信息化觀察網(wǎng)

網(wǎng)絡(luò)安全已經(jīng)全面進(jìn)入智能防御時(shí)代，融入人工智能技術(shù)成為網(wǎng)絡(luò)攻防的新常態(tài)。安全威脅不斷變化升級(jí)，政府和企業(yè)迫切需要自動(dòng)化防御手段高效地檢測(cè)和處置威脅。在華為全聯(lián)接2020網(wǎng)絡(luò)安全線上專題演講中，IDC中國(guó)助理研究總監(jiān)王軍民和華為安全產(chǎn)品領(lǐng)域CTO張光明共同探討網(wǎng)絡(luò)安全發(fā)展趨勢(shì)，構(gòu)筑未來(lái)數(shù)字信任框架，并分享如何構(gòu)建AI加持的網(wǎng)絡(luò)安全防御架構(gòu)，攜手客戶共創(chuàng)行業(yè)新價(jià)值。

智能攻防成為網(wǎng)絡(luò)安全產(chǎn)業(yè)又一新常態(tài)

王軍民 IDC中國(guó)助理研究總監(jiān)

網(wǎng)絡(luò)安全市場(chǎng)的發(fā)展和ICT市場(chǎng)的發(fā)展是緊密相連的，網(wǎng)絡(luò)安全的成熟度也隨著ICT市場(chǎng)發(fā)展逐漸成熟。全球權(quán)威咨詢機(jī)構(gòu)IDC在2007年提出以云計(jì)算、大數(shù)據(jù)、社交和移動(dòng)四大支柱技術(shù)為依托的“第三平臺(tái)” 概念，以第三平臺(tái)為基礎(chǔ)，將全球ICT市場(chǎng)發(fā)展分為三個(gè)階段：試點(diǎn)創(chuàng)新、倍增創(chuàng)新、智能創(chuàng)新。

今天，第三平臺(tái)技術(shù)已經(jīng)進(jìn)入到倍增創(chuàng)新的階段，成為企業(yè)IT系統(tǒng)的基礎(chǔ)。人工智能技術(shù)開(kāi)始被行業(yè)所關(guān)注，并且越來(lái)越廣泛的被應(yīng)用于各行各業(yè)。未來(lái)，進(jìn)入“智能創(chuàng)新”階段，在超復(fù)雜性規(guī)?；h(huán)境中，人工智能的成熟度將呈現(xiàn)指數(shù)級(jí)增長(zhǎng)，人工智能在網(wǎng)絡(luò)安全的領(lǐng)域也將會(huì)產(chǎn)生更多的創(chuàng)新。

在過(guò)去的兩年里，伴隨著ICT的高速發(fā)展，全球的惡意移動(dòng)軟件攻擊的數(shù)量增加了將近一倍；在我國(guó)，漏洞的數(shù)量也逐年遞增。究其原因，其主要在于數(shù)字化轉(zhuǎn)型帶來(lái)了IT資產(chǎn)價(jià)值的大幅提升，導(dǎo)致黑產(chǎn)為獲利而加大各種網(wǎng)絡(luò)攻擊行為。根據(jù)IDC在亞太地區(qū)的一項(xiàng)調(diào)研，當(dāng)網(wǎng)絡(luò)攻擊發(fā)生時(shí)，只有17%企業(yè)可以使用自動(dòng)化工具，實(shí)時(shí)的進(jìn)行威脅處理，而其他的絕大多數(shù)的企業(yè)難以高效處理網(wǎng)絡(luò)攻擊事件。因此，未來(lái)企業(yè)需要的是自動(dòng)化的處理、快速的檢測(cè)、快速的響應(yīng)，人工智能技術(shù)和機(jī)器學(xué)習(xí)技術(shù)將會(huì)在此間發(fā)揮巨大的作用。

新技術(shù)推動(dòng)數(shù)字化轉(zhuǎn)型的同時(shí)，也會(huì)為黑產(chǎn)所利用。近些年來(lái)，隨著云計(jì)算、物聯(lián)網(wǎng)、人工智能的快速發(fā)展，使得這些技術(shù)和基礎(chǔ)設(shè)施可以作為企業(yè)業(yè)務(wù)系統(tǒng)的資源，極大的提高企業(yè)的生產(chǎn)效率。但是，它們也為黑產(chǎn)進(jìn)行網(wǎng)絡(luò)攻擊提供了技術(shù)支撐，例如，云計(jì)算的大量運(yùn)算能力可能會(huì)被用來(lái)發(fā)起DDoS攻擊；會(huì)有一定比例的海量物聯(lián)網(wǎng)終端可能被黑客控制做為“肉雞”；人工智能技術(shù)也可能被用于自動(dòng)化攻擊工具的開(kāi)發(fā)，形成AI黑客機(jī)器人。在這種情況下，依賴人工去處理大量的攻擊事件是不現(xiàn)實(shí)的。因此，未來(lái)網(wǎng)絡(luò)安全技術(shù)與人工智能技術(shù)結(jié)合，制造AI防御機(jī)器人對(duì)抗AI黑客機(jī)器人進(jìn)行防御將是一種必然的趨勢(shì)。

