【网络安全】奇安信齐向东 - AI驱动安全已是大势所趋

　　“AI驱动安全已是大势所趋，未来网络攻防，得AI者得天下。”2024年6月5日上午，奇安信集团老总齐向东在2024全球 数字经济 大会数字安全高层论坛暨北京 网络安全 大会战略峰会（以下简称“BCS大会”）上表示。

　　近年来，网络攻防对抗烈度持续升级，网络攻击造成的损失日益严重。根据奇安信要挟情报中心发布的《2023年度APT报告》显示，全球至少有80个国家遭遇过APT（顶级长期要挟）攻击。

　　齐向东指出， 网络安全 防护人员数量和资源的不足使网络攻击防不胜防，成为当前 网络安全 的最大漏洞。奇安信对大约100家万人规模以上企业的告警处置情况调查显示，86%的企业 网络安全 运营人员不到10人，对网络告警的研判比例不足5%；13%的企业 网络安全 运营人员约为10至30人，对网络告警的研判比例约5%至10%；仅有1%的企业 网络安全 运营人员超过30人，对网络告警的研判比例达到10%以上。

　　“解决有限的安全资源和100%的安全追求之间的矛盾，要靠AI驱动安全。”齐向东认为， 人工智能 已造成破解 网络安全 主要矛盾、实现 网络安全 防护能力飞跃的技术。

　　AI驱动网络防护能力指数级跃升

　　“攻击者突破安全防线有几个阶段，先突破单点设备、再突破防护体系，安全事件被发现后还要想法子隐匿踪迹。”齐向东介绍，AI在 网络安全 领域的应用已经可以覆盖这几个阶段，并造成网络防护能力数十倍甚至上千倍的提升。

　　第壹，在单点设备的检测上，AI可以造成安全能力10倍级的提升。通过人工来综合分析研判设备引发的海量告警，很容易遭遇人员、精力短缺问题。 人工智能 依托算力资源和持续训练后的研判能力，打破了人力资源和效率界限，能减少90%的漏报，实现安全能力10倍级提升。

　　第贰，在体系化防御上，AI赋能综合分析和全局联动，造成安全能力百倍级提升。体系化防御的核心是多种 网络安全 设备的有机结合。由于不同产品之间的数据传输共享、相互访问、远程操作非常频繁，漏报和误报问题在这一阶段显现指数级增长。AI不仅可以明白在啥场景下去调哪个接口、取什么数据，还能根据实际变化进行动态调整，瞬时激发各个设备的安全能力，将遗漏的要挟从10%降低到1‰，达到安全能力百倍级提升。

　　第叁，在溯源和反制上，AI凭借智能化、自动化，可实现响应能力的千倍级提升。单设备检测叠加体系化防御，仍无法保证万无一失，可能有1‰的机率漏掉单个要挟，让攻击者得逞。AI的理论推理、自我决策能力，可以助推实现安全体系中不同产品的互操作，实现事件溯源和处置的高度智能化和自动化，处理时间从此前的一天缩短到分钟级甚至秒级，实现响应能力的千倍级提升。

　　AI释能仍需提升三大要素

　　“既然AI这么好，是不是赶紧装上一个AI大模型即可？”齐向东给出的定论是其实不是如此。

　　在齐向东看来，AI快速发展的三大核心要素是数据、算力和算法，AI在 网络安全 领域释放强大潜能也有赖于三大必备条件。

　　第壹，需要具有全而新的高质量数据，为AI训练和应用提供基础支撑。一方面，要有足够多的条件安全数据用于训练安全大模型；另一方面，要有足够贴近实战的一手原始语料用于大模型推理。基于这种全而新的高质量数据训练出来的大模型，精确性和实用性才能远超未优化的通用模型。

　　据介绍，奇安信拥有的安全数据规模全国领先，为大模型预训练打下了坚实基础；奇安信在实战中积累的丰富、顶尖的安全知识和经验，既是训练高水平安全大模型的核心要素，也可作为大模型推理时所需的最新实时信息，确保生成精准、高价值的安全解决方案。

