原创 Janky 2025-10-28 19:59 浙江
真正的安全,来自于清晰的安全架构、严格的访问控制、持续的安全意识培训以及快速的应急响应能力。我们不应再盲目追逐“下一个技术神话”,而应回归安全的本质。技术的应用必须服务于明确的安全目标,而非为了技术而技术。
在 GPT 炸街之前,是大数据的世界。数据之大,概念妆点满天下。和今天的 AI 一样,你不在额头上贴上「大数据」几个字,你都不好意思出门。
和大数据伴生的几个高频兄弟词汇是 Hadoop、实时计算、流式计算、离线计算、UEBA、ODPS。这些词汇出现在每个行业,包括作者所处的网络安全行业,本人也是这些词汇的炒作者和弄潮儿。那实际的应用效果如何呢,一句话可总结:BAT 还能搞一搞,其他人均是凑热闹。
01
数据维度不全,做什么大数据的梦
一厢情愿者们相信,只要采集足够多的日志、流量和用户行为数据,就能从海量信息中挖掘出网络攻击,或者内鬼泄露数据的蛛丝马迹。企业纷纷投入巨资搭建 Hadoop 集群、部署流式分析平台,试图用数据的“量”来弥补防御的“质”。
然而,现实却令人失望:数据越积越多,攻击却依旧防不胜防。勒索软件、APT 攻击、供应链入侵、数据泄露等威胁不仅没有减少,反而愈演愈烈。大数据非但没有扶起网络安全,反而让防御者陷入了“数据过载”的泥潭。
问题的根源在于,采集的数据维度过于单一,数量再大,于数据质量的提升都无多少益处。什么叫单一维度的数据:
比如从网关截取的流量日志充斥着往来于不同 IP 之间的报文记录,但是底层流量所代表的业务操作、用户身份、IP 标签都没有;
又比如终端 DLP 安全软件采集的文件操作日志,文件在终端设备里被移来移去、重命名、压缩、发生给微信好友等等大量日志,但却不能判断文件是否为公司数据资产、微信好友是否为客户。
这不计其数的流量日志和文件操作日志,就是维度单一的大数据,亦是死数据。
我知道安全厂商们都会精挑细选几个用例场景,展示其大数据模型的魅力,在漂亮的时间线框 UI 组件的里,详尽展示和溯源攻击被发现和处置的产品界面。这就像新能源车场把放了气的奔驰车作为对比展示对象一样,都是精心设计的骗局。更像我刚学了一份百胜棋谱,一遇到对手,只能惊呼“他怎么不按棋谱走呢?”。
当数据维度缺失时,分析结果会存在严重偏差或局限性。模型可能得出错误结论,无法洞察真实原因,预测能力也会大打折扣。即使数据总量再大,如果关键维度缺失,就如同用残缺的拼图去猜测全貌,所谓的“大数据分析”不过是空中楼阁,难以产生真正的价值。
然而很遗憾的是,第三方安全厂商,只能采集到这些易于采集的单一维度数据,基于这些数据并不能雕出花来,只能在泡沫年代吹出虚假的行业繁荣。
02
不提计算成本的企业,连基础的大数据能力都没有
成本自然是因人而异,因地制宜,作者可以依据历史经验给出一些简单的数据供参考。
我们忽略大数据人才的投入、软件平台的采购,甚至机房和网络带宽和电力的消耗,仅仅核算数据存储、以及每次数据任务的消耗。以使用云服务器为例(存储数据,以及运行数据计算任务)、假定办公终端数量为 20万台,那么将 EDR 产生的数据用于 ATT&CK 所涵盖的攻击样例去建立数据模型,每年的资金消耗在 3000 万人民币以上。
那么对于终端数量缩小 10 倍,变为 2万,我们同比例降低到成本消耗为 300万人民币每年。
各个企业可以看看自家的安全预算,即使是在岁月静好的年代,是否能够覆盖真正稍有效果的“大数据安全项目”?
03
AI 并未带来历史问题的改善
AI 被视为解决大数据局限性的“终极答案”。深度学习、生成式 AI、行为分析等概念被广泛宣传,仿佛只要引入 AI,就能实现“智能防御”。 然而,这种乐观情绪正在被现实击碎。AI 并非魔法,它仍然需要,甚至更加需要,更多、更好的数据的喂养。但是对于大多数企业来说,数据维度的丰富是一个永远没有能力解决的死结。 当前的 AI 安全应用,大多仍停留在“用机器学习做更复杂的大数据分析”这一层面,本质上并未跳出原有框架。更危险的是,AI 的引入带来了全新的攻击面和失控风险。攻击者同样可以利用 AI 发起更精准的网络钓鱼、生成难以分辨的深度伪造内容,甚至自动化攻击流程。防御者用 AI 检测异常,攻击者就用对抗性样本欺骗 AI 模型,使其产生误判。 AI 系统本身也存在“黑箱”问题,其决策过程难以解释,一旦出现误报或漏报,安全人员无法追溯原因,也无法建立信任。在多智能体系统中,AI 之间的交互可能产生不可预测的集体行为,一个被攻破的 AI 智能体甚至可能将恶意逻辑传播给整个系统,引发连锁故障。 此外,AI 在网络安全中的应用还面临严重的治理缺失。许多企业仓促部署 AI系统,却缺乏对模型偏见、数据隐私和长期安全性的考量。AI 模型可能因训练数据偏差而歧视某些正常行为,也可能因过度优化单一指标而忽视整体安全目标。当 AI 开始自主决策时,责任归属变得模糊:是开发者、使用者,还是 AI 本身该为错误负责?这些问题至今没有答案。 另外 AI 的成本,更是无需赘言!
04
网络安全,到了回归务实的时候
一个行业发展到后期,往往是头部 1 到 3 名种子选手吃掉整个行业绝大部分市场。网络安全行业是个例外,几乎全员亏损。基于此我们有理由怀疑,整个行业也许一开始就被带歪了,凡是均有两面性,这个时刻也许正是网络安全回归正途的时候了。
因为这个时候,吹牛和炒概念也没用了,没有多少体制内项目以你为噱头去消耗预算了、也没有投资人为这个传统行业买单了。
网络安全人们此刻必须清晰的认识到,大数据也好,AI 也罢,它们无法从根本上“扶起”网络安全,因为网络安全的本质是一场人与人之间的对抗,而非数据与数据的较量。
技术可以提升效率,但无法替代战略、流程和人的判断。
真正的安全,来自于清晰的安全架构、严格的访问控制、持续的安全意识培训以及快速的应急响应能力。我们不应再盲目追逐“下一个技术神话”,而应回归安全的本质。技术的应用必须服务于明确的安全目标,而非为了技术而技术。
与其投入巨资构建复杂的 AI 防御系统,不如先夯实基础,确保补丁及时更新、权限合理分配、备份可靠可用。同时,必须加强对 AI 系统的安全治理,建立可解释、可审计、可控制的 AI 安全框架。大数据没能扶起网络安全,AI也同样行不通。唯有摆脱对技术救世主的幻想,回归以人为本、以风险为导向的安全实践,才能真正构建起 Resilient(有韧性)的数字防线。
更多阅读
这些条款从甲方采购合同里消失,我们的软件技术产业才有健康发展的土壤
为什么企业通常在部署完 DLP 的 2 年后,开始转向“企业浏览器”
www.dsphere.com.cn
