重新定义安全检测与安全运营
01 安全困境
02 安全GPT能力介绍
03 部署形态与展望
安全建设基础相对完备, 能力的聚合和运营将成为关键
网络边界安全能力
企业一般都会划分了多个网络区域,如总部办公大楼、运维管理中心、居家/出差等远程办公区域、分支机构、各地办事处等边界处,通常已部署防火墙、网络入侵检测、WAF、流量探针等边界防护等安全能力
通信网络安全能力
主要针对外部网络接入,通常已部署IPSEC/SSLVPN等技术实现网络接入与业务访问的安全控制,保障网络数据传输的机密性和完整性
办公/计算环境安全能力
针对办公终端或数据中心的计算/存储等环境,通常已部署了终 端/主机防病毒、防火墙、网络入侵检测、流量探针、上网行为 审计等能力,核心资源如数据库,还会考虑数据库防护、操作 审计以及数据备份等机制
运维管理安全能力
通常会部署了防火墙、态势感知、安全漏洞扫描/基线核查、运 维堡垒机、日志审计管理、上网行为审计等安全能力
上网行为审计安全流量探针 FW/IPS/IDS
大语言模型助力攻击者批量、 低成本产出高级攻击工具
攻击:初级攻击者,借助AI大模型, ,可以批量产出高级的攻击工具
2.零特征的反弹shell脚本
防御:追不上攻击者,担心0day攻击造成严重影响后,感知不到或响应速度慢
碎片化的传统防御,Oday检测能力弱
安全研判/响应高度依赖人,但高水平人才供给长期不足,且人的精力、 能力存在瓶颈
自动化、 智能化成为当下安全防护效果提升的关键途径
告警数量多,噪声大;告警难分层分类,没办法每条告警都去分析;人员能力难支撑高效的告警、事件研判;人员精力难支撑7×24小时全天候值守;担心漏报,被钓鱼;处置效率低,设备联动能力差;资产管理、数据统计等效率低;发生事件之后再追溯,一直跑在攻击者后面
数据分析能力
长时间值守精力