　　第贰，需要体系化的 网络安全 建设，为AI施展效率创造平台。 网络安全 防护有赖于体系化协同。2019年，奇安信提出建设内生安全体系，把 网络安全 设备和业务流转、不同条理的信息系统有机结合起来，感知、响应对业务系统和数据的任何破坏行为。当前，通过AI赋能内生安全体系，不仅可以实现 网络安全 系统和客户业务全面的完美融合，更能实现 网络安全 响应从滞后到实时的大跃升，全时段瞬时响应成为可能，也为AI实时施展防护功能和学习最新技术提供了真实海量场景。

　　第叁，需要标准的统一，为AI驱动安全效能施展扫除障碍。训练好的安全大模型，能否取得好效果决定于设备和体系是否有统一的标准。在齐向东看来，标准的统一至少包含两个方面：一方面，数据输入标准的统一，让AI能通过标准系统读懂“多国语言”，完成体系化分析；另一方面，指令输出标准的统一，让AI实现跨设备、跨全面的能力协同和全局联动。

　　“统一度量衡，功在当代，利在千秋。”齐向东呼吁，AI驱动安全，全行业要在数据输入、指令输出两大关键环节实现“车同轨、书同文”。

　　AI驱动安全：奇安信在行动

　　“认识到AI的变革作用其实不难，难的是用好AI、让AI真正赋能安全。”齐向东在BCS大会表示。奇安信作为 网络安全 领域原创技术策源地总体单位，在“AI驱动安全”这条路上率先进行了大量探索实践，齐向东以今年3月发售的AI战略产品QAX-GPT安全 机器人 为例，分享了当前在 网络安全 一线的落地实战成绩。

　　第壹，在AI驱动研判上，助力企业大幅提升了要挟发现效率。QAX-GPT安全 机器人 的研判效率相当于人工的数十倍。例如，某家万人规模的企业只有12名安全运营人员，每天能够研判6000条的告警，但企业的单日告警量超过10万，漏报率极高。使用QAX-GPT安全 机器人 后，企业可以完成10万告警全量研判，漏报率仅0.05%，揪出人工漏掉的真实告警700多条，极大提升了企业的整体安全能力。

　　第贰，在AI驱动体系上，助力企业将要挟遏制提升到秒级、溯源分析提升到分钟级。由于在事件调查、响应处置、影响面和潜在风险评估等环节耗时耗力，某家金融企业网络建设相对成熟，但事件处置效率偏低。奇安信给其提供“AI+安全运营”方案，通过AI与防火墙、WAF、SOAR等安全产品的协同联动，对安全要挟进行快速遏制，处置时间从过去的10分钟缩短到秒级；在复杂事件的溯源分析上，缩短到分钟级；在评估影响面和潜在风险上，从一人一天缩短到3分钟。

　　第叁，在AI驱动智能攻防上，助力企业的安全能力在博弈中快速演进迭代。“以攻促防”是提升 网络安全 能力的重要方式。奇安信把安全 机器人 等产品相结合，缔造“智能红队”，贯彻执行收集信息、认识潜在偏差、快速决定、采取行动等每个步骤，让“模拟战”更有实战感，把“以攻促防”变得更便捷。同时，奇安信将安全 机器人 提供给某企业，安排安全 机器人 与人工团队一起演习，共发现15起安全事件，一半以上由 机器人 抢先识别并确认。在高价值事件检出率上， 机器人 发现两个被专家遗漏的安全事件；在真实风险事件分析准确率上， 机器人 达到100%。

　　第四，在AI驱动全场景升维上，助力 网络安全 的最大效能被激发。齐向东介绍，在AI+安全开发方面，基于大模型的代码助手不仅实现了代码高效编写，还能自动检测并修复潜在的安全漏洞；在AI+终端安全方面，奇安信天擎、反病毒、沙箱等产品深度融合安全大模型的分析能力，二进制文件、非PE脚本类代码等都已实现快速分析并识别；在AI+ 数据安全 方面，奇安信的部分 数据安全 产品在大模型的加持下，实现了对数据的智能分类分级。

　　“未来 网络安全 产业的发展趋势已经明确：得AI者得安全。AI能否真正驱动安全，则决定于数据、体系和标准。奇安信虽先行一步，但仍需要全社会共同努力。”齐向东说。