亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

AI驅(qū)動安全，10年前就曾經(jīng)是一個熱門話題；23年在LLM的推動下，又重新掀起了一番熱潮。 回望過往，國內(nèi)網(wǎng)安行業(yè)曾經(jīng)在AI技術(shù)上全球領(lǐng)先，而如今我們看到確實另一個景象，就如CrowdStrike憑借AI能力構(gòu)建的終端防御能力已經(jīng)全方位超越傳統(tǒng)安全技術(shù)，彼此之間已經(jīng)是質(zhì)的差別。

當(dāng)前LLM的浪潮，對于安全企業(yè)是機會也是陷阱。抓住機會就能夠脫穎而出，掉入陷阱就不僅浪費了資源，也是浪費了時間。結(jié)合過往的經(jīng)歷以及當(dāng)下領(lǐng)先公司的現(xiàn)狀，發(fā)現(xiàn)有兩類問題是投入AI技術(shù)方向是最容易出問題的地方：

1. 確定需要解決的問題：人們經(jīng)常混淆“可以用AI做的事情”與“需要用AI做的事情”，在攻擊成功的成本相對防御已經(jīng)很低的時候，尤其需要區(qū)分這種差別，把資源聚焦在真正需要AI解決，并且AI能夠很好解決問題的地方。
2. 如何構(gòu)建完整的系統(tǒng)：無論從產(chǎn)品或者攻防對抗那個角度去看，AI在網(wǎng)絡(luò)安全中雖然可以解決很多問題，但單獨使用AI技術(shù)時會存在一些不足之處，需要在技術(shù)運營流程、產(chǎn)品架構(gòu)中整合更多的技術(shù)元素使之更為完善。

下面就以Crowdstrike為例展開談?wù)剬@兩個問題的理解。

聚焦最關(guān)鍵的場景是成功的前提

即使不考慮當(dāng)前大火的LLM，AI在網(wǎng)絡(luò)安全中的應(yīng)用場景已經(jīng)非常廣泛，可以說在網(wǎng)絡(luò)安全中的任何一個環(huán)節(jié)，都可以利用AI來嘗試解決問題。下圖就是整合不同廠商、安全機構(gòu)形成的一個比較全的全景圖畫：

也就是說AI在網(wǎng)絡(luò)安全中的應(yīng)用場景，至少可以達到數(shù)十種之多。 數(shù)目雖然眾多，但是每個場景本身的價值不同、場景中已有技術(shù)存在的問題不同、AI可以解決的問題的程度也是不同的，需要基于這三個因素來衡量哪些是值得優(yōu)先投入的。

于很多人的直覺相反，Crowdstrike選擇的關(guān)鍵場景不是EDR、而是AV，也就是一般說的惡意軟件防御。從當(dāng)前看到的公開資料，可以認為CrowdStrike在AI領(lǐng)域的絕大多數(shù)投資以及技術(shù)進展，均來自于惡意軟件防御領(lǐng)域。下面從三個因素出發(fā)看看它為何會做這樣的選擇：

