乙方重生之——我在甲方干安全！

“我特么信你個(gè)鬼！”，老張把自己狠狠砸在工位上，喝了一口水。

想繼續(xù)罵一句，看到群里甲方說又有幾臺(tái)機(jī)器中招了，顧不上再罵，趕緊去處理…

張成，安全老司機(jī)，某安全公司在甲方的駐場(chǎng)運(yùn)維。

對(duì)，老張是個(gè)乙方。

大家都知道做乙方慘，做安全乙方更慘，在甲方駐場(chǎng)的安全乙方尤其慘。

更讓老張崩潰的是，自家老板（乙方）的態(tài)度。

剛才老張之所以破防罵人，是因?yàn)楹妥约依习逭劷Y(jié)束駐場(chǎng)調(diào)回總部，談崩了！

老張?jiān)谔炫_(tái)與自家老板的對(duì)話

老板接了個(gè)電話，匆匆走了。

想起三年前，他也是這么畫餅的，老張心里一萬只草尼瑪飄過。

機(jī)遇就在不經(jīng)意間，悄悄來了。

新財(cái)年甲方組織架構(gòu)調(diào)整，空出來一個(gè)安全主管的編制。

甲方CIO覺得老張駐場(chǎng)服務(wù)這些年，非常不錯(cuò)，專業(yè)又敬業(yè)。

救火背鍋樣樣行，每年紅藍(lán)攻防演練期間也能撐得住場(chǎng)面，多次挽救甲方于紅隊(duì)的“魔爪”。

就這樣，喜從天降，老張華麗轉(zhuǎn)身，從乙方駐場(chǎng)牛馬變成甲方安全主管。

集團(tuán)給老張的要求是要「降本增效」，但并不砍安全預(yù)算。

既然不砍預(yù)算，老張就有譜了，花同樣的錢，自然要買點(diǎn)好東西。

于是，他新官上任，決定換換思路，引入AI大模型能力，提升安全運(yùn)營(yíng)效率，改變一下苦逼人肉運(yùn)維的狀況。

首先，不再續(xù)簽原來的駐場(chǎng)安全運(yùn)維合同，老張要選擇更牛的供應(yīng)商和更先進(jìn)的方案。

接下來，開啟安全大模型評(píng)測(cè)和招標(biāo)↓

經(jīng)過層層篩選，貨比八家，最終，老張選擇了國(guó)內(nèi)老牌廠商綠盟的「風(fēng)云衛(wèi)」。

「綠盟風(fēng)云衛(wèi)」有啥本領(lǐng)，能夠被老張選中？

不妨來聽老張講講評(píng)測(cè)和使用感受吧↓

綠盟風(fēng)云衛(wèi)是啥

風(fēng)云衛(wèi)是綠盟的AI安全能力平臺(tái)，以綠盟安全大模型SecLLM和DeepSeek大模型為底座，提供運(yùn)營(yíng)和檢測(cè)兩大類安全智能體服務(wù)。

綠盟從2017年成立天樞實(shí)驗(yàn)室開始探索AI賦能安全，八年磨一劍。

風(fēng)云衛(wèi)融合了綠盟多年來安全攻防和AI研究的成果，并同時(shí)接入DeepSeek大模型和綠盟自研安全大模型。

針對(duì)運(yùn)營(yíng)和監(jiān)測(cè)相關(guān)工作，風(fēng)云衛(wèi)提供了告警降噪、事件研判、自主狩獵、編排響應(yīng)、勒索檢測(cè)、惡意文件檢測(cè)、釣魚郵件檢測(cè)等20多個(gè)智能體。

綠盟安管平臺(tái)（ISOP）、安全設(shè)備、安全服務(wù)或者第三方系統(tǒng)，都可以通過API接口來調(diào)用這些智能體，迅速提升AI“打怪”和“照妖”能力。

同時(shí)，風(fēng)云衛(wèi)還支持多智能體框架，讓智能體可以通過工作流編排，組團(tuán)“打怪照妖”，協(xié)同作戰(zhàn)。

這種多智能體編排是完全可視化的，零代碼、拖拽式，分分鐘讓多個(gè)智能體協(xié)作起來，完成復(fù)雜的工作流任務(wù)。

老張對(duì)這種可視化編排能力贊不絕口。

他可以根據(jù)自己集團(tuán)這邊的實(shí)際業(yè)務(wù)場(chǎng)景，利用風(fēng)云衛(wèi)提供的基礎(chǔ)算子、標(biāo)準(zhǔn)智能體，來組裝出自定義的「超級(jí)智能體」，干點(diǎn)定制化的大活。

還有一個(gè)特色，老張也很喜歡↓

大模型改變了傳統(tǒng)人機(jī)對(duì)話的方式，從圖形化GUI變成了LUI，他可以基于自然語言/語音，與風(fēng)云衛(wèi)進(jìn)行交互，所思即所見。

老張還記得以前駐場(chǎng)的時(shí)候，甲方領(lǐng)導(dǎo)總喜歡提些個(gè)性化需求：想看態(tài)勢(shì)大屏哪個(gè)模塊、哪些儀表盤怎么放好看、要餅圖還是柱狀圖…

綠盟風(fēng)云衛(wèi)具體怎么用

老張講完風(fēng)云衛(wèi)的基本概念，接下來分享了他在實(shí)際的安全運(yùn)營(yíng)中，是如何用風(fēng)云衛(wèi)來解決問題。

