(作者:華 Jin**、方文謙的報道)。
支援 AI 的安全攻擊加劇了整體安全威脅
生成式AI對網路安全行業的影響不同於其他行業,因為AI不僅給安全產品本身的形式帶來了變化(防禦視角),而且可以大大降低安全攻擊的門檻,從而增加行業的總需求(攻擊視角)。 AI將帶來安全攻擊的新變化:社會工程攻擊、漏洞和攻擊面發現、惡意生成等。 AI自動化攻擊工具在今年下半年進入規模化和產業化階段。 例如,FraudGPT 在暗網市場和 Telegram 平台上銷售:1) 1 個月計畫的價格為 200 美元;2) 3 個月計畫的價格為 450 美元;3) 1000 個月計畫 6 美元;4) 一年計劃的價格為 1700 美元。
大型 AI 模型存在固有的安全問題
AI模型存在固有的安全問題,其中資料安全和AI工程對安全投入的影響最大。 資料安全不僅包括資料採集不當、偏見或貼錯標籤、訓練階段資料中毒等,還包括模型應用過程中的資料洩露、私隱等風險。 通常需要採取資料加密、私隱計算、資料清晰等資料安全措施。
海外AI+安全Copilot工具
Microsoft在今年3月發布首款生成式AI安全產品Security Copilot後,包括CrowdStrike、Google在內的多家領先廠商紛紛推出相應的Security Copilot產品。 Security Copilot 產品的主要功能包括基於自然語言和 AI 輔助的安全狀態查詢、威脅追蹤和安全事件響應。
AI+安全的交匯點:安全運營
AI+安防的主要組合集中在安防運營+安防平台領域,目前AI20+安全產品可分為兩大類:1)安全Copilot產品:Microsoft Security Copilot和Crowdstrike Charlotte AI;2)人工智慧驅動的安全平台:代表Paloalto Networks推出的人工智慧驅動新產品XsiAM(擴充套件安全智慧型和自動化管理)的推出。
為什麼選擇安全運營?
安全運營是安全行業中自動化程度最低的領域:在網路安全系統的元件中,防火牆和端點安全等單點安全產品已經具有高度自動化,而安全運營的自動化程度最低。 這是由安全性的複雜性決定的。 安全運營是安防行業最需要AI深度改造的環節:1)傳統安防裝置是第三方的,數量多、複雜,資料混亂,導致誤報率高,成為看不見、威脅防範不住的現實風險2)安全運營壓力過大,威脅數以萬計,其中90%是非真實威脅,效率低下。
人工智慧將帶來安全運營效率的飛躍
能力提公升(從一線運營到安全專家):對於沒有經驗的IT和安全專業人員,AI可以幫助他們更快地做出更好的決策,讓更高階的安全運營更簡單,快速達到中高階安全人員的處置能力,降低安全運營門檻效率提公升(響應響應時間從幾天縮短到幾秒鐘):安全人員級別通過自動執行重複和繁瑣的任務(如資料收集、提取、威脅搜尋和檢測)來縮短對關鍵事件的響應時間,同時通過簡單的自然語言提示啟用任何檢測、調查或響應工作流,從而減少安全操作的時間和人力成本。
Microsoft Security Copilot:首款生成式 AI 安全產品
Microsoft 的 Security Copilot 於 3 月發布,是世界上第乙個生成式 AI 安全工具,其底層模型由 ChatGPT-4 提供支援,並與 Microsoft 的安全特定模型相結合。 該模型繼續從 習 那裡學習 Microsoft 每天在其威脅情報中收集的超過 65 萬億個訊號,為 SecurityCopilot 背後的安全專業人員提供支援。 Security Copilot 有乙個非常簡單的介面,接受自然語言輸入,使用者可以簡單地向他們傳送提示——無論是問題還是請求、檔案、URL、程式碼段還是威脅指示器——Security Copilot 使用安全模型的全部功能來分析事件或執行任務。
Microsoft Security Copilot 的一些關鍵應用程式功能包括:安全事件解釋和分析、優先順序和深入分析、安全知識助手、內部情況評估摘要和匯報文件建立。 例如,安全經理可以使用自然語言來詢問與安全相關的問題,例如“公司中發生了哪些安全事件?”。Security Copilot 可以彙總公司網路安全系統和外部資料生成的威脅報告,而聊天機械人還可用於幫助安全經理進行安全調查、建立報告和總結事件。 Security Copilot 已於 10 月開始測試,11 月 20 日,在 Microsoft Ignite 大會上,推出了首個整合 Security Copilot 的統一安全運營平台,資料安全、身份、裝置管理等領域的產品與 Security Copilot 全面整合。
Crowdstrike 的生成式 AI 產品 Charlotte AI