• 場景價值：從攻防對抗角度，防御是建立威脅狩獵/主動檢測的基礎(chǔ)，如果大量低價值攻擊穿過防御機制需要主動檢測/狩獵來解決，那資源壓力必然使整個體系崩潰。防御必須更多的依賴自動化能力，可以抵御絕大多數(shù)的攻擊，在此基礎(chǔ)上威脅狩獵才有可能。從產(chǎn)品市場角度，絕大多數(shù)客戶首先需要的是一個好的殺毒軟件，可以抵御絕大多數(shù)的惡意文件類攻擊，事實上即使是大企業(yè)，對于終端安全軟件的選擇標(biāo)準(zhǔn)，從安全能力角度第一位要考慮的應(yīng)該也是殺毒能力（整體而言部署的簡單、穩(wěn)定、性能影響小，應(yīng)該同樣重要），EDR相關(guān)的能力排在其后。到當(dāng)下為止，終端殺毒可能依然是網(wǎng)絡(luò)安全中市場份額Top3以內(nèi)的產(chǎn)品類別。
• 既有技術(shù)的困局：更多的惡意軟件變形技術(shù)、更多的定向攻擊，使惡意軟件的數(shù)量呈指數(shù)級增長，在這個背景下傳統(tǒng)規(guī)則的方式（無論是特征規(guī)則或者啟發(fā)式規(guī)則）難以應(yīng)對，必然出現(xiàn)大量的漏報問題。同時規(guī)則方式運營的壓力會越來越大，其中也會出現(xiàn)很多流程、人為疏忽等造成的問題，一條錯誤規(guī)則的發(fā)布，有可能會影響到數(shù)百萬甚至更多主機的可用性和穩(wěn)定性。
• AI解決問題程度：AI模型天生有更強的泛化特性，使其可以更有效的應(yīng)對變種以及新的惡意軟件。同時基于AI模式相較啟發(fā)式規(guī)則，在特征向量上可以高出數(shù)個數(shù)量級，更多角度的特征可以保障提供更精準(zhǔn)的檢測能力。在現(xiàn)實中，訓(xùn)練良好的AI模型的惡意軟件檢測效果，已經(jīng)非常明顯的優(yōu)于傳統(tǒng)方式，無論在誤報率、漏報率上都是如此。

CrowdStrike正是因為做好了基于AI模型的惡意軟件防御，才能在大客戶市場和微軟這樣捆綁銷售的高手較量并且勝出，同樣可以在中小客戶市場去替代Mcafee、賽門鐵克、趨勢等傳統(tǒng)AV市場的龍頭。

成功的AI應(yīng)用依賴系統(tǒng)化方法

大方向的正確是成功的前提，但還遠遠不夠。對于CrowdStrike而言，如何在AI技術(shù)的驅(qū)動下，真正取得遠超傳統(tǒng)AV廠商的安全效果是一個更大的挑戰(zhàn)。網(wǎng)絡(luò)安全中對AI有一定了解的人都知道，使用AI的方法存在多種挑戰(zhàn)需要解決，誤報率、漏報率和可解釋性是其中最關(guān)鍵的部分。

漏報/誤報問題

從本質(zhì)上講，誤報和漏報是一體的，在沒有足夠多維度信息做充分條件判斷時，就需要在誤報和漏報中間尋找平衡點；另一個問題在于攻擊者往往會發(fā)明新的攻擊技戰(zhàn)術(shù)方法，客戶的業(yè)務(wù)環(huán)境也可能隨著數(shù)字化進展而不斷變化，這也會造成檢測能力上的挑戰(zhàn)。Crowdstrike使用了數(shù)種方法來應(yīng)對挑戰(zhàn)：

• 首先AI檢測模型依賴的數(shù)據(jù)，不再是單純的靜態(tài)數(shù)據(jù)，而是包括了和進程相關(guān)的更多行為和上下文數(shù)據(jù)；它也不再是對某個文件或者進程的單次分析，而是跟進其行為的持續(xù)分析，直到能夠有較充分的信息來判斷其是否惡意，同時還根據(jù)進程相關(guān)信息進行實時防御動作。AI分析所依賴的數(shù)據(jù)維度較早期的AI模型有更大幅度的擴展，使其可以精準(zhǔn)的檢測離地攻擊、無文件攻擊等傳統(tǒng)AV難以防御的攻擊技術(shù)。
• 其次模型運營流程中其確保有人不斷分析檢測的內(nèi)容，主要針對模型相似度度量以及可識別的樣本，找到可以擴充標(biāo)記數(shù)據(jù)庫的樣本，從而持續(xù)改進，最大限度的降低誤報率和漏報率；
• 最后Crowdstrike充分理解AI基于之前攻擊樣本的學(xué)習(xí)形成的檢測模型，是有可能被攻擊者采用新創(chuàng)造的TTP繞過的，因此其在整個能力運營中也非常關(guān)注將威脅狩獵相關(guān)工作整合到整體流程中，通過狩獵活動來發(fā)現(xiàn)當(dāng)前AI模型所不能看到的攻擊行為，盡快的通過模型迭代升級來填補可能存在的空檔。

