微步在线 CEO 薛锋：数据 + 情报 +AI，助力安全运营走向“自动驾驶”

5 月 25 日，以“新威胁 新安全”为主题的 2023 CSOP 网络安全运营与实战大会在北京正式拉开帷幕，大会由北京理工大学、中国网络空间研究院、北京邮电大学为指导单位，北京理工大学网络空间安全学院、北京邮电大学网络空间安全学院、北京微步在线有限科技公司联合主办，邀请了十余位网络安全专家围绕安全运营、攻防演练技术与实战、威胁情报应用等议题展开了精彩分享。微步创始人兼 CEO 薛锋在大会现场做了题为《安全运营的第一性原理》主题演讲，并演示了微步旗下 X 情报社区全新上线的安全 GPT 应用。

薛锋认为，当前国内网络安全在攻击技术和需求侧发生新变化，网络安全模式和产业出现相应新特征，网络安全建设和运营从基础建设和合规导向逐渐过渡为效果导向，网络安全技术、产品和解决方案注定要走向自动化、云化、实战化和订阅化；但无论网络安全的需求和模式如何变化，安全运营始终保有其第一性原理，安全从业者要拥抱新技术、应对新变化，需要处理好风险、资产、威胁等网络安全运营三要素，不断探索大数据、威胁情报、AI 大模型等新技术在网络安全运营中的落地应用。

微步在 2015 年成立之后，一直专注在情报这个技术层面，就像今天 GPT 技术一样，情报也是一个技术，不是产品。薛锋回顾微步科技相对还算顺利的发展历程的原因，真正的原因是大家越来越重视网络安全实际效果，越来越重视运营，用情报做演习，都是这个事情的结果之一。

网络安全这些年发生如此多的变化，原因至少有四点：

第一，IT 基础设施的变化。网络安全其实保护是 IT 基础设施，我们要保护基础设施，基础设施发生很大变化，基础设施由 5G、4G 变化、IoT 变化，出现大量云计算、大量 SaaS 应用，包括疫情期间大量远程办公，这些都是基础设施变化，基础设施变了，安全肯定也要跟着变。

第二，监管要求变了。监管会有演习，会要求做各种各样德建设，监管要求不再是以前基本打勾和合规，而是有更多具体对效果的要求，这是对监管巨大的促进。包括我们以前帮用户发现被黑的机器用户可能不在乎，但是现在都知道，重要性系统都应该经常扫扫雷、排排毒。

第三，攻击者的变化。以前的人把攻击者当成是一些病毒、基础木马。而现在我们发现大量的高级攻击者，攻击成本变的越来越低，自动化程度变的越来越高，包括现在 AI 出现也会让攻击变的越来越容易，以前很多大家觉得只有 APT 组织才用的东西，现在普通黑客也用，很多军用技术民用化，尤其像原来是美国军方才掌握的攻击现在普通黑客也能掌握，也能控制上百万的电脑，所以这都是非常大的技术层的变化。

第四，用户单位的要求也在变化。因为数字化程度走到一定阶段，线上资产也越来越多，所以大家也更加希望注重效果、注重发现、注重运营、注重实战。

以上是网络安全本身从需求侧、从挑战侧发生很大变化（新威胁），同时，安全行业产业和模式也正在发生很多变化（新安全）：

第一，这么多年安全都是靠策略和规则在运作，就像安全界有一句话，我们不能神化 AI，也不能仅仅依赖规则。30 多年前发明 IDS、IPS 防火墙杀毒软件基本上靠策略、靠规则、靠特征，行业早就已经到了要靠数据化来驱动的阶段。

第二，我们意识到安全不能靠堆盒子来解决，现在仍然有大量企业和单位还是靠买了几个 2U 的机器叠加起来，就靠它来对付我们可能看不见的几百个、几千个、几万个自动化的对手，可能已经用上 AI 的对手，我们还在用靠规则盒子去对抗它，显然也是不够的。

