网络安全AI说 podcast | Listen online for free

Available Episodes

5 of 59

安全威胁与事件运营指标体系
📝 内容摘要本期播客围绕"安全威胁与事件运营指标体系"展开，通过"安全体检表"的比喻，系统讲解了指标体系的定义、核心价值、运营过程分解及20项关键指标。用"金库与零钱""拼图游戏"等生动案例，将复杂的安全运营知识转化为易懂的内容，帮助快速掌握如何通过数据化指标衡量安全运营成效。🔑 关键话题与时间戳开场与主题引入安全运营指标体系的核心价值：像"仪表盘"一样监控安全状态为什么需要指标体系？——从"凭感觉"到"靠数据"的安全管理升级什么是安全运营成效指标？三大衡量维度：过程覆盖全面性、结果准确性、响应及时性应用场景：目标制定、团队对比、上级监督评价关键概念辨析：成效（目标达成度）vs 成果（直接产出物）vs 成熟度（体系完善度）安全运营过程分解四阶段闭环：安全监测（发现线索）告警监控（筛选有效信息）威胁研判（判断事件真实性）事件处置（解决并闭环）类比：安全运营就像"破案"，四阶段缺一不可指标体系与统计方式 20项指标分类：35%定性指标（人工评估）+ 65%定量指标（数据统计）三大统计方法：模拟测试+人工验证（如漏报率）环境采样+人工评估（如误报率）运行数据统计（如平均处置时间）工具支撑：XDR平台、BAS模拟攻击工具、AEV对抗性暴露验证工具核心指标详解监测覆盖类：监测类别覆盖率（15类日志完整性）监测位置完备率（工作负载:网络边缘:终端=4:3:3权重）告警与研判类：误报率：避免"狼来了"效应平均研判时间（MTTA）：从发现到分析的效率处置与闭环类：自动化抑制占比：减少人工干预，提升响应速度平均恢复时间（MTTR）：业务中断损失的关键指标总结与实践建议指标体系价值：不仅衡量现状，更驱动持续改进落地技巧：标准化流程（如调查checklist）📚 延伸思考如何平衡指标考核与实际安全效果？中小团队如何低成本落地指标体系？未来安全运营指标的发展趋势（AI驱动？自动化闭环？）🎧 适合人群企业安全运营团队成员网络安全管理者与决策者对安全指标体系感兴趣的IT从业者
--------
7:33
--------
7:33
AI红队测试&传统红队测试
本文选自公众号：AI与安全原文链接：https://mp.weixin.qq.com/s/VS56-Si6hnTGDOCnImGWQQ简介本播客深入探讨AI红队的定义、实施方法、现实挑战及行业案例，帮助听众理解如何通过结构化对抗性测试提升AI系统安全性。核心主题 AI红队与传统红队的本质区别 AI红队的标准化实施流程实战中的挑战与解决方案科技巨头的红队实践案例关键要点总结1. AI红队的核心价值识别AI系统的概率性风险（如幻觉、偏见），弥补传统渗透测试盲区需多学科团队协作（机器学习专家+安全工程师+社会科学家）2. 实施关键步骤范围定义：明确测试目标（模型/API/数据管道）与风险场景对抗性场景设计：模拟提示注入、数据中毒等真实攻击手段持续迭代：随模型生命周期更新测试策略，避免一次性评估3. 行业最佳实践 OpenAI：混合人工+自动化测试，外部专家参与漏洞发现 Google：结合国家行为体威胁情报，模拟高级攻击链 Meta：针对开源模型（如Llama 3.1）重点测试儿童安全与生物威胁参考资料原文链接：AI红队，PaloAlto的观点和实践
--------
9:32
--------
9:32
蚂蚁容器安全（AntCWPP）能力建设
原文链接：https://mdn.alipayobjects.com/huamei_muqr6f/afts/file/rupuR4MUMeQAAAAAghAAAAgADmJsAQFr/蚂蚁容器安全（AntCWPP）能力建设-基于Kata和eBPF.pdf🎙️ 播客简介本期播客深入探讨蚂蚁集团基于Kata和eBPF技术构建的容器安全方案AntCWPP，解析传统容器安全的痛点、创新技术架构及落地实践效果。适合对云原生安全、容器技术感兴趣的技术人员和安全从业者。📌 核心话题传统容器安全的五大挑战：共享内核导致的容器逃逸风险策略管理复杂且影响范围大生产环境内核版本碎片化问题拦截策略下发的高风险性能与安全的平衡难题 Kata+eBPF：容器安全的双重保险Kata容器：独立内核架构实现"别墅级"隔离，彻底阻断逃逸路径eBPF技术：内核层"智能保安"，实现进程/网络/文件行为的细粒度管控协同优势：强隔离+精准防护，解决传统方案"顾此失彼"的困境 AntCWPP方案架构解析四大核心组件：管理平台（指挥中心）、策略服务中心（K8s CRD）、宿主机Agent（执行者）、Kata Pod（安全容器实例）veBPF通信通道：实现宿主机与Kata容器内eBPF程序的高效交互双层防护机制：默认审计策略全覆盖+应用级策略精准管控关键技术落地细节进程管控：LSM hook点拦截非白名单程序，Drift Prevention防止镜像篡改网络隔离：TC层+LSM层双重过滤，实现基于五元组的精准访问控制文件防护：inode映射加速FIM监控，敏感文件修改实时拦截系统调用审计：syscall跟踪点+LSM hook点结合，覆盖全量攻击面业务落地案例高风险在线应用防护：进程白名单+网络访问控制，将攻击风险降至趋近于零AI Agent沙盒环境：为大模型生成代码提供隔离执行空间，防止恶意代码逃逸🌟 技术亮点内核灵活选择：Kata容器内核独立升级，轻松支持eBPF新特性微隔离能力：单个Pod策略异常不影响其他业务，爆炸半径趋近于零高性能设计：eBPF程序内核态运行，性能损耗<3% 全链路可观测：安全事件日志包含进程/容器/策略多维元数据📚 相关资源技术方案解析：AntCWPP架构白皮书🔍 延伸思考安全容器与传统虚拟机的性能对比 eBPF在云原生安全领域的未来应用场景 AI代码执行环境的安全防护最佳实践
--------
9:22
--------
9:22
看实践：从传统网络到全网零信任过程详解
选自公众号：阿肯的不惑之年原文链接：https://mp.weixin.qq.com/s/2J-Gr9F_ZPlJsB3CFYAZCwEthan作为当事人，详细介绍了全网零信任落地的思路、计划、挑战和解决办法。任何一个企业要全网推行零信任架构，面临诸多挑战，比如适合的产品、原有网络和系统的适配、推广的节奏、其他部门的配合等。在阿肯看来，最重要的是与管理层和业务部门对齐零信任认知，确认将零信任理念和框架作为未来安全建设的方向。这个方向一旦达成一致，过程中的问题就是如何想办法解决的问题。变革中没有容易的事情，让我们一起努力！作者简介-----------------------------------Ethan：高科技上市公司安全运营负责人，12年的内部安全建设经验，对零信任、实战攻防有深入研究。感兴趣的同学更推荐阅读原文，有更多丰富细节。
--------
5:33
--------
5:33
网络安全AI大模型如何学习业务误报
系统阐述了网络安全AI大模型通过建立业务行为基线识别11类误报场景的原理与案例，包括持续请求、多主机访问、相似URL等典型业务行为模式，强调AI通过学习业务规律而非机械执行规则来降低误报率，核心方法是分析请求特征、访问模式和上下文环境，实现对正常业务行为的精准识别与误报过滤。
--------
8:18
--------
8:18