20年前，由于IT架構(gòu)極簡(jiǎn)，企業(yè)進(jìn)行網(wǎng)絡(luò)安全建設(shè)往往是簡(jiǎn)單選擇一些合規(guī)產(chǎn)品，如防火墻、入侵檢測(cè)、日志分析等。今天，企業(yè)的IT系統(tǒng)已經(jīng)廣泛的部署在云計(jì)算環(huán)境中，基礎(chǔ)設(shè)施環(huán)境越發(fā)復(fù)雜，僅僅依靠這些產(chǎn)品已經(jīng)不足以識(shí)別、發(fā)現(xiàn)、處置復(fù)雜的安全風(fēng)險(xiǎn)。根據(jù)IDC研究，未來(lái)，企業(yè)所選擇的網(wǎng)絡(luò)安全技術(shù)將向大數(shù)據(jù)分析、AI、認(rèn)知方向發(fā)展，具體包括：自動(dòng)響應(yīng)、開(kāi)發(fā)安全計(jì)劃、調(diào)查、探索、威脅誘捕等等新的安全技術(shù)。

根據(jù)IDC的調(diào)研，全球網(wǎng)絡(luò)安全市場(chǎng)需求仍然不斷快速增長(zhǎng)。IDC預(yù)測(cè)，到2022年，60%的安全運(yùn)營(yíng)中心的初級(jí)分析師，將利用人工智能和機(jī)器學(xué)習(xí)持續(xù)提高其工作效率，并提升其運(yùn)營(yíng)的安全水平。未來(lái)將會(huì)有更多的安全技術(shù)與人工智能技術(shù)緊密結(jié)合，互相處促進(jìn)，逐漸成熟。人工智能也將成為網(wǎng)絡(luò)安全產(chǎn)業(yè)未來(lái)發(fā)展必備的關(guān)鍵技術(shù)。

如何構(gòu)建AI加持的網(wǎng)絡(luò)安全防御架構(gòu)

張光明 華為安全產(chǎn)品領(lǐng)域CTO

AI無(wú)疑是當(dāng)前最熱的一個(gè)詞匯，它在智能安防、語(yǔ)音識(shí)別、互聯(lián)網(wǎng)智能推薦方面得到了普遍的應(yīng)用，在ICT基礎(chǔ)設(shè)施、云基礎(chǔ)設(shè)施運(yùn)維等方面也得到很好的應(yīng)用。但是在網(wǎng)絡(luò)安全方面，目前的應(yīng)用還處于初級(jí)階段。

首先，網(wǎng)絡(luò)安全防御體系與物理世界防御有著相似之處，可以用二戰(zhàn)時(shí)法國(guó)馬奇諾防御體系來(lái)做一個(gè)比喻。馬奇諾防御體系是法國(guó)基于塹壕戰(zhàn)思維修建的一條防線。從設(shè)計(jì)來(lái)講，馬奇諾防御體系設(shè)計(jì)科學(xué)，設(shè)施完備，縱深防御各方面都做得非常好。但是它的缺陷也非常明顯。首先，它是一個(gè)靜態(tài)的防御體系，無(wú)法適應(yīng)變化，反應(yīng)速度不夠快；其次，在對(duì)敵防御時(shí)識(shí)別不夠準(zhǔn)確，只能從自己視角識(shí)別敵人的進(jìn)攻方式，沒(méi)有考慮此之外的漏洞，因此是不完善的；另外，一戰(zhàn)的塹壕戰(zhàn)思維應(yīng)對(duì)二戰(zhàn)的閃電戰(zhàn)，戰(zhàn)略戰(zhàn)術(shù)思維差距大，也不夠聰明。

在網(wǎng)絡(luò)安全領(lǐng)域，目前的威脅防御也面對(duì)類似的情況。網(wǎng)絡(luò)防御的目標(biāo)，目前已經(jīng)從已知威脅防御開(kāi)始向未知威脅防御轉(zhuǎn)變。對(duì)于已知的威脅，防御技術(shù)是相對(duì)成熟的。但是針對(duì)未知威脅以及變種，特別是針對(duì)一些未知的漏洞，0-day的漏洞，目前缺乏有效應(yīng)對(duì)的手段。

為了應(yīng)對(duì)海量未知威脅，安全防御體系逐步開(kāi)始向基于AI的自動(dòng)化對(duì)抗演進(jìn)。安全防御可以看做是從人工到智能轉(zhuǎn)換的過(guò)程。人工專家從最初的執(zhí)行工作，慢慢演進(jìn)到更高級(jí)的安全規(guī)劃、策略制定、對(duì)抗策略等方面。一些簡(jiǎn)單的重復(fù)的工作，逐漸交給機(jī)器智能去完成。

