阿里云歐陽(yáng)欣:AI時(shí)代下的安全新范式

  • 人閱讀
  • 2024-09-27 12:58:08

  • 來(lái)源:搜狐

  • 相關(guān)關(guān)鍵詞

9月20日,2024杭州云棲大會(huì)技術(shù)主論壇上,阿里云智能集團(tuán)云安全產(chǎn)品線負(fù)責(zé)人歐陽(yáng)欣發(fā)布主題演講,分享AI時(shí)代云基礎(chǔ)設(shè)施的安全新挑戰(zhàn)及新趨勢(shì)。AI Infra已來(lái),安全除了要持續(xù)面對(duì)以往的傳統(tǒng)問(wèn)題,更需要全新理念落地于產(chǎn)品設(shè)計(jì)、技術(shù)演進(jìn)、架構(gòu)設(shè)計(jì),才能綜合得到效果、性能、和成本的云安全最優(yōu)解。

以下內(nèi)容基于演講實(shí)錄,分享AI時(shí)代云安全最新趨勢(shì)變化。

AI時(shí)代面臨四大安全挑戰(zhàn)。

云安全三體化戰(zhàn)略

碎片化問(wèn)題的一體化解決思路

云是安全碎片化的終結(jié)場(chǎng)景。

阿里云基于多年實(shí)踐經(jīng)驗(yàn),創(chuàng)新性提出“三體化”安全建設(shè)思路。基礎(chǔ)設(shè)施安全一體化、安全技術(shù)域一體化及辦公和生產(chǎn)安全一體化,實(shí)現(xiàn)基礎(chǔ)設(shè)施安全統(tǒng)一管理、安全信息統(tǒng)一分析響應(yīng)、生產(chǎn)辦公統(tǒng)一運(yùn)營(yíng),達(dá)到整合碎片工具和信息的自動(dòng)化全面覆蓋。

國(guó)內(nèi)IT基礎(chǔ)設(shè)施環(huán)境極為復(fù)雜。許多企業(yè)通常需要采購(gòu)不同的安全產(chǎn)品,去管理分布在公共云、專有云及線下IDC的安全事件,這無(wú)疑給運(yùn)營(yíng)人員帶來(lái)了極高的管理成本?;A(chǔ)設(shè)施安全一體化戰(zhàn)略,借助阿里云的云安全中心、WAAP、 DDoS防護(hù)三款產(chǎn)品,統(tǒng)一管理公共云、專有云等多維IT基礎(chǔ)設(shè)施??梢源_保無(wú)論資源位于何處,都能通過(guò)統(tǒng)一的管理控制臺(tái),實(shí)施一致的安全防護(hù)策略和應(yīng)急響應(yīng)。阿里云自身在實(shí)施統(tǒng)一安全策略后,管理效率提升100%,響應(yīng)時(shí)間從1小時(shí)可大幅縮短至1分鐘。

企業(yè)常面臨諸多安全產(chǎn)品之間不聯(lián)動(dòng)、數(shù)據(jù)之間打不通、處置鏈路不連貫的問(wèn)題,安全技術(shù)域一體化戰(zhàn)略,將公共云上各安全產(chǎn)品的日志統(tǒng)一匯集到一個(gè)安全數(shù)據(jù)湖中,進(jìn)行統(tǒng)一的威脅情報(bào)分析、告警聚合和關(guān)聯(lián)分析。利用圖計(jì)算技術(shù),將孤立的安全告警整合為更全面的安全事件,從而大幅降低安全事件對(duì)客戶的干擾。同時(shí),借助安全大模型和自動(dòng)化編排響應(yīng)機(jī)制,實(shí)現(xiàn)不同安全產(chǎn)品間處置流程的高效聯(lián)動(dòng),顯著提升處理效率。根據(jù)阿里云內(nèi)部實(shí)踐數(shù)據(jù)顯示,這一安全建設(shè)思路使得跨資產(chǎn)安全事件發(fā)生率提高了99%,安全事件推薦處置覆蓋率提升了80%。

