7月3日����,2024全球數(shù)字經(jīng)濟(jì)大會(huì)在京舉行���,在成果展上����,奇安信對(duì)外發(fā)布AI+SOC智能安全運(yùn)營(yíng)方案��。該方案通過(guò)QAX-GPT機(jī)器人和NGSOC產(chǎn)品的深度融合,結(jié)合“人工智能模型”和“安全專家經(jīng)驗(yàn)?zāi)P?rdquo;��,可以實(shí)現(xiàn)智能分診�����、智能研判、智能調(diào)查��、智能響應(yīng)等四大功能��,旨在解決安全運(yùn)營(yíng)工作中海量告警處理難��、設(shè)備數(shù)據(jù)聯(lián)動(dòng)難�、事件響應(yīng)閉環(huán)難等三類難題����,驅(qū)動(dòng)安全運(yùn)營(yíng)從“密集型”向“智慧型”升級(jí),并實(shí)現(xiàn)十倍�、百倍���、千倍級(jí)的效率躍升�����。
3000多家安全運(yùn)營(yíng)中心調(diào)查:三大難題成為困擾
“根據(jù)奇安信NGSOC在國(guó)內(nèi)建立的3000多家安全運(yùn)營(yíng)中心的實(shí)際運(yùn)營(yíng)情況和客戶反饋來(lái)看,主要存在三大困擾���,分別是‘追求不漏�、反成高漏’�,‘數(shù)據(jù)孤立、關(guān)聯(lián)不上’�,‘響應(yīng)滯后�����、無(wú)法閉環(huán)’��。”奇安信集團(tuán)NGSOC產(chǎn)品總監(jiān)黃巍表示�����,當(dāng)前企業(yè)在體系化安全運(yùn)營(yíng)建設(shè)中���,除了告警疲勞、效率瓶頸和專家短缺等現(xiàn)狀之外�����,還有數(shù)據(jù)整合難,設(shè)備聯(lián)動(dòng)難���,事件閉環(huán)難等多重難題。
首先是追求不漏,反成高漏�����。隨著政企機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)的逐漸成熟�,其部署各類安全設(shè)備為了避免業(yè)務(wù)系統(tǒng)遭受網(wǎng)絡(luò)攻擊�����,告警和日志從追求“零誤報(bào)”變成追求“零漏報(bào)”�����,從而產(chǎn)生了海量告警。但由于安全人力不足����,無(wú)法對(duì)海量告警進(jìn)行全量研判,導(dǎo)致“追求不漏反倒成了高漏”���。
其次是設(shè)備孤立,關(guān)聯(lián)不上����。調(diào)查顯示,當(dāng)前許多政企機(jī)構(gòu)部署的安全產(chǎn)品是“大雜燴”���,產(chǎn)品��、技術(shù)、運(yùn)營(yíng)標(biāo)準(zhǔn)均不一致�,信息質(zhì)量參差不齊,不同廠商��、不同品牌���、不同設(shè)備讀不懂彼此數(shù)據(jù),這樣就造成數(shù)據(jù)關(guān)聯(lián)不上����、設(shè)備彼此孤立、體系化聯(lián)動(dòng)形同虛設(shè)�����。即便是部署了AI��,也無(wú)法讀懂“多國(guó)語(yǔ)言”,全局研判和協(xié)同聯(lián)動(dòng)更是無(wú)從談起�����。
第三是響應(yīng)滯后����,無(wú)法閉環(huán)���。目前很多央企和金融客戶盡管數(shù)字化和網(wǎng)絡(luò)安全建設(shè)成熟度較高��,但事件響應(yīng)效率還遠(yuǎn)跟不上實(shí)際需求。事件調(diào)查�、響應(yīng)處置�、影響面和風(fēng)險(xiǎn)評(píng)估等環(huán)節(jié)的人工處理耗費(fèi)了大量時(shí)間,并且嚴(yán)重依賴專家經(jīng)驗(yàn)����。比如遏制威脅方面�,人工至少需要10分鐘以上;普通事件調(diào)查需要30分鐘到2小時(shí)���,評(píng)估事件影響面和潛在風(fēng)險(xiǎn)����,需要一人一天,復(fù)雜攻擊事件的調(diào)查取證過(guò)程長(zhǎng)達(dá)1周甚至更久�����。這顯然無(wú)法滿足AI時(shí)代的分秒級(jí)攻防響應(yīng)需求��。
四大核心功能�,助力運(yùn)營(yíng)效率最高千倍級(jí)躍升
為解決以上難題����,奇安信發(fā)布的“AI+SOC智能運(yùn)營(yíng)方案”��,它以NGSOC+QAX-GPT的深度集成方案為基礎(chǔ),推出智能分診�、智能研判�、智能調(diào)查��、智能響應(yīng)等四大核心功能,將AI與自動(dòng)化的設(shè)計(jì)理念���,貫穿威脅檢測(cè)、調(diào)查與響應(yīng)(TDIR)的全流程�,實(shí)現(xiàn)安全運(yùn)營(yíng)工作十倍���、百倍、千倍的效率躍升��。
首先�����,智能分診功能支持前置過(guò)濾�,可準(zhǔn)確識(shí)別1%高價(jià)值威脅����,節(jié)省100倍分析時(shí)間�����,還能解決不同設(shè)備、不同數(shù)據(jù)格式的標(biāo)準(zhǔn)化難題����。