這個(gè)過(guò)程可以分為三個(gè)階段。首先，對(duì)于人們已知的威脅，通過(guò)安全防御設(shè)備加上人工處理對(duì)抗威脅。其次，對(duì)于人們已經(jīng)理解的未知威脅，可以逐漸演進(jìn)為低度的自主對(duì)抗，通過(guò)AI技術(shù)的加持，從單點(diǎn)防御方面進(jìn)行一些檢測(cè)能力的增強(qiáng)，從而能夠覆蓋未知威脅進(jìn)攻。可以針對(duì)某個(gè)具體業(yè)務(wù)場(chǎng)景，從預(yù)防、檢測(cè)、到威脅處置進(jìn)行完全閉環(huán)的操作，實(shí)現(xiàn)一定程度智能、自動(dòng)化。最后，對(duì)于未來(lái)的未知威脅，能完全做到這種機(jī)器自主對(duì)抗，實(shí)現(xiàn)在全領(lǐng)域、全方位對(duì)抗安全威脅。這將是一個(gè)逐步演進(jìn)的過(guò)程。

那么，采用AI技術(shù)加持的網(wǎng)絡(luò)安全防御架構(gòu)應(yīng)該如何實(shí)現(xiàn)呢？

首先，在網(wǎng)絡(luò)邊界，基于NGFW的防御體系已經(jīng)有10年歷史了。這個(gè)防御體系在應(yīng)用識(shí)別基礎(chǔ)上，增加了對(duì)簽名庫(kù)硬件加速的支持，可以滿足PC互聯(lián)網(wǎng)時(shí)代的防御要求。然而在近10年來(lái)，互聯(lián)網(wǎng)已經(jīng)從PC互聯(lián)網(wǎng)時(shí)代轉(zhuǎn)變成移動(dòng)互聯(lián)網(wǎng)時(shí)代，人們的生產(chǎn)生活完全基于互聯(lián)網(wǎng)這個(gè)基礎(chǔ)設(shè)施展開(kāi)。人們面臨的威脅面在擴(kuò)大，威脅的種類在增多，威脅也變得立體化。網(wǎng)絡(luò)邊界防御是整個(gè)安全防御體系的第一道門，通過(guò)AI能力加持，通過(guò)數(shù)學(xué)建模對(duì)一些未知威脅進(jìn)行行為分析。分析結(jié)果可以直接在網(wǎng)絡(luò)邊界設(shè)備上處理，做到威脅防御能力既快速又準(zhǔn)確。

其次，網(wǎng)絡(luò)邊界受限于部署位置，無(wú)法了解整個(gè)網(wǎng)絡(luò)的全局，因此需要在網(wǎng)絡(luò)中構(gòu)建一個(gè)安全大腦。安全大腦通過(guò)知識(shí)驅(qū)動(dòng)，AI技術(shù)可以幫助獲取這些知識(shí)。安全大腦是企業(yè)安全運(yùn)維人員的一個(gè)操作平臺(tái)，它可以理解安全規(guī)章制度，網(wǎng)絡(luò)流量信息，了解資產(chǎn)漏洞，調(diào)度各類防御設(shè)施，把這些單點(diǎn)防御結(jié)合在一起形成整體協(xié)同防御，從檢測(cè)到根治形成閉環(huán)，給出快速合理的處置方案。

第三，除了網(wǎng)絡(luò)邊界和本地安全大腦之外，還需要借助云端平臺(tái)，及時(shí)獲取最新的知識(shí)。云端會(huì)基于AI技術(shù)對(duì)每天數(shù)百萬(wàn)級(jí)的樣本進(jìn)行自動(dòng)化的安全威脅分析，把安全數(shù)據(jù)加工成信息，最后形成知識(shí)，不斷進(jìn)化，適應(yīng)新的變化，應(yīng)對(duì)日新月異的網(wǎng)絡(luò)的攻擊，讓網(wǎng)絡(luò)邊界和本地安全大腦的效率提升百倍。

總之，AI加持的安全防御體系的三層架構(gòu)，突破了單點(diǎn)和局部防御，走向全局的全球化的安全能力集成。從最初靜態(tài)防御體系到新的AI加持的這種防御體系，從被動(dòng)到主動(dòng)，從人類專家手工到機(jī)器智能自動(dòng)化轉(zhuǎn)變的過(guò)程。在整個(gè)安全防御體系里，AI加持也表明現(xiàn)在人工智能應(yīng)用也還處于初級(jí)階段。未來(lái)AI會(huì)成為安全防御的基礎(chǔ)材料，成為整個(gè)安全長(zhǎng)城的城磚，各廠家在垂直領(lǐng)域做出自己的這種安全能力貢獻(xiàn)，建設(shè)真生態(tài)，協(xié)力完成數(shù)字世界的安全守護(hù)。