AISecOps白皮书精华解读之技术体系篇
2021-03-12
“AISecOps技术是以安全运营目标为导向,以人、流程、技术与数据的融合为基础,面向预防、检测、响应、预测、恢复等网络安全风险管控、攻防对抗的关键环节,构建数据驱动、具有高自动化水平的可信任安全智能技术栈,可实现安全智能范畴下的感知、认知、决策与行动能力,辅助甚至代替人在动态环境下完成各类安全运营服务。”
本文为《AISecOps白皮书精华解读之背景内涵篇》的姊妹篇,基于上述AISecOps的核心内涵,将重点从指标体系、数据体系、技术框架、技术成熟度、技术图谱等层次,介绍AISecOps的技术体系构建。
AISecOps指标体系
网络安全运营能力的提供以目标为导向,从企业、组织、国家的愿景目标出发,进而构建安全运营任务级别的运营指标,进一步指导构建数据与分析层面的技术指标,最终形成图1 所示的层次化指标体系,以评估技术实现的有效性。
愿景目标指企业、组织、国家等主体层面的核心安全、业务、商业目标。例如,维护IT基础设施的稳定运行,保护核心数据资产,维护品牌价值的安全性等。这些愿景目标与主体的发展目标密不可分。
运营指标以愿景目标为基础,针对网络安全相关的业务能力制定安全运营核心指标,以评估安全运营能力水平。在运营指标的导向下,需要有针对性地对数据融合水平和分析技术水平进行评估,以促进技术能力的迭代。
在数据层面,需要考虑包括覆盖率、规范化、存储时效、多样性、交互性等指标;在分析层面,不仅要考虑传统机器学习等技术的评估指标,包括预测精确性、召回率、ROC等,还重点考察场景覆盖率、TOPN召回率/误报率、整体/单点误报率及模型可解释性等面向可运营、易运营的分析指标,以合理促进技术与人、流程的深度融合。
图1 AISecOps指标体系
AISecOps数据体系
当前,大规模多维度网络安全大数据的接入,为通过数据分析发现、处置网络威胁带来了全新机会。但考虑到可用的存储、计算资源有限,对安全数据源的甄选和统一处理就显得尤为重要。从网络攻防的对抗本质出发,以给定的网络空间为战场,以保护资产(包括实体资产和虚拟资产)并打击威胁主体为目的,智能化的威胁分析应该收集并构建以下维度的关键数据图,如图2 所示。
环境数据图。如资产、资产脆弱性、文件信息、用户信息、IT系统架构信息等。
行为数据图。如网络侧检测告警、终端侧检测告警、文件分析日志、应用日志、蜜罐日志、沙箱日志等。
情报数据图。各类外部威胁情报。
知识数据图。各类知识库(如ATT&CK、CAPEC、CWE)等。
图2 AISecOps数据分类
各类安全关联数据(包括但不限于以上四个类别)已在很多大数据分析场景中被采用,但仍然没有成熟、统一的体系描述这些数据的分类和使用模式。故应将这里列举的四类数据,从网络威胁事件分析实践出发,通过图结构组织起来,实现每个类别图内关联和不同类别图间关联,以满足网络空间对抗的基本战术需求,包括对环境的掌握、对威胁主体行动的理解、对外部情报的融合以及储备基本知识。四图分立,又通过指定类型的实体进行关联,在保证不同类型图数据表达能力的同时,实现了全局的连接能力。
AISecOps技术框架
图3 阐述了AISecOps的技术框架,针对安全运营技术中的关键环节,参考人工智能的经典范式“感知-认知-决策-行动”和经典作战决策OODA循环模型的“观测-调整-决策-执行”体系,进行子任务及其阶段划分,每个阶段包括多个不同子任务。
图3 AISecOps技术框架
整体上,AISecOps技术框架包含两个大的循环。一个是图中实线覆盖的机器自循环,这是AISecOps追求的运营关键任务自动化的终极目标。另一个是图上虚线覆盖的人-机协同循环,这一部分重点描绘人需要参与到运营自动化的每个关键环节中,同时充分获取机器的数据反馈。高水平运营自动化实现的要义仍然是对“数据-信息-知识”层次化的分析与挖掘,以应对动态不确定性的网络空间环境与高交互的攻防对抗过程。因此,唯有夯实网络空间数据的多层级任务能力基础,才能避免搭建安全任务自动化的“空中楼阁”。实际上,现阶段的威胁识别、溯源、预测等关键技术能力的智能化水平,仍难以有效支持基于SOAR的精准响应。事件误判、连接误杀、决策黑箱等多种类型的技术瓶颈,使得更高水平的自动化智能化实现在涉及高风险、关键决策的安全场景下难以有效部署。因此在当前阶段下,人-机智能的充分融合,就显得尤为关键了。
AISecOps技术成熟度
如图4 所示,按照安全运营关键任务的自动化程度,参考自动驾驶自动化分级,将AISecOps技术的自动化水平划分为L0~L5六个层次,对应无自动化到完全自动化。
图4 AISecOps技术框架
通过技术框架的横向技术阶段划分,明确了安全运营技术智能化的关键需求与任务;通过基于技术成熟度的纵向分级,能够有效划定现阶段发展层次与未来的发展方向。以上分类、分级方案,形成了AISecOps关键能力成熟度矩阵,以期现有的技术方案能够更快速的找到其在AISecOps技术领域的定位,并与其他技术能力快速融合互动。
通过AISecOps技术成熟度矩阵的构建,能够让技术从业者不囿于技术泡沫造成的困惑。目前来看,在安全运营的智能化技术领域中,我们整体上仍处于L1~L2级别的技术发展阶段,多个单点技术水平已经在更高层次有所突破。同时我们所收集的数据、构建的模型、优化的算法及搭建的系统,在特定场景下还未能有效符合安全运营的指标导向性需求,更不用说跨场景、自适应的更高层级运营自动化能力。总之,我们从实践的经验出发,距离高可用的、高自动化水平的智能安全运营技术仍有较远路程。
AISecOps前沿技术图谱
AISecOps智能安全运营技术尚处于快速演进的阶段,所采用的技术方案迭代非常快。为了充分探究技术的未来发展方向,定位关键能力瓶颈,白皮书总结了面向安全运营自动化、智能化的十六种基础前沿技术,并形成技术图谱,以期为网络安全运营场景构建领域技术“内功心法”图谱,如图5 所示。
图5 AISecOps前沿技术图谱
技术图谱在横向上,按照面向攻击对抗的识别粒度进行技术领域划分,粒度自微观到宏观,包括指纹与特征、技术与行为、战术与意图、战役与组织、战役与态势。在纵向上,按照AISecOps智能化的经典技术阶段进行划分,包括数据层面的融合建模,以及分析层面的风险感知、因果认知、鲁棒决策、负责行动五大阶段。同时,根据技术的核心数据源不同,通过颜色进行区分,涵盖环境数据、情报数据、知识数据、行为数据以及融合多维的综合数据。通过总结并归类十六种关键技术,试图厘清AISecOps的技术分类,以支持技术方案的细粒度抽象与整合,支持安全运营智能技术中台等基础平台能力的构建。
AISecOps技术体系的总结,为智能安全运营技术的进一步发展提出了层次的、系统的、前瞻的研究、应用方法论,为技术路线的制定指明了方向。后续精华解读,将带来AISecOps技术发展趋势,敬请期待。