从产品主义迈向智能主义,安全智能体做对了什么?
一分钟到底能完成多少事情?可以在塑胶操场上跑完400米,一气呵成完成35个俯卧撑,还可以书写12个英文单词,也足以让一支球队反败为胜……其实,完成一次典型的APT猎杀,也只需要一分钟而已!
近日曝出,从某金融机构的财务人员无意间点开钓鱼邮件,到安全运营人员收到告警,并根据分析报告在第一时间对可能受到影响的资产做出合理处置,只经历了短短60秒。
据悉,这是首次系统在无人类专家介入的情况下,智能化地捕获APT攻击。在这一创举的背后,AI Agent——360安全智能体发挥了至关重要的作用。
给安全运营装上“大脑”
回顾网络安全的发展历史,在迈向智能化时代的征程中,人始终处于主导地位,只不过在不同的阶段,承担的具体职能,以及人与AI之间的关系有所不同而已。
在AI技术应用于网络安全领域的初期,制定安全策略,发现和判别威胁与攻击,并采取应对措施,基本都要依靠网络安全专业人士,只有少量安全工具具有基础的智能化功能。随着AI技术不断走向成熟,特别是一些适宜AI的安全运营场景层出不穷,人类与AI间的交互模式也从工具型AI发展至助理式AI,各类AI副驾不再是机械地完成人类的指令,而是可以参与人类工作流,并与人类协同工作。以生成式AI、大模型的兴起为标志,基于大模型的AI Agent日趋独立,在特定业务场景中可以自主调用资源完成任务,而人类在其中主要起到监督和评估的作用。需要特别指出的是,虽然未来AI Agent会承担大部分的工作量,但是人类仍将在安全运营中发挥主导作用。
安全智能化发展的必然趋势是,只需给定一个目标,AI Agent即可针对目标独立思考、获取知识、自主研判并做出行动。它可以根据给定任务,详细拆解计划步骤,并依靠来自外界的反馈和专家引导,自主创建指令,以达成既定目标。正是由于大模型的出现,加速了AI Agent从理想照进现实。安全大模型如同给AI Agent装上的一个智慧的大脑,可以更好地支配各类安全工具,实现智能化的运营,提升安全能力的同时,也提高了运营效率,并降低了技术应用的门槛。
数据、专家、工具
安全新范式一个也不能少
从ChatGPT诞生之初,关于通用大模型将一统天下,还是垂直大模型更具商业落地价值的争论便不绝于耳。IDC的调研显示,网络安全是生成式AI影响最大的行业之一。安全行业垂直大模型既是必须也有可能。
就在国内外众多安全厂商纷纷试水大模型应用之时,360率先推出了AI Agent。这不仅仅是又一次技术上的突破,更被认为是智能化安全服务新范式的开端。
360为什么能够抢得杆位?在回答这个问题之前,还是先让我们了解一下,到底什么是Agent智能体。所谓Agent智能体,是一种能够感知环境、进行决策和执行动作的智能实体。360安全智能体以360安全智脑大模型为核心,统筹任务编排引擎、任务生成引擎、监督评测引擎、指令调度引擎、记忆存储、执行反馈等组件,并综合利用360安全智脑大模型的生成能力和专家经验,灵活自适应地编排任务方案,实现对安全工具的准确调用,从而具备了智能化安全运营的能力。
对安全智能体进行拆解你会发现,它的核心组成要素就是“数据、专家、工具”。
所谓无数据,不智能。如果没有海量、高质量的安全数据、样本、特征等数据语料喂给大模型,那么智能化只能是空中楼阁、纸上谈兵。360的核心优势之一,正是积累了全球规模最大的安全大数据、最广泛的样本,以及最丰富的威胁行为特征。将这些数据、样本、特征赋予大模型进行训练,才有了360安全智能体的“内生智慧”。