企業(yè)辦公安全通常由IT部門管理,生產(chǎn)網(wǎng)安全則可能由各業(yè)務(wù)方自行負(fù)責(zé),這種分割管理方式最容易形成邊界漏洞,被黑客利用進(jìn)行攻擊。辦公網(wǎng)和生產(chǎn)網(wǎng)一體化戰(zhàn)略,通過(guò)統(tǒng)一進(jìn)行辦公網(wǎng)和生產(chǎn)網(wǎng)的威脅分析與處置,可以最大化提升安全運(yùn)維效率。目前,阿里云內(nèi)部已有超過(guò)10個(gè)場(chǎng)景實(shí)現(xiàn)了強(qiáng)聯(lián)動(dòng),安全運(yùn)維效率提升了3倍。在跨辦公網(wǎng)和生產(chǎn)網(wǎng)的處置中,通過(guò)打通數(shù)據(jù)、處置環(huán)節(jié)和分析流程,阿里云能夠?qū)崿F(xiàn)秒級(jí)的檢測(cè)和響應(yīng)時(shí)間。

生成式人工智能

需要AI時(shí)代安全新防線

大模型技術(shù)正在深刻改變各行各業(yè)。

安全領(lǐng)域承接了雙刃劍,既有AI技術(shù)賦能安全能力和運(yùn)營(yíng)效率,同時(shí)需要助力對(duì)抗新技術(shù)帶來(lái)的新風(fēng)險(xiǎn)。

保護(hù)AI,阿里云升級(jí)了全新的大模型全生命周期的安全防護(hù)體系。在數(shù)據(jù)的采集、模型設(shè)計(jì)、訓(xùn)練、評(píng)測(cè)、部署和使用階段都提供了豐富的安全產(chǎn)品,既包括在模型生成階段的內(nèi)容安全產(chǎn)品,以及云安全中心、WAAP產(chǎn)品、云防火墻、DDoS防護(hù)等保護(hù)AI基礎(chǔ)設(shè)施的產(chǎn)品,也有數(shù)據(jù)安全中心、數(shù)字水印等數(shù)據(jù)安全產(chǎn)品。這些產(chǎn)品和技術(shù)能力不僅落實(shí)到阿里云自身的百煉平臺(tái)和通義系列產(chǎn)品,也讓客戶同樣可以便捷調(diào)用以保護(hù)自己的大模型全生命周期的安全。

對(duì)抗AI帶來(lái)的風(fēng)險(xiǎn),AI技術(shù)的進(jìn)展也帶來(lái)了諸如Deepfake(深度偽造)等問(wèn)題。阿里云發(fā)布的實(shí)人認(rèn)證產(chǎn)品,能夠有效對(duì)抗Deepfake攻擊。該產(chǎn)品提供AIGC生成人臉檢測(cè)、PS換臉檢測(cè)等八大Deepfake鑒偽能力,目前日均攔截攻擊量達(dá)25萬(wàn)次,攻擊攔截率高達(dá)99%。該模型同時(shí)具備分鐘級(jí)自我更新能力,應(yīng)對(duì)不斷迭代的攻防技術(shù)。

內(nèi)容安全無(wú)疑是AI時(shí)代的重點(diǎn)安全擔(dān)憂之一,阿里云內(nèi)容安全產(chǎn)品進(jìn)行了重大升級(jí),業(yè)內(nèi)有一句話是用魔法打敗魔法,我們要用大模型的能力去檢測(cè)大模型帶來(lái)的風(fēng)險(xiǎn)。此次升級(jí)通過(guò)Prompt工程將大模型快速應(yīng)用于新的內(nèi)容場(chǎng)景,目前已覆蓋10個(gè)新場(chǎng)景,相比以往依賴人工標(biāo)注數(shù)據(jù)的方式,效率提升了100%,這意味著阿里云能夠更快速地響應(yīng)客戶的內(nèi)容風(fēng)控需求。同時(shí),通過(guò)大模型監(jiān)督微調(diào),顯著提升了場(chǎng)景匹配能力,其中暗喻場(chǎng)景識(shí)別效果提升了80%,視覺(jué)場(chǎng)景識(shí)別效果提升了70%。

AI合規(guī),針對(duì)生成式人工智能技術(shù)發(fā)展帶來(lái)的版權(quán)歸屬、信息追蹤、合規(guī)標(biāo)識(shí)等訴求,阿里云提供支持圖片、文檔、音頻、視頻和APP等多種格式的數(shù)字水印解決方案。該方案在國(guó)內(nèi)外擁有超過(guò)70項(xiàng)專利,符合國(guó)家相關(guān)法規(guī)中關(guān)于顯式標(biāo)識(shí)和隱式標(biāo)識(shí)能力的標(biāo)準(zhǔn),并已通過(guò)了國(guó)內(nèi)權(quán)威的China DRM認(rèn)證和國(guó)際權(quán)威的Cartesian認(rèn)證。目前,它能夠識(shí)別超過(guò)80種攻擊手法,提取成功率超過(guò)90%。