Crowdstrike 於今年 5 月發布了其生成式 AI 產品 Charlotte AI,定位為虛擬安全分析師,可以幫助安全運營中心 (SOC) 的分析師實現職責自動化。 安全分析師可以與 Charlotte AI 進行對話,詢問其環境中的安全威脅、它們如何應用於他們的行業、哪些資產存在風險、如何解決這些資產的問題,甚至建立有關正在發生的事情的報告。 Crowdstrike 自成立以來一直走在 AI + 安全創新的前沿,作為 EDR 的先驅,Crowdstrike 正在通過 Charlotte AI 將其在 AI + 安全領域的領導地位擴充套件到生成式 AI。
CrowdStrike 基於 AI 驅動的 XDR 平台框架
除了生成式 AI 安全工具 Charlotte AI 之外,Crowdstrike 現在還將大型模型功能作為 XDR 平台的重要組成部分。 基於多個基礎模型,並利用 CrowdStrike 的高保真資料,可以為整個 Falcon 平台提供生成式 AI 功能。
Crowdstrike Charlotte AI 定價公布
Crowdstrike 推出 Charlotte AI 後,在 Q3 推出了資料產品 Raptor(通過 Raptor 將過去所有資料整合到不同終端的 Charlotte),通過 AI + 資料 + 平台,可以將過去 8 小時的運營時間縮短到幾分鐘,大大提高了互動性和易用性。 Charlotte AI的終端定價為20美元,公司管理層認為未來將達到70億美元的市場規模,不低於目前的核心產品線(如Falcon IT)。
Crowdstrike 的指引已大幅上調
Crowdstrike在今年第二季度大幅上調了其未來業務空間和盈利模式,同時預計未來五到七年將實現100億美元的ARR,該公司預計未來三到五年的營業利潤率為28-32%,而原定目標為20-22%,這是近期對美股業績預期的最強上調之一。 而公司在第三財季繼續保持對第二財季的高預期。
palo alto networks:xsiam
去年年底,領先的網路安全供應商Palo Alto Networks推出了一款新的人工智慧驅動產品XSIAM(擴充套件安全智慧型和自動化管理)。 XSIAM 是乙個雲交付的整合 SoC 平台,它將 EDR、XDR、SOAR、ASM、UEBA、TIP 和 SIEM 模組整合到乙個整合平台中,用於威脅檢測、事件管理、威脅情報、自動化、攻擊面管理等。
XSIAM是未來安全平台的原型
XSIAM的背後是精準AI(精準檢索和響應)和生成式AI(便捷互動和理解),強調利用AI&ML重塑安全性,處理6倍資料量,誤報率降低70%,自動化率大幅提公升,響應速度從2-3天改為16分-5小時。
XSIAM是未來安全平台的原型
XSIAM商業化成功:自XSIAM全面推出以來,Palo Alto Networks在第一年就設定了1億美元的收入目標,實際上,該公司已經連續兩個季度獲得了1000萬美元的訂單,XSIAM在推出的第一年就達到了2億美元,遠超之前的目標。 XSIAM預計將在短時間內達到10億美元:該公司計畫在未來3-5年內在XSIAM現有能力的基礎上推出10個以上的新XSIAM模組(包括其自身和合作夥伴模組),進一步擴充套件AI平台的能力。 同時,該公司披露,XSIAM的產品線在最近乙個財季已達到10億美元,有望成為該公司增長最快、規模最大的產品線。
XSIAM進一步利用了公司在安全平台領域的優勢
根據最新的財務業績,該公司Cortex的活躍客戶數量增長了25%,達到5,300多個。 Cortex 的 XDR、Xsoar、Xpanse 和 XSIAM 產品獲得了多項行業認可,其中 Cortex XDR 是業界唯一在第一輪 MITRE 評估中實現 100% 保護和檢測的產品,而 Xsoar、Xpanse 和 XSIAM 在 Gigaom 等第三方評選中均處於領先地位。 Cortex部門的持續增長將加強公司在安全運營領域的競爭優勢。 據該公司首席執行官Nikesh Arora介紹,該公司目前在SOC領域有4-5個主要競爭對手,未來,隨著AI、安全管理和端點安全能力的逐步整合,主要競爭對手將減少到2-3個。
關注安全環境的長期改進機會
安防行業格局現狀:主要子賽道自家為王,底層技術棧的差異導致頭部廠商在不同賽道上擁有不同的優勢產品,沒有乙個大平台、大公司能夠統一和分散安全能力同時,使用者在各個領域選擇最好、最便宜、最相關的供應商,然後擴大整合,單一的安全供應商很難在所有領域佔據領先地位。
過去,技術創新是否改變了行業格局?
安防行業是乙個技術創新非常頻繁的行業,通常平均每3年就會有一輪小規模的技術迭代,但大多數情況下,新技術並沒有形成獨立的軌道,也不會催生出大公司,而是被過去的產品內化。 例如,UEBA 和 SOAR 等功能逐漸整合到 SIEM 中。 從投資的角度來看,我們希望尋找的是:1)技術變革是在足夠大的軌道上產生的;2)可能對景觀產生影響的重大技術創新。例如,下一代防火牆 (Palo Alto Networks) 和端點檢測和響應 (EDR) (Crowdstrike)。
AI + 安全:小變化還是大變化?
