2023年TechWorld绿盟科技智慧安全大会思考总结

背景

绿盟科技应用AI实现安全行业工业范式重塑,通过大模型解决大问题:实战态势指挥调度、红蓝对抗辅助决策以及安全运营效能提升

基础:高质量语料来源

绿盟科技经过多年的积累和转化,从过去分散在各处的单点数据逐步构建情报体系,形成知识图谱,最终积累到现在的高质量语料数据体系,覆盖攻、防、情报、知识等多个方面,是目前看到市场上覆盖最全面的数据体系。绿盟科技的语料是与绿盟科技的安全工作、组织架构融合在一起的,可以在各类实验室研究、攻防团队积累、安全运营过程中源源不断地生成。

场景化应用

界面自动生成

简介

效率提升:周-月级 -> 分钟级

安全运营的一个重点工作就是事件监控,不同场景、不同阶段、不同安全成熟度的客户对于安全运营的需求存在差异,带来大量安全管理平台的界面定制。绿盟风云卫大模型接入,只需完成对应接口开发和组件开发,由大模型实现页面调度和编排,几分钟即可生成新界面。

理解

大模型在这一过程中的作用包括:

  • 自然语言理解: 大模型可以理解用户的自然语言输入,识别他们的需求。例如,用户可以简单地描述想要的界面功能,模型能够解析这些需求并提取关键信息。
  • 模板匹配和生成: 大模型可以从大量的现有界面模板中学习,识别哪些模板适合特定需求,并在需要时生成新的模板。通过深度学习技术,模型能够自动生成与需求相匹配的用户界面。
  • 智能推荐: 基于用户的历史行为和偏好,大模型可以智能推荐界面布局和组件。例如,如果用户经常使用某种功能,模型可以自动将其放置在更显眼的位置。
  • 实时调整与反馈: 大模型可以根据用户的实时反馈进行动态调整。当用户与界面交互时,模型可以捕捉到用户的使用模式,及时更新和优化界面。

示例

假设一家公司需要创建一个监控仪表板,使用大模型可以这样进行:

  • 用户输入:安全分析师输入“我需要一个显示网络流量和警报的仪表板”。
  • 模型处理:大模型解析该需求,选择适合的模板,并自动生成相关组件(如流量图表、警报列表)。
  • 布局生成:模型将这些组件整合到一个界面中,并根据重要性调整其位置,例如将警报放在显眼位置。
  • 优化反馈:用户使用仪表板后,如果发现某个组件不够突出,模型可以根据这个反馈进行调整,提升用户体验。

检测规则自动生成

简介

效率提升:1天 -> 分钟级

漏洞被披露后,安全厂商生产漏洞检测和防护规则包、客户下载升级并应用周期较长。绿盟风云卫大模型可以提交对应POC或恶意样本,自动编排检测规则,自动下发,几分钟完成漏洞应急工作,大大降低风险。

理解

在网络安全领域,漏洞利用代码(Proof of Concept, POC) 是指一个小型的程序或代码片段,展示如何利用特定漏洞进行攻击。恶意样本 则是指攻击者实际使用的恶意软件或代码,用于破坏系统或窃取数据。

传统情况下,当一个新的漏洞被公开(例如一个影响软件系统的安全漏洞),安全厂商需要开发相应的检测和防护规则,来帮助企业应对该漏洞。这包括:

  1. 分析漏洞:专家需要详细研究漏洞是如何工作的。
  2. 编写检测规则:基于漏洞的行为模式,安全专家编写检测规则,这些规则告诉安全设备如何识别出受到攻击的系统。
  3. 发布规则更新:厂商将这些规则打包成更新包,客户下载并应用到他们的安全系统中。

这一过程通常需要花费一天甚至更长的时间,漏洞在这个周期中可能带来风险,因为没有足够快的防护手段。

风云卫大模型的作用

使用大模型后,整个流程可以被极大简化,效率显著提升。以下是详细的步骤,结合一个例子说明:

示例:零日漏洞的应急处理

  1. 漏洞曝光: 假设一个新的零日漏洞(从未被公开过的漏洞)被披露了,它影响某个常用的企业软件。攻击者通过一个特定的输入序列触发了软件的缓冲区溢出,从而能够远程执行恶意代码。
  2. 提交漏洞利用代码(POC)或恶意样本: 安全研究人员或安全厂商从漏洞公开的公告中获取了漏洞利用代码(POC),这是一个展示如何利用该漏洞的代码片段。该POC被提交给绿盟风云卫大模型。
  3. 自动生成检测规则: 大模型接收到POC后,利用其内置的知识和分析能力,自动对漏洞行为进行解析。模型会识别出这个POC的关键特征,例如:哪些网络流量或系统行为与漏洞利用有关(比如特定的数据包格式或特定的系统调用)。接着,它会根据这些特征自动生成对应的检测规则,这些规则能用于检测和防御与该漏洞相关的攻击行为。
  4. 发布和应用检测规则: 在生成规则后,模型会自动下发这些规则到客户的安全设备上(例如入侵检测系统、入侵防御系统等)。整个过程只需几分钟的时间,客户系统即可开始防护。