受益AI,阿里云安全大模型能夠顯著提升安全運(yùn)營(yíng)效率。阿里云對(duì)云安全中心AI助手進(jìn)行了能力升級(jí),在安全事件風(fēng)險(xiǎn)調(diào)查與響應(yīng)、產(chǎn)品咨詢以及智能報(bào)告三大場(chǎng)景,顯著提升了安全事件運(yùn)營(yíng)的人效。云安全中心AI助手可以為客戶提供清晰的風(fēng)險(xiǎn)解釋,并指導(dǎo)他們進(jìn)行正確的風(fēng)險(xiǎn)處置。目前,AI助手支持的告警事件類型覆蓋率從之前的85%提升至99%,安全服務(wù)自動(dòng)處置率達(dá)到了73%,大模型用戶覆蓋率已經(jīng)達(dá)到了88%。

AI在辦公安全數(shù)據(jù)分類分級(jí)場(chǎng)景中也發(fā)揮了重要作用。阿里云的能力源自阿里巴巴集團(tuán)內(nèi)部在辦公安全方面的豐富實(shí)踐?;谶@一技術(shù)沉淀,阿里云推出的辦公數(shù)據(jù)安全解決方案,能夠大幅提升企業(yè)敏感資產(chǎn)治理的效率。目前,該方案支持超過(guò)300種文檔類型,識(shí)別準(zhǔn)確率高達(dá)99%,涵蓋超過(guò)10種資產(chǎn)治理場(chǎng)景,資產(chǎn)治理效率提升了5倍。

身份安全是云安全的基石之一

阿里云發(fā)布身份安全體系大圖

由于云上用戶安全基線標(biāo)準(zhǔn)和意識(shí)不同,身份管理面臨諸多挑戰(zhàn)。對(duì)此,阿里云通過(guò)提升默認(rèn)水位來(lái)保障客戶的身份安全。

2024年8月20日起,阿里云逐步在所有賬戶上默認(rèn)開(kāi)啟多因素認(rèn)證(MFA),MFA支持包括TOTP、短信、電子郵件驗(yàn)證在內(nèi)的多種認(rèn)證方式,以增強(qiáng)賬戶安全性。此外,阿里云將默認(rèn)禁用超過(guò)2年未登錄使用過(guò)的登錄密碼,以及閑置超過(guò)2年的訪問(wèn)密鑰(AK)。

此次云棲大會(huì)上,阿里云發(fā)布了滿足5A的身份產(chǎn)品體系大圖,涵蓋了從身份識(shí)別到權(quán)限分配的整個(gè)過(guò)程。

阿里云提供的RAM產(chǎn)品,支持連接云平臺(tái)身份,客戶還可以通過(guò) IDaaS 與釘釘、飛書(shū)、企業(yè)微信等第三方平臺(tái)串聯(lián),并與RAM和SSO結(jié)合使用,從而打通現(xiàn)有身份體系與云上賬號(hào)體系,實(shí)現(xiàn)單點(diǎn)SSO登錄與權(quán)限統(tǒng)一管理。

針對(duì)更高級(jí)的安全需求,阿里云提供密鑰管理服務(wù)(KMS)。用戶無(wú)論是使用通用賬號(hào)口令、OS密鑰、訪問(wèn)密鑰還是Token,都可以托管到KMS平臺(tái)上。該平臺(tái)支持自定義密鑰管理(CMK),允許客戶使用自己的密鑰進(jìn)行加密,甚至可以將密鑰存儲(chǔ)在本地加密機(jī)中與云平臺(tái)聯(lián)動(dòng),從而打消客戶對(duì)上云后數(shù)據(jù)未加密的顧慮。同時(shí),AK體系提供了密鑰輪轉(zhuǎn)功能,所有的密鑰操作都會(huì)被審計(jì)和監(jiān)控,客戶的訪問(wèn)密鑰可以安全的自定義周期性更換。目前,阿里云支持30秒級(jí)別的密鑰輪轉(zhuǎn),這樣即使AK丟失,也可以迅速止血,極大縮減潛在風(fēng)險(xiǎn)。

身份安全領(lǐng)域,最小化授權(quán)的全生命周期治理至關(guān)重要。上線前阿里云提供授權(quán)驗(yàn)證能力,包括最佳實(shí)踐建議、異常檢測(cè)和透明化校驗(yàn)。目前,阿里云提供29條校驗(yàn)規(guī)則,幫助客戶在靜態(tài)策略審計(jì)上做好前置工作。上線后阿里云將幫助客戶分析閑置權(quán)限,進(jìn)行跨賬號(hào)訪問(wèn)分析,支持170款云產(chǎn)品提供全面的審計(jì)功能。針對(duì)高危權(quán)限分析,阿里云會(huì)識(shí)別潛在的高風(fēng)險(xiǎn)并提供優(yōu)化建議,目前已提供133條校驗(yàn)規(guī)則,確保權(quán)限管理的安全性和有效性。

