可靠行动
智能体的行动不止于一体化的接口设计、集成、与编排。为了保证安全运营行动的持续可靠性
,亟 需进一步提升策略执行的透明度、可审计性。本节重点介绍透明可审计响应的技术方案的需求与实现。
透明可审计响应
图 31 攻击策略树框架 [35]
4.5.1.1 定义内涵
透明可审计响应的含义是自动化的事件响应需要保持足够的透明度
,并供可供审计的接口与响应 审计范本,以在保证系统行动自主性的同时,向运营人员提供完整的、细粒度、结构化、可量化的响应流程、 关键数据及其效果反馈,实现自动化响应技术整体可管控。透明可审计响应能力的实现横跨整个智能数 据驱动的,是感知 -认知 -决策 -行动的融合体现。按照技术触发的流程环节,归并入负责行动一节。
4.5.1.2 技术背景
智能安全运营的自动化
流程的有效运转,依赖多层次技术的鲁棒集成,更离不开人对技术自动化运 行过程的监控、反馈、控制与审计。网络空间实体元素的稳定安全,是经济、军事、安全攸关的重要组 成。在发挥安全机器智能在特定运行环境下的自主性的同时,唯有透明的、可控的系统行动,才能有效 与运营整体流程进行整合。因此,升事件响应等策略执行环节的信息透明度,是运营技术能力升级的 关键环节。
4.5.1.3 思路方案
行动响应透明可审计的关键在于关联技术的透明可解释性、行动目标一致性
判定及结构化响应报告 生成。行动响应(告警分诊、事件响应、故障恢复)的执行依赖多个前置技术能力,这些技术能力的实 现过程中需要兼顾模型、方法的可解释性,具体可参考前述章节,不在此赘述。策略的部署执行的效 果,需要行动单元驱动感知单元、认知单元和决策单元,共同收集并判定,以有效监控、评估与预期目 标的偏差量。最后,在行动阶段,需要持续汇集决策输出、响应状态、环境反馈等维度的响应要素度量 值,并通过结构化、指标化形式的响应审计报告。如图 31 所示,防护策略树(Attack Countermeasure Trees , ACT)框架 [35]通过构建量化的策略决策体系,并以树形结构组织策略的触发条件与依赖关系, 能够以精确的、因果导向的方式表达、概述行动流程。处了树模型之外,基于马尔科夫框架的、基于因 果依赖图的结构化响应概述方法,都能够有效融合多维度策略响应元素,形成可解释、可审计的响应反 馈数据结构。
4.5.1.4 关键挑战
策略部署执行、效果反馈,有复杂的技术依赖。现阶段 SOAR的编排与自动化响应能力,可称为流 程自动化,距离数据、智能驱动的技术自动化还有很长的路要走。透明可审计响应技术的实现,面临的 主要挑战包括:
运营数据生命周期
跟踪
响应行动是自动化系统运行循环中的环节之一,其策略输入、效果输出与整个运营流程在数据层次 呈现紧耦合。不确定的网络攻防系统环境中,线索发现与分诊、事件溯源重构、系统风险评估、策略生 成等阶段中,运营流程以数字化的形式流转。模型偏差的积累、技术节点的失效等多种因素,都可能导 致无效的甚至错误的行动。因此,对运营数据的整个生命周期进行持续监控、分析尤为关键。
策略执行效果度量
网络系统环境的高度动态性与复杂依赖性,导致策略部署之后,对系统产生的实时效果难以形成具 有明确因果的指标化度量。除了数据备份、情报富化等静态的处置场景之外,威胁事件阻断、网络隔离、 系统热补丁等实时响应执行,可引发关联事件与数据涌现。从复杂、大规模背景数据中识别、召回策略 的直接、间接关联数据,是模式识别、因果分析技术领域的难题。
AISecOps 技术发展趋势
罗马不是一日建成的,AISecOps 技术能力的构建也不能简单的复制其他业务的经验就能一蹴而就。 实际上,当今最火热最成熟的人工智能技术,应用场景铺的面非常广,但是应用深度却显不足。类似智 能语音服务、图像识别这类服务,是典型的智能化场景,却也只限制于较为低层次的感知层面的任务。 在任何自动化过程中需要关键任务决策的,安全、经济、政治、甚至生命攸关的技术场景,如军事、金 融、医疗、自动驾驶、法律判决等等,当前的人工智能技术仍难以有效胜任,只能应对场景中的部分问 题,距离高度的任务自动化相去甚远。网络安全运营正是此类场景之一。可以说,当前智能化技术本身 的不成熟,难以赢得人的信任,成为限制其在许多场景下深入应用的关键问题。本文将分别从可信安全 智能技术体系和 AISecOps 技术生态的构建两个方面,展望安全运营技术智能化发展的未来。
构建可信任安全智能技术体系
无论如何,打造更可信任的人工智能,弥补人在处理海量数据过程中的先天不足,打造可信的智能“战 友”,始终都是我们的终极追求。人工智能技术在网络安全中的应用,一方面,可以“直接拿来”,应 用到网络安全数据分析的非核心场景和流程上,辅助安全工作,如使用自然语言处理技术分析威胁情报 或者构建专家系统的对话机器人;使用成熟的图像处理技术检测恶意图片、视频等等;另一方面,需要 “优化打造”,构建针对威胁检测、评估、关联、响应等阶段的核心安全智能。如图 32 所示,从构建 技术信任的角度,以升关键安全能力自动化水平为目标,可信任的安全智能体须具备满足以下核心技 术要素的要求,包括预测性能能够应高度动态的网络环境和攻击场景,模型算法需透明可解释、鲁棒 安全、保护隐私,智能技术的执行过程和结果需合法合规、可审计,并在决策执行中满足社会道德约束。 以上多个技术要素,互为补充又相互依赖,需要在设计之初充分考虑。正如我们更倾向选择能力强、善 于沟通、抗压能力强、高尚守法的人作战友,具备以上技术要素的机器智能更能够获取人的信任,并胜 任高级别的安全运营自动化任务。
在可信任安全智能体系的探索过程中,需要充分融合可解释人工智能 XAI、隐私保护技术、图挖掘 与分析、智能决策系统、风险评估、人机交互等多学科、多领域智能化技术能力,为安全运营的感知、 认知、决策和行动多阶段的任务赋能。