缓冲区溢出(Buffer Overflow)是一种常见的安全漏洞,它发生在程序试图将数据写入一个固定大小的内存缓冲区时,如果输入的数据超出了缓冲区的大小,程序就会覆盖相邻的内存区域。

具体过程:

  1. 输入数据: 攻击者构造一个特定的输入序列,这个序列包含了超出程序预期的数据长度。例如,假设一个程序为用户输入分配了100个字节的缓冲区,但攻击者输入了200个字节的数据。
  2. 触发溢出: 当程序处理这个输入时,由于没有适当的边界检查,它会将超出部分的数据写入内存的其他区域,这就造成了缓冲区溢出。
  3. 覆盖内存: 溢出的数据可能会覆盖重要的控制信息,如返回地址或函数指针。返回地址指向程序执行后续代码的地址,攻击者可以精确控制这一地址。
  4. 远程执行恶意代码: 攻击者可以在输入数据中插入恶意代码(通常称为“payload”),并修改返回地址,使程序在执行完当前函数后跳转到恶意代码的地址。这意味着一旦程序运行到那个点,就会执行攻击者注入的代码,从而实现远程执行恶意代码的目的。

通过缓冲区溢出,攻击者可以利用软件中的漏洞,改变程序的执行流,实现对系统的控制和恶意操作。这种攻击方式通常用于获取未经授权的访问、数据窃取或其他恶意行为。

分析研判处置自动化

简介

效率提升:6小时 -> 分钟级

高级威胁、复杂事件分析研判响应需要高级专家数天时间。绿盟风云卫大模型能够生成式引导运营人员去做分析和响应,降低安全运营门槛。另一方面,大模型能够将分析此类型事件的固定模式给记录下来,实现后续自动化分析和响应全过程。同时可以自动化生成SOAR响应处置脚本,自动应用到各类检测和防护设备中。

理解

具体过程:

  • 事件监测: 安全系统实时监测网络流量、用户行为、系统日志等,识别潜在的安全事件。这些事件可能包括入侵尝试、恶意软件活动或异常流量。
  • 事件分类和优先级排序: 一旦识别出安全事件,模型会根据预设的规则和学习到的模式,对事件进行分类和优先级排序。例如,将高风险的事件(如针对关键资产的攻击)标记为高优先级,而低风险的事件(如一般的登录失败)标记为低优先级。
  • 引导分析: 对于高优先级事件,模型可以生成分析指导,提示操作人员需要关注的关键指标和可能的攻击路径。例如,如果检测到异常流量,模型可能建议检查特定用户的活动记录和流量来源。
  • 自动化响应: 在分析过程中,模型可以自动生成应对策略。例如,当识别到某种类型的攻击时,模型可以自动创建和部署安全编排响应(SOAR)脚本,这些脚本指示安全设备如何响应。例如,立即封锁可疑IP地址、增加特定用户的安全监控等。
  • 实时反馈与优化: 在事件处置过程中,模型能够实时收集操作人员的反馈,并根据这些反馈优化后续的分析和响应策略。这样,随着时间的推移,模型的准确性和效率会不断提高。

安全编排响应(SOAR)脚本是一种自动化脚本,用于在安全事件发生时协调和执行响应措施。这些脚本将不同的安全工具和流程整合在一起,以实现快速、有效的响应。
SOAR脚本的主要功能包括:

  1. 自动化任务: SOAR脚本可以自动执行各种安全任务,如封锁可疑IP地址、隔离受感染的设备、生成安全事件报告等,减少人工干预。
  2. 事件响应流程: 脚本定义了一系列预设的响应步骤,当特定事件发生时,系统会按照这些步骤自动执行。例如,如果检测到某种类型的攻击,SOAR脚本会自动触发相应的响应措施。
  3. 集成不同工具: SOAR脚本能够与多种安全工具(如防火墙、入侵检测系统、SIEM等)进行集成,确保各个系统之间的数据和信息能够流畅传递。
  4. 信息共享与报告: 在响应过程中,SOAR脚本可以自动收集数据并生成报告,便于安全团队后续分析和审计。

示例:
假设某公司检测到异常登录尝试,SOAR脚本的执行过程可能如下:

  1. 触发事件: 检测到来自特定IP的多次失败登录尝试。
  2. 自动化响应: SOAR脚本自动执行以下步骤:
    • 封锁该IP地址。
    • 发送通知给安全团队。
    • 在SIEM系统中记录事件。
    • 进行用户活动的进一步审查。
  3. 报告生成: 在事件处理结束后,脚本自动生成一份事件响应报告,总结事件详情和采取的措施。

SOAR脚本通过自动化响应流程,提高了安全事件的处理速度和效率,减轻了安全团队的负担,使他们能更专注于复杂的安全挑战。

渗透/评估自动化

简介

效率提升:1-3天 -> 分钟级

安全服务人员渗透测试工作需要一天甚至几天时间,绿盟风云卫大模型可以辅助服务人员进行渗透测试,自动化生成测试报告,提升安全服务效率。

理解

假设一个公司希望对其网络安全进行全面评估。安全服务人员通常会按照以下步骤进行渗透测试:

  1. 信息收集:手动查找目标公司的公开信息,包括域名、IP地址、员工信息等。
  2. 漏洞扫描:使用工具扫描目标系统,识别潜在的漏洞。
  3. 攻击模拟:尝试利用识别出的漏洞,进行攻击以评估系统的脆弱性。
  4. 报告生成:整理测试结果,编写详细的测试报告,提供改进建议。

在这个过程中,绿盟风云卫大模型可以发挥以下作用:

  • 自动化信息收集:模型可以自动化从网络上收集目标公司的相关信息,节省人力和时间。
  • 智能漏洞识别:通过大数据分析,模型能够迅速识别常见漏洞,并提供相关的攻击向量。
  • 模拟攻击:模型可以根据已有数据模拟攻击,验证系统的防御能力。
  • 自动生成报告:测试完成后,模型能够自动整理测试结果,生成结构化的报告,包括发现的漏洞、攻击路径及改进建议,减少服务人员的文书工作。

红队工作支撑

简介

效率提升:高级专家3-5天 -> 小时级

红队工具、红队样本、红队路径等生成的工作,红队需要大量时间做数据准备,工具生成等相关工作,通过绿盟风云卫大模型的辅助,快速生成相应红队工具。

理解

在网络安全中,红队负责模拟攻击,以测试系统和网络的安全性。他们需要使用各种工具和技术来执行攻击,发现安全漏洞。这个过程通常需要大量的准备工作,包括生成攻击工具、创建样本和确定攻击路径。
具体过程

  1. 红队工具的定义: 红队工具是用于进行渗透测试和模拟攻击的软件或脚本,例如密码破解工具、网络扫描器、漏洞利用框架等。
  2. 红队样本的创建: 红队样本是指攻击者可能使用的恶意代码或负载,用于测试系统的防御能力。这些样本可以包括特定的恶意软件或攻击脚本。
  3. 红队路径的确定: 红队路径是攻击者在实施攻击时可能采取的步骤或策略,包括如何突破防御、获取访问权限和提升权限的具体方法。

使用大模型的优势
通过风云卫大模型,红队可以快速生成所需的工具、样本和路径,具体步骤如下:

  1. 快速生成工具: 假设红队需要一个新的网络扫描工具。团队可以提供需求,模型会根据最新的安全漏洞和攻击技术自动生成一个符合需求的扫描工具。这可能包括特定的功能,如发现开放端口、识别运行的服务等。
  2. 生成攻击样本: 红队希望模拟一种新型的网络攻击。通过输入攻击类型(如DDoS攻击或钓鱼攻击),模型可以自动生成相关的恶意样本,这些样本能够模仿真实攻击者的行为。
  3. 确定攻击路径: 红队想要评估一个新的目标系统的安全性。模型可以分析目标系统的结构,基于现有的安全研究,自动生成可能的攻击路径,包括初始访问、横向移动和权限提升的步骤。

示例

假设一家金融机构邀请红队进行渗透测试,以下是如何通过绿盟风云卫大模型进行准备的示例:

  1. 需求输入: 红队成员输入需要模拟的攻击类型和目标系统的基本信息。
  2. 工具生成: 模型根据输入生成一个定制的网络扫描工具,具备识别金融系统常见漏洞的能力。
  3. 样本生成: 模型自动创建一个钓鱼邮件样本,模仿该金融机构的品牌,增加成功率。
  4. 攻击路径规划: 模型分析金融系统的架构,生成一个详细的攻击路径,包括从钓鱼邮件到获取用户凭证,再到横向移动到管理系统的步骤。

通过绿盟风云卫大模型,红队能够快速、有效地生成所需的工具、样本和攻击路径,显著缩短准备时间,提高渗透测试的效率和准确性。这种自动化的支持使红队能够专注于实际的测试和评估,而不是耗费时间在准备工作上。