Crowdstrike 通過靜態(tài)+行為+上下文方式引入更多的分析維度；通過必要的人工運營介入保障少量、高質(zhì)量的訓(xùn)練數(shù)據(jù)；并且通過威脅狩獵等專家手段不斷發(fā)現(xiàn)模型的不足之處，使其在AI對抗惡意軟件方向上遙遙領(lǐng)先于其他廠商。其公司總結(jié)其經(jīng)驗稱——CrowdStrike的重點不只是精選數(shù)據(jù)及訓(xùn)練最佳模型，而是創(chuàng)建收集數(shù)據(jù)并生成高質(zhì)量模型的流程，并以自動化方式執(zhí)行此操作 。

可解釋性

可解釋性上Crowdstrike的做法曾經(jīng)被多次分析過，它融合了幾種不同的解釋方法，以滿足各種檢出情況、各種相關(guān)人員的需要：

• 文件信譽： 針對典型的惡意文件可以給出具體的病毒種類、家族名稱等信息；
• 情報上下文： 提供使用相關(guān)攻擊工具、技戰(zhàn)術(shù)的攻擊團伙、惡意軟件家族的信息，可以了解攻擊目的、攻擊者能力等，對最終確定事件性質(zhì)/等級很有幫助；
• 沙箱動態(tài)執(zhí)行摘要： 提供相關(guān)惡意軟件在主機上的具體惡意行為序列，讓響應(yīng)者對其具體危害、行為方式有更詳細的了解，在必要情況下可以基于此確定更詳細的響應(yīng)動作。

通過整合這三種可解釋性信息，其NGAV在可解釋性上不但不弱于傳統(tǒng)基于規(guī)則的AV廠商，而是極大程度的超出了。

綜上，CrowdStrike的成功更多是其從系統(tǒng)的角度去看待AI技術(shù)，而不是單獨依賴AI做一個功能模塊，也沒有將AI模型開發(fā)等同與傳統(tǒng)的軟件功能開發(fā)。它更重視通過多種技術(shù)的融合達到更好的安全效果，更注重整體能力運營流程的搭建以及自動化，而這些是很多廠商容易忽視的地方。

結(jié)語

上面的認識都是基于傳統(tǒng)AI技術(shù)的應(yīng)用形成的，并不涉及LLM領(lǐng)域。在過去一年中，已經(jīng)看到LLM在很多ToB應(yīng)用上也取得了明顯的進展：

• Github copilot 在開發(fā)人員中獲取到相對一致的好評，極大提升了工作效率；
• Google和Meta 利用LLM使其廣告業(yè)務(wù)更加有的放矢，保障了其關(guān)鍵業(yè)務(wù)的發(fā)展；
• Palantir 利用GenAI的人機交互特型，簡化了其分析平臺的使用難度，使其可以更快速、更大規(guī)模的推廣其產(chǎn)品；
• Perplexity 整合搜索能力以及LLM的語言理解、翻譯和總結(jié)能力，提供了一個頗具吸引力的知識搜索、學(xué)習(xí)平臺。

網(wǎng)絡(luò)安全中LLM注定也要發(fā)揮重要作用，但當(dāng)前的進展看似都還不明顯。也許2024年能夠看到更多。其中關(guān)鍵的場景會在哪里——代碼理解能力帶來的惡意腳本分析能力？交互形式改變帶來的培訓(xùn)、使用成本降低？亦或是數(shù)據(jù)總結(jié)/標(biāo)記能力帶來的更自動化的數(shù)據(jù)分類分級…….

但無論如何，它應(yīng)該是一個普遍場景下的關(guān)鍵難點，同時詳細在具體解決問題我們依賴的也不僅僅是大模型技術(shù)本身。讓后續(xù)的發(fā)展來驗證這兩個關(guān)鍵點是否還依然有效吧。

來源：ZenMind