云原生安全能力全棧升級(jí)

進(jìn)一步強(qiáng)化原生優(yōu)勢(shì)

應(yīng)對(duì)外掛式安全性能不足的問(wèn)題,阿里云宣布云原生安全能力全線升級(jí),強(qiáng)化了阿里云安全原生優(yōu)勢(shì),滿足阿里云百萬(wàn)級(jí)企業(yè)客戶豐富業(yè)務(wù)場(chǎng)景與安全需求的服務(wù)。

云上安全共同體

阿里云做客戶更緊密的安全伙伴

如果客戶不安全,那么阿里云作為云平臺(tái),就無(wú)法實(shí)現(xiàn)真正意義上的安全。

阿里云正式將公共云的安全責(zé)任共擔(dān)思路,升級(jí)為“安全共同體”全新概念。在安全共同體理念的引導(dǎo)下,阿里云不僅提供安全的云服務(wù),更要幫助客戶安全地使用云。

這意味著阿里云不僅會(huì)堅(jiān)守安全責(zé)任共擔(dān)模式下云服務(wù)商的責(zé)任,搭建和提供“安全的云”,更會(huì)進(jìn)一步與客戶緊密合作,為客戶提供更高的初始安全水位,對(duì)客戶進(jìn)行更主動(dòng)的安全事件響應(yīng),為客戶提供更普惠的安全能力,提供更多的安全科普和培訓(xùn),與客戶共同形成一個(gè)緊密相連、互相支持的安全防護(hù)網(wǎng)絡(luò),打通客戶安全體驗(yàn)的最后一公里,將平臺(tái)的安全能力轉(zhuǎn)化為客戶側(cè)實(shí)實(shí)在在的安全效果。

例如,當(dāng)阿里云感知到客戶的訪問(wèn)密鑰(Accesskey,AK)泄露時(shí),會(huì)采取一系列的主動(dòng)保護(hù)措施。如果確定客戶的AK已被黑客獲取,阿里云會(huì)立即限制該AK調(diào)用高風(fēng)險(xiǎn)的API,防止其執(zhí)行可能造成嚴(yán)重?fù)p害的操作。這種主動(dòng)保護(hù)措施由平臺(tái)自動(dòng)執(zhí)行。只有在客戶完成密鑰輪轉(zhuǎn),并反饋告知阿里云新的AK已經(jīng)生成且問(wèn)題已解決后,平臺(tái)才會(huì)解除這些保護(hù)措施,恢復(fù)客戶的正常業(yè)務(wù)操作。

對(duì)于高危風(fēng)險(xiǎn)場(chǎng)景,阿里云會(huì)提供更主動(dòng)的協(xié)助服務(wù)。不同于過(guò)去僅通過(guò)郵件和短信提示的方式,阿里云會(huì)安排客服小二直接電話聯(lián)系客戶,告知他們當(dāng)前面臨的安全風(fēng)險(xiǎn)的嚴(yán)重性,并建議他們與平臺(tái)合作盡快處理這一風(fēng)險(xiǎn)。此外,阿里云還提供一鍵安全求助功能,客服小二全天候值班,隨時(shí)準(zhǔn)備響應(yīng)并處理這類安全事件。

除了滿足大型客戶的需求,阿里云還致力于為中小客戶提供更多的安全能力和服務(wù),使他們?cè)诘统杀镜那闆r下也能有效保護(hù)自身的安全。做好平臺(tái)安全建設(shè)的同時(shí),阿里云也免費(fèi)開(kāi)放更多的安全能力額度,包括云安全中心、內(nèi)容安全、數(shù)據(jù)安全中心,讓中小企業(yè)客戶能夠增強(qiáng)安全防護(hù),同時(shí)還在安全體驗(yàn)上增加一鍵檢測(cè)、一鍵修復(fù)等功能,幫助客戶共同加入到云上安全維護(hù)中。

做AI時(shí)代最安全的云,阿里云將秉承云上安全共同體理念,通過(guò)落地云安全三體化戰(zhàn)略,升級(jí)安全護(hù)航新范式,為客戶和社會(huì)構(gòu)建安全、高效的云生態(tài)系統(tǒng)。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )