北京
“我特么信你個鬼!”,老張把自己狠狠砸在工位上,喝了一口水。
想繼續罵一句,看到群里甲方說又有幾臺機器中招了,顧不上再罵,趕緊去處理…
張成,安全老司機,某安全公司在甲方的駐場運維。
對,老張是個乙方。
大家都知道做乙方慘,做安全乙方更慘,在甲方駐場的安全乙方尤其慘。
更讓老張崩潰的是,自家老板(乙方)的態度。
剛才老張之所以破防罵人,是因為和自家老板談結束駐場調回總部,談崩了!
老張在天臺與自家老板的對話
老板接了個電話,匆匆走了。
想起三年前,他也是這么畫餅的,老張心里一萬只草尼瑪飄過。
機遇就在不經意間,悄悄來了。
新財年甲方組織架構調整,空出來一個安全主管的編制。
甲方CIO覺得老張駐場服務這些年,非常不錯,專業又敬業。
救火背鍋樣樣行,每年紅藍攻防演練期間也能撐得住場面,多次挽救甲方于紅隊的“魔爪”。
就這樣,喜從天降,老張華麗轉身,從乙方駐場牛馬變成甲方安全主管。
集團給老張的要求是要「降本增效」,但并不砍安全預算。
既然不砍預算,老張就有譜了,花同樣的錢,自然要買點好東西。
于是,他新官上任,決定換換思路,引入AI大模型能力,提升安全運營效率,改變一下苦逼人肉運維的狀況。
首先,不再續簽原來的駐場安全運維合同,老張要選擇更牛的供應商和更先進的方案。
接下來,開啟安全大模型評測和招標↓
經過層層篩選,貨比八家,最終,老張選擇了國內老牌廠商綠盟的「風云衛」。
「綠盟風云衛」有啥本領,能夠被老張選中?
不妨來聽老張講講評測和使用感受吧↓
綠盟風云衛是啥
風云衛是綠盟的AI安全能力平臺,以綠盟安全大模型SecLLM和DeepSeek大模型為底座,提供運營和檢測兩大類安全智能體服務。
綠盟從2017年成立天樞實驗室開始探索AI賦能安全,八年磨一劍。
風云衛融合了綠盟多年來安全攻防和AI研究的成果,并同時接入DeepSeek大模型和綠盟自研安全大模型。
針對運營和監測相關工作,風云衛提供了告警降噪、事件研判、自主狩獵、編排響應、勒索檢測、惡意文件檢測、釣魚郵件檢測等20多個智能體。
綠盟安管平臺(ISOP)、安全設備、安全服務或者第三方系統,都可以通過API接口來調用這些智能體,迅速提升AI“打怪”和“照妖”能力。
同時,風云衛還支持多智能體框架,讓智能體可以通過工作流編排,組團“打怪照妖”,協同作戰。
這種多智能體編排是完全可視化的,零代碼、拖拽式,分分鐘讓多個智能體協作起來,完成復雜的工作流任務。
老張對這種可視化編排能力贊不絕口。
他可以根據自己集團這邊的實際業務場景,利用風云衛提供的基礎算子、標準智能體,來組裝出自定義的「超級智能體」,干點定制化的大活。
還有一個特色,老張也很喜歡↓
大模型改變了傳統人機對話的方式,從圖形化GUI變成了LUI,他可以基于自然語言/語音,與風云衛進行交互,所思即所見。
老張還記得以前駐場的時候,甲方領導總喜歡提些個性化需求:想看態勢大屏哪個模塊、哪些儀表盤怎么放好看、要餅圖還是柱狀圖…
綠盟風云衛具體怎么用
老張講完風云衛的基本概念,接下來分享了他在實際的安全運營中,是如何用風云衛來解決問題。
▋第一個場景,老張用風云衛來進行「未知威脅發現」。
老張把市面上的「安全威脅」分成以下三大類:已知的威脅、已知的“未知威脅”、未知的“未知威脅”。
那些從未出現過的攻擊方法(真正的未知威脅),人類不知道,大模型同樣也沒有地方學到,所以,它也很難發現。
舉個例子,在2015年之前,沒有人知道Java RCE反序列化攻擊,彼時,這就是未知的未知。
如果大模型穿越到當年,看到Java RCE,它也是一臉懵逼。
但是不要擔心,因為在實際生產環境下,我們遇到的絕大多數威脅都是前兩種:完全已知和已知的未知。
比如2024年紅藍攻防演練,總共283個0day,其中217個是已知的未知,剩下的都是已知的已知。
所以,真正需要重視的,正是那些能夠繞過普通防護體系的“已知的未知”威脅。
而這,恰恰是大模型的強項!
因為大模型更懂機器語言,能深刻理解攻擊載荷的文本相似性、語義相似性、行文相似性。
所以,當攻擊者變造攻擊載荷企圖繞過傳統的檢測手段時,大模型可以精準識別這些變體。
老張就是用了風云衛這項能力,彌補傳統IPS、NDR等流量檢測系統的“睜眼瞎”問題。
有效發現變種威脅,為傳統檢測機制兜底。
▋第二個場景,老張用風云衛來構建「安全基線模型」。
按照老張的說法,在紅藍攻防演練戰例中,涉及內網隱身橫移占比高達90%,但傳統檢測機制很難應對這種橫移。
比較有效的辦法就是基于UEBA基線監測,來發現內網賬號的異常活動。
這個原理就好像健身手環,記錄你一個月的平均心率、步數,如果某天心率突然飆高,就會提示你可能異常。
但是UEBA基線強依賴于環境數據,需要依托廠商進行定制開發,而且基于預設場景的基線模型無法解決預設場景之外的可疑攻擊檢測。
這個問題,曾經困擾了老張好幾年。
現在有了綠盟風云衛,老張可算解脫了。
基于采集日志,風云衛能夠自主完成從數據分析、基線構建,到策略配置、基線檢測,再到告警分析、響應處置的一條龍操作。
比如,風云衛通過自主構建基線、自主分析,發現內網主機周期性通信,最終鎖定失陷主機。
再比如,基線分析發現端口訪問數激增,歷史基線(源→目標)訪問端口數量平均5個,突然增加到17個,可判斷為端口掃描行為。
▋第三個場景,老張用風云衛來做「事件降噪」。
這可能是安全大模型最成熟的功能之一了,以前老張看告警看到眼瞎。
現在海量事件交給「風云衛」先看,大模型篩完以后,需要人工處置的已經沒有幾條了。
據說,老張最近半年都沒買過眼藥水了。
▋第四個場景,老張把風云衛當安全牛馬用,讓它來做自主調查。
降噪以后,篩選出來的那些高危事件,以前一般要靠專家人工研判,現在可以繼續讓AI牛馬發揮主觀能動性:提取調查線索→規劃調查過程→執行調查任務→總結和研判。
當某個事件擁有多個線索且存在交集事件的時候,風云衛還能夠進行并案調查,挖出更大的幕后黑手。
其實,綠盟風云衛還有很多用法,你看看如此豐富的智能體中心,就知道老張現在用得有多溜了。
當然,還有最重要的一點,AI確實緩解了人工壓力。
現在,所有這些安全運營的事,不需要老張太操心,綠盟風云衛與綠盟ISOP堪稱絕世好搭檔,大部分運維工單,都被自動化搞定了。
很多時候,老張只負責看看熱鬧、讀讀報告,了解一下處置結果就行了。
在甲方干安全,有「綠盟風云衛」陪伴的日子,真是歲月靜好呀。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