第三，我们的安全需求和厂商供应侧也走向了实战化，因为大型的这种攻防演练肯定也不能光靠分 IP，尤其现在这个演练也都常态化，所以供给侧也走向实战化，很多常见威胁、勒索、挖矿、APT 也是层出不穷。

第四个变化是服务模式的变化，服务模式大家以前可能习惯了买软件、买硬件，一下买三年，甚至是买五年来解决我们安全问题，但是我们现在发现这个模式可能不是最好的模式，过去大家采购硬件和软件的时候，会存在很多问题，比如说产品设计和最终产品不一样；产品迭代太快，跟不上时代步伐……

此外，薛锋还展示了微步多项 AI 技术以及时下热门的“安全 GPT ”初步应用成果。他透露，目前微步的机器学习技术已经成熟应用于文件查杀等领域，如对 Windows 环境的 PE 文件和 Linux 环境的 ELF 文件进行查杀，检出率可达 97%-98%，同时误报率低至 0.005%和 0.002%。同时，薛锋对安全 GPT 技术的应用前景表示了极大的认可，“安全 GPT 这一技术能够极大提升安全分析师、安全运营人员的工作效率，我们演示的只是不到 1/10 的安全 GPT，大模型在安全的应用是一场万里长征，目前才刚刚开始。”展望安全 GPT 的未来，薛锋认为数据、情报和 AI 技术会极大提升网络安全运营的自动化、实战化能力，助力网络安全运营从“辅助驾驶”走向“自动驾驶”时代。

近年来，在实战演练成为常态化的背景下，政企安全建设和运营指导思路发生变化，逐渐认识到网络安全防护体系建设是长期、持续的系统性工程，因而开始注重建立实战化安全运营能力。此次 CSOP 网络安全运营与实战大会致力于推动安全运营实战经验分享、畅谈安全运营前沿用例。

【CSOP 2023 网络安全运营与实战大会其他嘉宾速览】

在 CSOP 大会开幕式上，中国网络空间研究院网络安全研究所所长姜伟、北京理工大学网络空间安全学院副院长张延军、北京邮电大学网络空间安全学院副院长张熙分别致辞。

威胁情报如何助力安全运营？国家信息中心网安部监测处处长刘蓓认为，威胁情报的应用，可提升威胁检测与发现效率、实现威胁精准溯源定位、赋能跨地区跨平台协同联动。全国海关信息中心网络与信息安全处运行主管吴小倩认为，在攻防演练常态化背景下，构建企业内外部情报共享、协同防御的攻防对抗指挥体系至关重要。微步在线技术合伙人樊兴华则从漏洞情报入手，对漏洞情报如何助力高效漏洞运营进行了深入分析。

随着攻防演练走向实战化，红蓝双方的攻击方式和防守策略也在不断演进。会上，公安部第三研究所专家、中国信息通信研究院安全测评中心技术专家陈鑫、中国国际电子商务中心副主任翟伟斌、微步在线技术合伙人赵林林、以及云安全资深专家 &蓝军负责人安全小飞侠，分别从终端安全防护、企业资产暴露面的收敛、重保中攻防的进化、防守方整体效能的提升以及云上攻防体系的建设等主题展开分享，为提升实战化安全攻防能力提供新思路。

大会最后分享环节，中国海洋石油集团信息技术中心监控运营室主任王英梅、国家能源集团信息技术公司（数据中心）网络安全中心副总经理曹慧、新奥集团首席数智安全总监刘凯依次登台，聚焦安全运营能力具体如何建设，带来了最前沿的安全运营实践案例。

据悉，此次全新的网络安全运营与实战大会在北京站结束之后，将分别于 5 月 31 日和 6 月 8 日在上海、深圳两地继续进行，拓宽时间空间跨度，汇聚更多观点碰撞，全力打造一届高水准、专业化的网络安全运营年度盛会。