许多企业在安全防御过程中之所以漏洞百出、捉襟见肘,皆因缺少专业的网络安全人才,而很多时候高精尖的人才是可遇而不可求的。拥有众多专业的安全人才,同时还能将其丰富的经验固化下来,并举一反三,这对安全攻防实战来说是最强大的底气。360的安全专家拥有近20年的攻防实战经验,沉淀并形成了攻防技战术图谱,一方面内化为安全大模型的能力,另一方面储存至安全智能体记忆模块中,能够持续增强安全智能体的编排能力。
如果将安全智能体比作一个人,那么大模型就是大脑,各类安全工具就是四肢。大脑灵活指挥,四肢协调运作,才能让安全策略得到坚决而彻底的执行,才能让自动化的安全运营事半功倍。多年以来,360持续深耕安全垂类场景。360安全智能体可以适配、控制、协作各种类型的安全工具。同时,360安全智能体作为一个平台,还可以兼容支持生态伙伴的各种安全工具,更好地以体系化的方式解决复杂的安全运营问题。
其实从首推在线杀毒开始,到提出安全即服务,再到今天发布安全智能体,360一直在以创新思维推动着对传统网络安全的颠覆。这源于360对趋势的敏锐洞察,安全的互联网化、服务化和智能化,以及可运营是大势所趋。
具体到安全智能化,360在战略上运筹帷幄,在战术上稳步推进。2023年6月,360发布了认知型通用大模型360智脑4.0,同时宣布360智脑已接入360旗下产品全家桶;同年8月,360发布国内首个可交付的安全行业大模型——360安全大模型;如今,360又实现了从安全大模型到安全智能体的跃进,360安全智能体能够显著提升单个产品和系统整体的安全能力。
与工具型安全厂商不同,360是安全平台型厂商,安全智能体的加持,能够更好地发挥其平台的特长,赋予日益增多的生长在此平台上的安全功能、安全工具以智能,实现更好的协同,并对安全生态建设起到积极的促进和带动作用。
场景化是突破口
借助生成式AI,吟诗作赋、画画聊天都是不错的选择。但是在企业级应用场景中,这些似乎都不是关键。尤其是在网络安全领域,很多用户对于“语音问答”兴趣不高。从功能上来讲,仅有安全问答、告警解读等单一功能的安全大模型,难以消除用户真正的痛点。正如360集团首席科学家兼360数字安全集团CTO潘剑锋所言,“安全大模型要真正为客户解决痛点问题,才能被客户所接纳”。因此,无论对于安全厂商,还是行业用户来说,生成式AI的场景化无疑是当前最紧迫的任务。
上文提到的360安全智能体仅用一分钟便完成了智能化APT猎杀,之所以能够引起业内的广泛关注,一个重要原因是,它发掘出了360安全智能体最适用的场景之一,能够带给用户实实在在的价值。
360立足“小切口、大纵深”的方法论,以“安全场景适用度”为指标依据,构造适合大模型特性的高价值安全场景,助推安全智能体的落地应用。从实践来看,360安全智能体面向自动化威胁狩猎、自动化安全运营等,已经实现了场景自动化,即由人类负责设定目标、提供资源和监督结果,安全智能体负责完成任务拆分、工具选择和进度控制等,然后再将执行结果返回给人类。
安全专业能力的提升,以及更加易用和中小企业也能负担的成本,是360安全智能体未来能够在行业长驱直入的根本因素。“数字安全已经从卖单品盒子的产品主义阶段,进化到了当前以能看见处置威胁为核心的能力主义阶段,未来还将发展到利用人工智能技术赋能安全工具,颠覆传统运营模式的智能主义阶段。在智能主义阶段,最大的痛点就是在水准线以上的安全运营专家的不足。大模型的出现为解决这些问题开辟了新途径,也为数字安全带来了新范式,即智能主义——安全智能体+安全工具。”潘剑锋指出,“未来,安全智能体将逐渐替代人类,使用各种安全工具,完成越来越复杂的任务。这将是整个行业努力的方向。”