目标。另一个是图上虚线覆盖的人-机协同循环,这一部分重点描绘人需要参与到运营自动化的每个关键环节中,同时充分获取机器的数据反馈。高水平运营自动化实现的要义仍然是对“数据-信息-知识”层次化的分析与挖掘,以应对动态不确定性的网络空间环境与高交互的攻防对抗过程。因此,唯有夯实网络空间数据的多层级任务能力基础,才能避免搭建安全任务自动化的“空中楼阁”。


实际上,现阶段的威胁识别、溯源、预测等关键技术能力的智能化水平,仍难以有效支持基于SOAR的精准响应。事件误判、连接误杀、决策黑箱等多种类型的技术瓶颈,使得更高水平的自动化智能化实现在涉及高风险、关键决策的安全场景下难以有效部署。因此在当前阶段下,人-机智能的充分融合,就显得尤为关键了。


4

AISecOps技术成熟度


如图4 所示,按照安全运营关键任务的自动化程度,参考自动驾驶自动化分级,将AISecOps技术的自动化水平划分为L0~L5六个层次,对应无自动化到完全自动化。


图4:AISecOps技术框架


通过技术框架的横向技术阶段划分,明确了安全运营技术智能化的关键需求与任务;通过基于技术成熟度的纵向分级,能够有效划定现阶段发展层次与未来的发展方向。以上分类、分级方案,形成了AISecOps关键能力成熟度矩阵,以期现有的技术方案能够更快速的找到其在AISecOps技术领域的定位,并与其他技术能力快速融合互动。


通过AISecOps技术成熟度矩阵的构建,能够让技术从业者不囿于技术泡沫造成的困惑。目前来看,在安全运营的智能化技术领域中,我们整体上仍处于L1~L2级别的技术发展阶段,多个单点技术水平已经在更高层次有所突破。同时我们所收集的数据、构建的模型、优化的算法及搭建的系统,在特定场景下还未能有效符合安全运营的指标导向性需求,更不用说跨场景、自适应的更高层级运营自动化能力。总之,我们从实践的经验出发,距离高可用的、高自动化水平的智能安全运营技术仍有较远路程。


5

AISecOps前沿技术图谱


AISecOps智能安全运营技术尚处于快速演进的阶段,所采用的技术方案迭代非常快。为了充分探究技术的未来发展方向,定位关键能力瓶颈,白皮书总结了面向安全运营自动化、智能化的十六种基础前沿技术,并形成技术图谱,以期为网络安全运营场景构建领域技术“内功心法”图谱,如图5 所示。


图5:AISecOps前沿技术图谱


技术图谱在横向上,按照面向攻击对抗的识别粒度进行技术领域划分,粒度自微观到宏观,包括指纹与特征、技术与行为、战术与意图、战役与组织、战役与态势。在纵向上,按照AISecOps智能化的经典技术阶段进行划分,包括数据层面的融合建模,以及分析层面的风险感知、因果认知、鲁棒决策、负责行动五大阶段。同时,根据技术的核心数据源不同,通过颜色进行区分,涵盖环境数据、情报数据、知识数据、行为数据以及融合多维的综合数据。通过总结并归类十六种关键技术,试图厘清AISecOps的技术分类,以支持技术方案的细粒度抽象与整合,支持安全运营智能技术中台等基础平台能力的构建。


AISecOps技术体系的总结,为智能安全运营技术的进一步发展提出了层次的、系统的、前瞻的研究、应用方法论,为技术路线的制定指明了方向。后续精华解读,将带来AISecOps技术发展趋势,敬请期待。





点击“阅读原文”,或在绿盟科技官方微信后台回复“安全运营报告”,查看和下载报告全文。




报告合集


No.

01.


云原生安全技术报告

绿盟科技

中国移动云能力中心

No.

02.


2020物联网安全年报

绿盟科技

CNCERT网络安全应急技术国家工程实验室

No.

03.


2020DDoS攻击态势报告

中国电信云堤

绿盟科技

No.

04.


AISecOps智能安全运营技术白皮书

绿盟科技创新中心

绿盟科技威胁情报中心

天枢实验室

No.

05.


数据安全技术研究报告

绿盟科技创新中心

绿盟科技威胁情报中心

天枢实验室

No.

06.


2020互联网安全事件观察报告

绿盟科技威胁情报中心

绿盟科技伏影实验室



No.

07.


2020BOTNET趋势报告

绿盟科技威胁情报中心

绿盟科技伏影实验室

CNCERT网络安全应急技术国家工程实验室


No.

08.


2020 网络安全观察

绿盟科技


关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接