黃巍舉了一個(gè)形象的例子��,智能分診就像醫(yī)院的分診臺(tái)和掛號(hào)系統(tǒng)��,根據(jù)病人狀況的輕重緩急����,或去急診室�����、或去發(fā)熱門診����、或去消化門診�����,甚至可以回家觀察無(wú)必要打針吃藥�,這樣才能避免資源浪費(fèi)。如果沒(méi)有這樣的分診系統(tǒng)���,醫(yī)院將會(huì)亂套,醫(yī)生也一定會(huì)忙不過(guò)來(lái)����。
智能分診可準(zhǔn)確識(shí)別1%的高價(jià)值告警���,消除90%以上告警噪聲,幫助分析師快速聚焦有效威脅�����,節(jié)省100倍的分析時(shí)間��。同時(shí)��,智能分診作為AI研判的前置過(guò)濾子系統(tǒng)���,篩掉明顯誤報(bào)、無(wú)效告警,大大減少了AI大模型的算力浪費(fèi)�����,將優(yōu)先的算力資源用于高價(jià)值威脅的精準(zhǔn)定位上����,真正實(shí)現(xiàn)“無(wú)效告警不阻塞���,關(guān)鍵告警不漏報(bào)”。
同時(shí)����,智能分診集成在NGSOC當(dāng)中���,可以廣泛匯聚來(lái)自不同廠商���、不同檢測(cè)設(shè)備�,如IPS、WAF�����、EDR���、NDR、VPN的告警數(shù)據(jù)�,依據(jù)國(guó)家標(biāo)準(zhǔn)進(jìn)行了標(biāo)準(zhǔn)化���、歸一化、去廠商化���,將“各國(guó)方言”都變成“普通話”,為AI研判或者人讀數(shù)據(jù)奠定基礎(chǔ)�����。
其次��,智能研判實(shí)現(xiàn)效率比人類提升60倍�,誤報(bào)率不到人類的一半��,漏報(bào)率降至0.5%��。
AI+SOC整合的智能研判功能���,通過(guò)NGSOC與QAX-GPT機(jī)器人雙向的API集成,7×24不間斷發(fā)送經(jīng)過(guò)分診后的高價(jià)值告警�,進(jìn)行實(shí)時(shí)研判,給出準(zhǔn)確的定性結(jié)論和報(bào)告����,安全機(jī)器人研判能力接近“中級(jí)安全專家”水平�����,每天可研判35000條以上的告警�,研判數(shù)量是人類分析師的300倍��,單一威脅告警的平均處理時(shí)間減少98%�����,研判漏報(bào)率僅為0.5%�����,研判誤報(bào)率不到人類分析師的一半��,綜合研判效率是人類的60倍。
再次���,智能調(diào)查依托自然語(yǔ)言對(duì)話和自動(dòng)化處理,縮短近千倍調(diào)查時(shí)長(zhǎng)�����。
AI+SOC推動(dòng)安全運(yùn)營(yíng)從“密集型”向“智慧型”升級(jí)。NGSOC匯集了終端�����、流量檢測(cè)����、服務(wù)器�����、應(yīng)用、VPN�、身份訪問(wèn)���、AD域的各類日志和告警��,以及資產(chǎn)、網(wǎng)段�����、漏洞和部門組織的全量信息���,有了足夠的信息輸入和高質(zhì)量、標(biāo)準(zhǔn)化的數(shù)據(jù)��,AI可以在NGSOC上依據(jù)不同的場(chǎng)景��,自動(dòng)收集和聚合上下文相關(guān)告警和日志��,找到威脅發(fā)生的前因后果����、梳理出來(lái)龍去脈�、并繪制出攻擊鏈路圖���,讓更多的普通分析師找得到����、看得懂��。對(duì)于復(fù)雜問(wèn)題���,AI+SOC可以將整個(gè)調(diào)查和影響面評(píng)估的過(guò)程從過(guò)去的一天乃至一周時(shí)間����,縮短至分鐘級(jí)����,效率實(shí)現(xiàn)千倍躍升�����。
最后�����,智能響應(yīng)支持上千種響應(yīng)指令下發(fā)�����,將處理時(shí)間從天級(jí)縮短至秒級(jí)���,閉環(huán)效率躍升近千倍
AI+SOC不僅可以實(shí)現(xiàn)全自動(dòng)化的響應(yīng)流程,還能夠?qū)臃阑饓��、WAF���、EDR��、NDR�、威脅情報(bào)����、工單系統(tǒng)���、即時(shí)通訊等190余種外部系統(tǒng)或APP���,完成上千種響應(yīng)指令的下發(fā),實(shí)現(xiàn)安全運(yùn)營(yíng)高效閉環(huán)����,處理時(shí)間可能從過(guò)去的一天����,縮短到分鐘級(jí)甚至秒級(jí),實(shí)現(xiàn)響應(yīng)閉環(huán)效率千倍提升����。
總體來(lái)看��,奇安信發(fā)布的由QAX-GPT和NGSOC構(gòu)成的“奇安信AI+SOC 智能安全運(yùn)營(yíng)方案”實(shí)現(xiàn)了告警的智能分診與研判���、事件的智能調(diào)查與響應(yīng),可實(shí)現(xiàn)安全運(yùn)營(yíng)十倍����、百倍��、千倍的效率躍升����,為廣大政企機(jī)構(gòu)筑牢AI時(shí)代的安全底座���。(張揚(yáng))
(新媒體責(zé)編:caizhuo)
京公網(wǎng)安備 11010602130064號(hào)