從長期來看,安防行業不乏景氣(全球安防市場長期增速維持在7%-15%,國內安防市場短期內有望保持19%左右的復合增速,雖然短期景氣度較低),因此安防行業的機會往往來自格局的改變(可以催生大公司)。 安防行業格局發生變化的契機與兩個因素有關,一是技術的顛覆性,即能否帶來產品的重要變革,二是賽道規模的大小,其中,單軌級的變化包括下一代防火牆、EDR、終端國產化等,雲和AI對安防行業的影響將大於單點技術和產品創新在過去。
人工智慧對格局的影響:安全大資料的重要性顯著增加
AI帶來改變競爭格局的可能:安防大資料提公升了安防行業的規模效應。 資料已經成為關鍵的競爭因素,資料能力(包括獲取和處理資料的能力)決定了安全能力,AI+安全的核心壁壘是用更強大的模型來挖掘安全大資料的兩大基礎:雲(足夠大的資料)+AI(足夠強的資料分析能力),安全資料本質上是多源異構資料, 從安全裝置的二手資料到第一手遙測資料,包括端點、網路、防火牆、電子郵件、身份和 DNS,分析和關聯所有這些本地遙測 + 基於雲的威脅情報,將遙測資料的單獨元件匯集在一起,以一致的方式識別和阻止威脅。大模型出現後,海外廠商強調AI帶來的分析、理解、自動化、生成海量資料的能力,尤其是那些雲安全做得更好、產品體系完善、使用者更多、資料更多、規模效應更明顯的廠商。
國內AI+安全進展:期待不足,產品尚未上線
國內AI+安防進展:深信、千信、安恒等10余家龍頭廠商發布AI+安防產品,目前處於產品測試和市場推廣初期,預計明年產品全面上線。 從中長期來看,AI給安防行業帶來的變化——痛點都得到了明確的解決,這不僅會在新的大賽道上醞釀新產品,也有望從根本上改變安防的“複雜性”。
如何實現大型模型:雲化與本地化
在大規模模型落地的方式上,國內外安防市場存在明顯差異。 海外市場:雲化部署佔主導地位。 海外客戶對安全SaaS的接受度很高,包括CrowdStrike和Panw在內的領先安全廠商都採取了雲優先的策略來推動AI,領先的安全廠商可以基於安全大資料迭代優化安全能力。 國內市場:私有化本地化部署為主,少數場景也會考慮雲化部署。 國內**、金融企業等頭部客戶對資料安全要求較高,考慮到算力成本和大模型的本地實現需求,訓練推理一體機的模型有望成為主流。
模式一:深信服安全GPT
5月18日,深信服發布國內安防垂直領域首款GPT模型“安防GPT”,9月22日,展示了安防GPT和2版本 0 公升級,安全 gpt20 在檢測和操作能力方面得到了進一步提公升。 安全 GPT 20公升級的能力可以分為兩種,一種是檢測模型,即作為新一代的檢測引擎,可以更準確、更快速地檢測潛在的入侵活動,如0day漏洞和APT隱蔽威脅入侵二是運營模式,即作為安全運營的智慧型助手,實現自動化值班,提高安全運營的效率和效果。 目前深信服安全GPT支援SaaS和本地化部署方式,滿足使用者的不同需求。 在產品端,Security GPT現已全面賦能安全託管服務MSS、服務專家和“數字助理”。
模式二:安恆恆腦模型和昇騰一體機
8月28日,安恆資訊“恆腦安全垂直模型”正式向公眾發布,同時發布基於“恆腦”的安全運營平台。 “恆諾”平台可以為使用者帶來安全能力和安全效率的提公升。 1)安全能力提公升:能夠從各種安全工具和資料來源中收集、整合、分析資訊,並與態勢感知、資產管理系統、威脅情報平台、漏洞管理系統等其他產品整合,實現全面的威脅情報分析和事件響應通過大模型自動識別和分析安全事件,學習習,適應新的威脅模式,從而提高對未知威脅的檢測能力;2)提高安全效率:通過智慧型編排,提高安全團隊的效率和響應能力,幫助安全團隊減少人工操作的工作量,提高響應速度和準確性。目前,恆腦模型已順利通過AI框架MindSpore相互相容測試認證,與昇騰聯合研發的大模型一體機已適配,在國產安防大模型一體機落地中佔據了顯著的先發優勢。 目前,安恆資訊已開始向客戶交付恆諾大機型和一體機,主要服務於大型央企客戶,與其他廠家相比,公司優先提早提貨。 在近日舉辦的2024年昇騰AI創新大賽浙江賽區總決賽中,公司憑藉該解決方案斬獲應用賽道金獎,彰顯了其與華為昇騰在大模型領域的深度合作。
本文僅供參考,不代表我們的任何投資建議。 如需使用這些資訊,請參閱原始報告。 )
專題報告**:未來的智庫]。