▋第一個(gè)場(chǎng)景，老張用風(fēng)云衛(wèi)來進(jìn)行「未知威脅發(fā)現(xiàn)」。

老張把市面上的「安全威脅」分成以下三大類：已知的威脅、已知的“未知威脅”、未知的“未知威脅”。

那些從未出現(xiàn)過的攻擊方法（真正的未知威脅），人類不知道，大模型同樣也沒有地方學(xué)到，所以，它也很難發(fā)現(xiàn)。

舉個(gè)例子，在2015年之前，沒有人知道Java RCE反序列化攻擊，彼時(shí)，這就是未知的未知。

如果大模型穿越到當(dāng)年，看到Java RCE，它也是一臉懵逼。

但是不要擔(dān)心，因?yàn)樵趯?shí)際生產(chǎn)環(huán)境下，我們遇到的絕大多數(shù)威脅都是前兩種：完全已知和已知的未知。

比如2024年紅藍(lán)攻防演練，總共283個(gè)0day，其中217個(gè)是已知的未知，剩下的都是已知的已知。

所以，真正需要重視的，正是那些能夠繞過普通防護(hù)體系的“已知的未知”威脅。

而這，恰恰是大模型的強(qiáng)項(xiàng)！

因?yàn)榇竽Ｐ透畽C(jī)器語言，能深刻理解攻擊載荷的文本相似性、語義相似性、行文相似性。

所以，當(dāng)攻擊者變?cè)旃糨d荷企圖繞過傳統(tǒng)的檢測(cè)手段時(shí)，大模型可以精準(zhǔn)識(shí)別這些變體。

老張就是用了風(fēng)云衛(wèi)這項(xiàng)能力，彌補(bǔ)傳統(tǒng)IPS、NDR等流量檢測(cè)系統(tǒng)的“睜眼瞎”問題。

有效發(fā)現(xiàn)變種威脅，為傳統(tǒng)檢測(cè)機(jī)制兜底。

▋第二個(gè)場(chǎng)景，老張用風(fēng)云衛(wèi)來構(gòu)建「安全基線模型」。

按照老張的說法，在紅藍(lán)攻防演練戰(zhàn)例中，涉及內(nèi)網(wǎng)隱身橫移占比高達(dá)90%，但傳統(tǒng)檢測(cè)機(jī)制很難應(yīng)對(duì)這種橫移。

比較有效的辦法就是基于UEBA基線監(jiān)測(cè)，來發(fā)現(xiàn)內(nèi)網(wǎng)賬號(hào)的異常活動(dòng)。

這個(gè)原理就好像健身手環(huán)，記錄你一個(gè)月的平均心率、步數(shù)，如果某天心率突然飆高，就會(huì)提示你可能異常。

但是UEBA基線強(qiáng)依賴于環(huán)境數(shù)據(jù)，需要依托廠商進(jìn)行定制開發(fā)，而且基于預(yù)設(shè)場(chǎng)景的基線模型無法解決預(yù)設(shè)場(chǎng)景之外的可疑攻擊檢測(cè)。

這個(gè)問題，曾經(jīng)困擾了老張好幾年。

現(xiàn)在有了綠盟風(fēng)云衛(wèi)，老張可算解脫了。

基于采集日志，風(fēng)云衛(wèi)能夠自主完成從數(shù)據(jù)分析、基線構(gòu)建，到策略配置、基線檢測(cè)，再到告警分析、響應(yīng)處置的一條龍操作。

比如，風(fēng)云衛(wèi)通過自主構(gòu)建基線、自主分析，發(fā)現(xiàn)內(nèi)網(wǎng)主機(jī)周期性通信，最終鎖定失陷主機(jī)。
再比如，基線分析發(fā)現(xiàn)端口訪問數(shù)激增，歷史基線（源→目標(biāo)）訪問端口數(shù)量平均5個(gè)，突然增加到17個(gè)，可判斷為端口掃描行為。

▋第三個(gè)場(chǎng)景，老張用風(fēng)云衛(wèi)來做「事件降噪」。

這可能是安全大模型最成熟的功能之一了，以前老張看告警看到眼瞎。

現(xiàn)在海量事件交給「風(fēng)云衛(wèi)」先看，大模型篩完以后，需要人工處置的已經(jīng)沒有幾條了。

據(jù)說，老張最近半年都沒買過眼藥水了。

▋第四個(gè)場(chǎng)景，老張把風(fēng)云衛(wèi)當(dāng)安全牛馬用，讓它來做自主調(diào)查。

降噪以后，篩選出來的那些高危事件，以前一般要靠專家人工研判，現(xiàn)在可以繼續(xù)讓AI牛馬發(fā)揮主觀能動(dòng)性：提取調(diào)查線索→規(guī)劃調(diào)查過程→執(zhí)行調(diào)查任務(wù)→總結(jié)和研判。

當(dāng)某個(gè)事件擁有多個(gè)線索且存在交集事件的時(shí)候，風(fēng)云衛(wèi)還能夠進(jìn)行并案調(diào)查，挖出更大的幕后黑手。

其實(shí)，綠盟風(fēng)云衛(wèi)還有很多用法，你看看如此豐富的智能體中心，就知道老張現(xiàn)在用得有多溜了。

當(dāng)然，還有最重要的一點(diǎn)，AI確實(shí)緩解了人工壓力。

現(xiàn)在，所有這些安全運(yùn)營(yíng)的事，不需要老張?zhí)傩模G盟風(fēng)云衛(wèi)與綠盟ISOP堪稱絕世好搭檔，大部分運(yùn)維工單，都被自動(dòng)化搞定了。

很多時(shí)候，老張只負(fù)責(zé)看看熱鬧、讀讀報(bào)告，了解一下處置結(jié)果就行了。

在甲方干安全，有「綠盟風(fēng)云衛(wèi)」陪伴的日子，真是歲月靜好呀。