梁浩：大模型加速走向真运营

大模型加速走向真运营安恒信息 / 梁浩目录Content安全运营的现状分析01大模型如何改变安全运营现状0203 大模型应用效果总结安全运营的现状分析01安全运营普遍需求落实网络安全监测预警和通报制度，建立健全网络安全风险评估和应急机制，有效识别和消除安全隐患，落实管理和技术举措，保障安全策略动态有效性、满足安全合规需求。 识别、评估和管理所面临的安全风险，并采取必要的措施并采取必要的措施来降低风险。通过网络安全运维，防范各种网络安全威胁，确保网络的安全性和可用性，使网络系统的安全性得到持续维护和提升。在一些重大节日或重要活动等时间节点，能够7×24小时全天候安全值守，事前查漏补缺，补齐安全短板，事中实时监测，快速研判分析，事后启动应急消除事件影响，实战化要求越来越高。针对行业应用系统或数据资源开展常态化安全监测，感知网络安全态势，结合最新情报快速通报预警，形成行业联防联控网络安全风险能力，整体提升行业网络安全保障水平。安全合规建设日常运营支撑重大活动保障安全工作协同传统SIEM平台的困境随着企业信息化程度的提升，日志、告警等安全数据呈指数级增长，传统SIEM系统的数据处理能力已难以应对。数据量激增传统SIEM系统在整合外部威胁情报方面能力有限，导致无法及时识别新型威胁。威胁情报集成不足除了结构化数据，非结构化数据（如文本、图片、视频等）在安全分析中的价值日益凸显，而传统SIEM系统对此类数据的处理能力有限。数据类型多样化基于预设规则的检测方式无法应对不断变化的威胁手法，导致漏报和误报率居高不下。检测规则僵化面对高级威胁和零日漏洞，实时数据处理能力至关重要，传统SIEM系统在这方面存在明显不足。实时处理需求由于缺乏自动化响应机制，传统SIEM系统在发现威胁后往往需要人工介入，延误了最佳响应时机。响应速度慢面临的挑战与局限性数据处理能力有瓶颈威胁检测与响应有滞后性运营现状：精准检测，牺牲全面性分析准检测全威胁检测覆盖度与依赖人工的分析能力难两全关注和响应高质量、高风险和高确定性告警！现实情况：高级威胁（或针对性攻击）所采用的技术，如攻击特征隐藏/特征消除、无代码攻击、白利用、加密通信等，具有隐蔽性增强、潜伏周期长的特点，想要实现精准检测很困难，通常会产生大量异常/可疑类的行为特征、统计特征告警（如ueba、时间序列异常检测、加密通信算法检测等告警），在精准检测以求降噪和降低告警分析工作量的场景下，不得不降低或关闭此类泛化的弱信号检测，造成高级威胁漏报。现实情况：•有经验的分析师1天能分析多少告警？•有经验的分析师是否整天都在分析告警？•有经验的分析师是否一直愿意分析告警？一个"典型的"中型企业每日告警量：针对已知威胁1k - 10k告警，针对未知威胁10k - 100k告警。在这海量告警中，有明显特征的告警：至少需要分析师“看一眼” -> 核查误报，打标结果，提交处置；无明显特征的告警：更需要借助工具（如splunk）做多步详细调查（统计、聚合、趋势分析、上下文挖掘、情报分析和验证等）-> 规避漏报，识别风险，远程取证。运营现状：全面检测，牺牲准确性关注覆盖更多的攻击技战术！威胁检测覆盖度与依赖人工的分析能力难两全分析准检测全真运营目标：全面检测，精准检测数据源日志原始告警高置信告警原始安全事件需响应事件真·运营之坡观测检测研判聚合调查安全大数据 -> 事件小数据的逐层精炼工程大模型如何改变安全运营现状02AI最终目的是释放人真运营的希望：大模型生成式AI应用级别描述示例L1 Tool人类完成所有工作，没有任何明显的AI辅助绝大部分应用L2 Chatbot人类直接完成绝大部分工作。人类向AI询问意见，了解信息。AI提供信息和建议但不直接处理工作初代ChatGPTL3 Copilot人类和AI进行写作，工作量相当。AI根据人类要求完成工作初稿，人类进行目标设定，修改调整，最后确认Github CopilotMidjourneyChatGPT with PluginL4 AgentAI完成绝大部分工作，人类负责设定目标、提供资源和监督结果。AI完成任务拆分，工具选择，进度控制，实现目标后自助结束工作AutoGPTL5 Intelligence完全无需人类监督，AI自主拆解目标，寻找资源，选择并使用工具，完成全部工作，人类只需给出初始目标类 冯·诺依曼机器人或者......人？技术目标：AI原生应用AI原生安全运营平台产品设计-思考AI 从简单使用AI到AI原生数据利用-知识驱动 数据与知识生态驱动规则到思考-客户环境自适应智能化-自动化现有平台业务整合，对外一个平台围绕运营体系集成基础产品能力模块化控制业务，提供方案灵活性与MSS统一，沉淀全公司运营体系工程目标AI目标技术架构：大模型作为核心引擎大模型擅长做什么 内容安全（天然匹配，识别恶意/有害/敏感内容） -> 面相公众的信息发布审核、内容风险治理 数据安全（非结构化数据的分析和处理） -> 数据分级分类（数据安全的基础）、API风险监测、DLP告警分析 攻击特征/代码识别（语义理解能力） -> 基础安全方向的核心需求（威胁检测+告警研判） 世界知识赋能（安全基础培训）大模型目前可以做什么 告警分析和解释：攻击特征分析、攻击代码解释、攻击过程还原 误报判断：DLP、社工钓鱼、业务风险等类型告警辅助判断 报告生成：安全事件分析报告，Summary能力 辅助规则生成与调优：辅助生成和优化各类规则和配置文件类比自动驾驶L3，人机协作0103050204特定问题处理的实操经验例如，在处理失陷账号告警时，大模型可能无法准确判断告警的真实性，需要通过电话、钉钉、邮件等强身份联系方式进行二次确认。自我知识强化和持续学习大模型本身的训练成本极高，无法根据用户的反馈和不同的环境条件进行输出，导致无法在客户现场快速适应达到最佳效果。大量结构化数据分析在自然语言处理、推荐系统等领域，大模型需要处理大量结构化数据。然而，由于性能和成本的限制，大模型在这些场景下的应用可能受到一定程度的制约。海量数据处理大模型在处理处理长上下文、海量数据时，受到token限制，性能和开销较高。在海量数据的处理模式下对大模型提出了更高的要求。复杂任务大模型在处理复杂任务时，需要进行慢思考，即“let’s think step by step”。这是因为大模型在处理复杂任务时，需要充分考虑各种因素，以确保得出正确的结论。大模型不擅长做什么工程实践：小参数、多智能体协作工程实践：小参数、多智能体协作工程实践：小参数、多智能体协作安全运营团队的组织架构变化 - Agent员工化任务分工与协作管理 安全运营主管/架构师-人类任务认领与分解执行安全运营团队-AI Agents+人类自动化调查安全分析师-AI Agent自动化响应安全运维-AI Agent+人类自动化预警和汇报安全管家-AI Agent自动化蓝军安全蓝军-AI Agent工程实践：优化安全大数据 -> 事件小数据的逐层精炼工程大模型应用效果总结03产品升级：智能化升级分析+响应+管理真运营：智能辅助，持续降低运营成本有人味：数字人互动讲解产品名称AI加持，能力提升智能分析平台恒脑自动研判调用恒脑