题目有点大,不过结合之前分享的网络安全技术标准体系和下一代网络安全架构研究第五版更新发布,尤其是后续更新的v5.5版本,提出了一个基于LLM的下一代网络安全架构的概念,并附上了一个示例,当然限于PPT并不能很好承载大量的文字信息,所以单独写一篇。
首先我下的定义是这样的,一个自我迭代、自我完善的系统,这是于目前安全产品的设计理念和实现最大的区别。
PPT中提到了AI Agents架构中,检测和响应能力的自动化或者说Copilot能力已经有一些厂商做了探索,当然形态上肯定会再进化,并且加入更丰富的交互和协作能力。如果用ISO2700x的PDCA来解释,那就是Do的部分,在这篇文章中我们重点关注计划Plan、度量Check、改进Action这几块如何来运行,构成一个完整的闭环,最终形成我们说的自我迭代,自我完善的系统。
首先让我们回到原点,一个组织的大部分网络安全活动到底是怎么产生的?比如说检测恶意网络活动、数据泄露活动之类的,一般来讲先是存在内部的业务连续性保障和外部的监管等安全需求,根据这些需求结合组织的实际情况,比如人力资源、预算等进行规划设计方案,这里忽略一些立项和审批的过程,完善一些的还会制定一些指标用来检查考核执行的效果,这个Plan过程基本上目前仍然主要由人来主导,其实这些工作通过上下文是可以比较好的利用LLM来实现的,难点是缺乏好的数据集来支持,这个好的定义包含数据集的持续维护,安全管理和技术的对齐,安全体系的标准化和一致性,安全领域和活动分类的逻辑性,安全能力的定性和定量的评估,安全技术实现方法等等,这个也是我在NGCSA是什么?这篇文章中提议设置两个知识框架工作组的初衷,当然我还意识到可能需要再设置一个新的SIG用来专门做类似于mitre engenuity att&ck evaluations这样的安全能力的定量评估数据,当然在中国目前的商业环境中这是一个很大的挑战。然后这些数据集会finetune出来一个专门的LLM提供给类似于CISO角色的AI Agent,通过RAG的方式嵌入组织自身的一些环境数据(前述的目标、安全需求和资源约束等),作为整个安全活动的发起点。
然后活动的开展由具体的能力型AI Agents根据CISO的规划作为输入,这里我认为短期内会存在两种形态,一种是工具型的AI Agent,掌握安全能力/设备的操作方法(API等),通过调用和反馈的方式来工作,更类似于自动化过程,目前看到的Copilot或者一些AI产品大多属于此类;还有一种是原生的安全能力AI Agent,即安全能力本身包含了完整的Agent能力甚至多Agent能力,可以实现针对特定任务的完整闭环能力。这个也是安全厂商创新的巨大空间,其实我对国内安全厂商一直在卷云原生这个事情会觉得很莫名其妙,因为事实上绝大部分安全厂商自身的对云的使用能力处于很低的水平,云原生更接近于一种炒作的概念而非实际的需求,就跟很久以前的Html5一样,时间到了自然大家都是Html5了,不存在什么独立的Html5的商业机会(有那也是浏览器的事情,和绝大部分炒作的对象无关)。反而AI Agent Native是一个绝对的蓝海,是可以做出足够差异化,并且具有无限可能的方向。
度量部分来看还是对所有的安全活动的结果进行持续的回顾。这些活动的结果放到我们的知识框架中,可以根据与目标的差距针对性的提出改进任务,提升指标或者达成某种定性的目标,这块目前看也是比较成熟的,是LLM射程范围内的。
改进部分是相当具有挑战的,也是我认为价值最大的部分,PPT中列举了一些场景,如果是高复杂度的任务,可以通过使用外部资源的方式来提升,甚至包含试用申请、评估、采购这样的子循环;低复杂度的任务,如果是流程方面的,可以自行修改优化流程,如果是人方面的,可以下发改进方法(类似于PIP?),如果是技术方面的,可以结合特定的编码任务AI Agent来进行。
好了,我已经尽力描绘出来一些面向未来的安全产品的图景了,当然这个不是详细的,具体的,可落地的,包括方向和范围上仍然需要很多的调整,同时这些思考的成果中不乏一些与前同事的探讨中的智慧。所以还是那句话,独行快,众行远,NGCSA筹备小组正在火热招募中,我们计划在1个月左右的时间中来完成筹备工作,正式推出,有兴趣参与的同学请加我微信,期待你的加入。
原文始发于微信公众号(黄师傅的赛博dojo):网络空间安全产品的终极形态畅想
