RSAC是全球最具影響力的信息安全大會(huì)之一，2023年的RSAC會(huì)議中，安全運(yùn)營(yíng)依然是熱門話題之一。隨著企業(yè)數(shù)字化轉(zhuǎn)型的加速和云化的快速發(fā)展，企業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)有增無(wú)減，那么企業(yè)的安全運(yùn)營(yíng)現(xiàn)狀如何？面臨哪些困境？在本次大會(huì)中又有什么解決方案呢？讓我們跟隨各位演講專家的視角一起看一下。

(ISC)2的報(bào)告顯示，全球網(wǎng)絡(luò)安全人員的缺口為340萬(wàn)。據(jù)教育部最新公布的數(shù)據(jù)顯示，到2027年，我國(guó)網(wǎng)絡(luò)安全人員缺口將達(dá)327萬(wàn)，而國(guó)內(nèi)高校的人才培養(yǎng)規(guī)模約為3萬(wàn)/年?！熬W(wǎng)絡(luò)安全的本質(zhì)在對(duì)抗，對(duì)抗的本質(zhì)在攻防兩端能力較量”，而人與人的對(duì)抗占據(jù)了重要方面。網(wǎng)絡(luò)威脅的激增和人才的缺乏，導(dǎo)致運(yùn)營(yíng)人員長(zhǎng)期處于滿負(fù)荷的工作狀態(tài)，缺乏持續(xù)的培訓(xùn)和成長(zhǎng)，每天面臨著繁重復(fù)雜的工作。Trellix的CEO布萊恩·帕爾馬在對(duì)德國(guó)某制造業(yè)公司的CISO調(diào)研后，如此評(píng)論道：“老實(shí)說(shuō)，我們很難與他的SOC團(tuán)隊(duì)中的任何人交談，這項(xiàng)工作的要求如此之高，分析師甚至無(wú)法將目光從他們的屏幕上移開(kāi)哪怕一秒鐘?！?/span>

我們還看到了其他挑戰(zhàn)，如威脅的平均檢測(cè)和響應(yīng)時(shí)間居高不下；高危漏洞持續(xù)爆發(fā)，攻擊者對(duì)漏洞的武器化時(shí)間越來(lái)越短；伴隨著生成式AI的利用，攻擊者在持續(xù)升級(jí)自己的武器，而大部分企業(yè)對(duì)新技術(shù)的應(yīng)用是落后于攻擊者的。

毫無(wú)疑問(wèn)，由ChatGPT引爆的AI浪潮讓安全專家們看到了安全運(yùn)營(yíng)的破局思路。微軟在今年3月份搶先發(fā)布基于GPT4的Security Copilot，谷歌在RSAC2023推出了基于安全LLM Sec-PaLM的Google Cloud Security AI Workbench，還有其他企業(yè)也發(fā)布了類似的AI模型，或者探索將生成式AI應(yīng)用到網(wǎng)絡(luò)安全的思路和前景。在談到如何利用AI解決運(yùn)營(yíng)難題時(shí)，大家一致認(rèn)可在泛化模型基礎(chǔ)上，結(jié)合安全數(shù)據(jù)、威脅信息和經(jīng)驗(yàn)等，形成適用于網(wǎng)絡(luò)安全的專用模型，并著重強(qiáng)調(diào)了用戶交互和使用體驗(yàn)要更加自然。

雖然目前生成式AI還無(wú)法達(dá)成我們的訴求，但可以想象，在生成式AI助力下，運(yùn)營(yíng)的自動(dòng)化能夠更好更快地實(shí)現(xiàn)，安全專家們從繁瑣的告警中解脫出來(lái)，專注于更高價(jià)值的威脅分析和調(diào)查，并對(duì)AI模型進(jìn)行調(diào)優(yōu)。這同時(shí)也會(huì)降低行業(yè)門檻，普通分析師根據(jù)AI的自然語(yǔ)言提示來(lái)完成工作，最后再由AI生成一份威脅分析報(bào)告。

XDR（Extended Detection and Response，擴(kuò)展檢測(cè)和響應(yīng)）是一種相對(duì)新興的技術(shù)，2018年由Palo Alto Networks提出，可以為安全運(yùn)營(yíng)團(tuán)隊(duì)提供改進(jìn)的威脅預(yù)防、檢測(cè)和響應(yīng)能力。根據(jù)Gartner發(fā)布的2022安全運(yùn)營(yíng)技術(shù)成熟度曲線，XDR處在Peak of Inflated Expectations（期望膨脹期）的頂端。一直以來(lái)，業(yè)界對(duì)于XDR技術(shù)褒貶不一，本文不做討論，SIEM（Security Information and Event Management，安全信息與事件管理）等作對(duì)比，我們專注于該技術(shù)對(duì)安全運(yùn)營(yíng)帶來(lái)的改變。XDR采集和整合跨電子郵件、Web應(yīng)用、終端、網(wǎng)絡(luò)和云端等高保真數(shù)據(jù)，提供所有數(shù)據(jù)的可見(jiàn)性，通過(guò)分析和自動(dòng)化技術(shù)實(shí)現(xiàn)對(duì)威脅接近實(shí)時(shí)的檢測(cè)和響應(yīng)。XDR不是單一的產(chǎn)品，而是一個(gè)可以擴(kuò)展的平臺(tái)，提供給企業(yè)一個(gè)統(tǒng)一的視角來(lái)應(yīng)對(duì)日益復(fù)雜的網(wǎng)絡(luò)威脅。借助XDR，企業(yè)可以更好落地AI算法，達(dá)成網(wǎng)絡(luò)安全建設(shè)目標(biāo)。

正如本次RSAC2023的主題——“Stronger Together”，合作、共強(qiáng)讓我們可以共享信息，領(lǐng)先攻擊者。在網(wǎng)絡(luò)威脅日益頻繁的今天，數(shù)據(jù)泄露、供應(yīng)鏈攻擊、地緣政治導(dǎo)致的黑客攻擊、APT攻擊等犯罪活動(dòng)對(duì)企業(yè)造成嚴(yán)重危害，我們更應(yīng)該加強(qiáng)合作，為企業(yè)提供簡(jiǎn)單、易用、高效的安全解決方案，切實(shí)保護(hù)企業(yè)的業(yè)務(wù)、資產(chǎn)、數(shù)據(jù)安全。