AISecOps 智能安全运营
技术体系
AISecOps 技术发展尚处于初级阶段,本章将全面梳理、总结、出 AISecOps 的技术内涵、指标体 系、数据分类、技术框架、成熟度 矩阵等关键概念和理论,以明确 AISecOps 技术的发展方向与技术路线。
AISecOps 核心内涵
从基本的词语组合来看,AISecOps 由 AISec,SecOps,AIOps 三大核心技术组成。
人工智能安全(AISec)的技术融合给行业带来了新的期盼。无论是 AI自身安全还是基于 AI的安全 应用,都已成为学术界和工业界的热点话题。AI技术在诸多单点安全技术和指定场景中,如恶意软件
分类、 恶意流量识别、入侵检测等,已取得不错的应用效果。
IT智能运维(AIOps)亦是整个互联网、智能计算领域的研究热点 [9]。该技术方向重点关注复杂 IT 系统环境的异常检测、根因定位、告警分诊等关键技术
。不过,IT运维不同于安全运营,缺乏对网络威胁、 脆弱性、资产等核心风险要素的系统化建模,相关技术经验难以直接复用到安全运营场景中。
最后,安全运营(SecOps)作为应用场景与目标,主要由流程、人和技术三个核心要素构成。本 文更关注技术要素在智能安全运营时代下的发展趋势
。传统安全运营的技术能力主要由安全专家供, 例如告警分类分级、威胁狩猎、样本分析、威胁溯源等等。然而,基于安全专家的运营能力与快速膨胀 的防护需求之间,已逐渐形成巨大的剪刀差,安全人才的缺口与瓶颈日趋严。因此,探索智能安全运 营技术方案,已是迫在眉睫。
图 8 AISecOps 核心技术能力拆解
AISecOps,智能安全运营技术并不是简单地 AISec、SecOps 和 AIOps 技术的加和。人工智能赋能 的有效性,一方面取决于人工智能技术自身的发展水平,另一方面,更决定于人工智能技术与相关应用 场景在核心目标、体系架构、功能需求、数据模型的多方面的融合程度。智能化是手段,而不是目标。 为此,本文归纳了智能安全运营的核心内涵,以明确技术实现与发展的范畴:
“AISecOps 技术是以安全运营目标为导向,以人、流程、技术与数据的融合为基础,面向预防、检测、 响应、预测、恢复等网络安全风险管控、攻防对抗的关键环节,构建数据驱动的、具有高自动化水平的 可信任安全智能技术栈,实现安全智能范畴下的感知、认知、决策、行动能力,辅助甚至代替人在动态 环境下完成各类安全运营服务。”
不同于 AISec 实践中智能化技术与安全领域的单点结合,智能安全运营是在核心运营指标的导向下, 系统、深入的多维融合智能化技术方案,以应安全运营不同阶段、不同任务场景的应用需求,这对传 统人工智能技术的鲁棒性、可信性、安全性提出了全新的要求。
AISecOps 指标体系
以上内涵中,安全运营目标是引导技术能力发展方向的关键。因此,本文面向安全运营的关键需求, 自顶向下总结了 AISecOps 技术的指标层次,分别包括愿景目标、运营指标和技术指标。其中,技术指 标又可分为数据指标和分析指标。
在此,我们只粗略地划分了指标体系的层次,列举不同层次中的一些关键指标。值得注意的是,在层 次化指标设计的基础上,需要精细化设计指标的依赖性关系与数值化度量,以促进指标体系的有效运转。
网络安全运营能力的供是目标导向的。从企业、组织、国家的愿景目标出发,进而构建安全运营 任务级别的运营指标,进一步指导构建数据与分析层面的技术指标,最终形成图 9 所示的层次化指标体 系,以评估技术实现的有效性。
愿景目标
基础设施安全 、 品牌价值 、 数据资产 、 服务稳定性 ……
运营指标
有效事件数 、 MTTD、 MTTR、 驻留时间 、 信噪比 、 告 警规模 、 事件影响范围 、 资产覆盖率 ……
分析指标 数据指标
覆盖率 、 TOPN召回 率 /误 覆盖率 、 规范化 、 存储范
报率 、 整体误报率 、 围 、 多样性 、 交互性 ……
ROC、 可解释性 ……
图 9 AISecOps 指标体系
愿景目标指企业、组织、国家等主体层面的核心安全、业务、商业目标。例如,维护 IT基础设施 的稳定运行,保护核心数据资产,维护品牌价值的安全性等。这些愿景目标与主体的发展目标密不可分。
运营指标以愿景目标为基础,针对网络安全相关的业务能力制定安全运营核心指标,以评估安全运 营能力水平。在运营指标的导向下,需要有针对性地对数据融合水平和分析技术水平进行评估,以促进 技术能力的迭代。
在数据层面,需要考虑包括覆盖率、规范化、存储时效、多样性、交互性等指标;在分析层面,不 仅要考虑传统机器学习等技术的评估指标,包括预测精确性、召回率、ROC等,还重点考察场景覆盖率、 TOPN 召回率 / 误报率、整体 / 单点误报率及模型可解释性等面向可运营、易运营的分析指标,合理促 进技术与人、流程的深度融合。
