梁浩-大模型加速走向真运营.pdf

《梁浩-大模型加速走向真运营.pdf》由会员分享，可在线阅读，更多相关《梁浩-大模型加速走向真运营.pdf（26页珍藏版）》请在三个皮匠报告上搜索。

1、大模型加速走向真运营安恒信息/梁浩目录目录Content安全运营的现状分析0101大模型如何改变安全运营现状0202大模型应用效果总结0303安全运营的现状分析01安全运营普遍需求落实网络安全监测预警和通报制度，建立健全网络安全风险评估和应急机制，有效识别和消除安全隐患，落实管理和技术举措，保障安全策略动态有效性、满足安全合规需求。识别、评估和管理所面临的安全风险，并采取必要的措施并采取必要的措施来降低风险。通过网络安全运维，防范各种网络安全威胁，确保网络的安全性和可用性，使网络系统的安全性得到持续维护和提升。在一些重大节日或重要活动等时间节点，能够724小时全天候安全值守，事前查漏补缺，补齐

2、安全短板，事中实时监测，快速研判分析，事后启动应急消除事件影响，实战化要求越来越高。针对行业应用系统或数据资源开展常态化安全监测，感知网络安全态势，结合最新情报快速通报预警，形成行业联防联控网络安全风险能力，整体提升行业网络安全保障水平。安全合规建设安全合规建设日常运营支撑日常运营支撑重大活动保障重大活动保障安全工作协同安全工作协同传统SIEM平台的困境随着企业信息化程度的提升，日志、告警等安全数据呈指数级增长，传统SIEM系统的数据处理能力已难以应对。数据量激增传统SIEM系统在整合外部威胁情报方面能力有限，导致无法及时识别新型威胁。威胁情报集成不足除了结构化数据，非结构化数据（如文本、图片

3、、视频等）在安全分析中的价值日益凸显，而传统SIEM系统对此类数据的处理能力有限。数据类型多样化基于预设规则的检测方式无法应对不断变化的威胁手法，导致漏报和误报率居高不下。检测规则僵化面对高级威胁和零日漏洞，实时数据处理能力至关重要，传统SIEM系统在这方面存在明显不足。实时处理需求由于缺乏自动化响应机制，传统SIEM系统在发现威胁后往往需要人工介入，延误了最佳响应时机。响应速度慢面临的挑战面临的挑战与局限性与局限性数据处理能力有瓶颈威胁检测与响应有滞后性运营现状：精准检测，牺牲全面性分析准检测全威胁检测覆盖度与依赖人工的分析能力难两全关注和响应高质量、高风险和高确定性告警！现实情况：高级威胁

4、（或针对性攻击）所采用的技术，如攻击特征隐藏/特征消除、无代码攻击、白利用、加密通信等，具有隐蔽性增强、潜伏周期长的特点，想要实现精准检测很困难，通常会产生大量异常/可疑类的行为特征、统计特征告警（如ueba、时间序列异常检测、加密通信算法检测等告警），在精准检测以求降噪和降低告警分析工作量的场景下，不得不降低或关闭此类泛化的弱信号检测，造成高级威胁漏报。现实情况：有经验的分析师1天能分析多少告警？有经验的分析师是否整天都在分析告警？有经验的分析师是否一直愿意分析告警？一个典型的中型企业每日告警量：针对已知威胁1k-10k告警，针对未知威胁10k-100k告警。在这海量告警中，有明显特征的告警

5、：至少需要分析师“看一眼”-核查误报，打标结果，提交处置；无明显特征的告警：更需要借助工具（如splunk）做多步详细调查（统计、聚合、趋势分析、上下文挖掘、情报分析和验证等）-规避漏报，识别风险，远程取证。运营现状：全面检测，牺牲准确性关注覆盖更多的攻击技战术！威胁检测覆盖度与依赖人工的分析能力难两全分析准检测全真运营目标：全面检测，精准检测数据源数据源日志日志原始告警原始告警高置信告警高置信告警原始安全事件原始安全事件需响应需响应事件事件真运营之坡观测检测研判聚合调查安全大数据-事件小数据的逐层精炼工程大模型如何改变安全运营现状02AI最终目的是释放人真运营的希望：大模型生成式生成式AIA

6、I应用级别应用级别描述描述示例示例L1 Tool人类完成所有工作，没有任何明显的AI辅助绝大部分应用L2 Chatbot人类直接完成绝大部分工作。人类向AI询问意见，了解信息。AI提供信息和建议但不直接处理工作初代ChatGPTL3 Copilot人类和AI进行写作，工作量相当。AI根据人类要求完成工作初稿，人类进行目标设定，修改调整，最后确认Github CopilotMidjourneyChatGPT with PluginL4 AgentAI完成绝大部分工作，人类负责设定目标、提供资源和监督结果。AI完成任务拆分，工具选择，进度控制，实现目标后自助