7月3日,2024全球數(shù)字經(jīng)濟(jì)大會(huì)在京舉行,在成果展上,奇安信對外發(fā)布AI+SOC智能安全運(yùn)營方案。該方案通過QAX-GPT機(jī)器人和NGSOC產(chǎn)品的深度融合,結(jié)合“人工智能模型”和“安全專家經(jīng)驗(yàn)?zāi)P?rdquo;,可以實(shí)現(xiàn)智能分診、智能研判、智能調(diào)查、智能響應(yīng)等四大功能,旨在解決安全運(yùn)營工作中海量告警處理難、設(shè)備數(shù)據(jù)聯(lián)動(dòng)難、事件響應(yīng)閉環(huán)難等三類難題,驅(qū)動(dòng)安全運(yùn)營從“密集型”向“智慧型”升級,并實(shí)現(xiàn)十倍、百倍、千倍級的效率躍升。
3000多家安全運(yùn)營中心調(diào)查:三大難題成為困擾
“根據(jù)奇安信NGSOC在國內(nèi)建立的3000多家安全運(yùn)營中心的實(shí)際運(yùn)營情況和客戶反饋來看,主要存在三大困擾,分別是‘追求不漏、反成高漏’,‘數(shù)據(jù)孤立、關(guān)聯(lián)不上’,‘響應(yīng)滯后、無法閉環(huán)’。”奇安信集團(tuán)NGSOC產(chǎn)品總監(jiān)黃巍表示,當(dāng)前企業(yè)在體系化安全運(yùn)營建設(shè)中,除了告警疲勞、效率瓶頸和專家短缺等現(xiàn)狀之外,還有數(shù)據(jù)整合難,設(shè)備聯(lián)動(dòng)難,事件閉環(huán)難等多重難題。
首先是追求不漏,反成高漏。隨著政企機(jī)構(gòu)網(wǎng)絡(luò)安全建設(shè)的逐漸成熟,其部署各類安全設(shè)備為了避免業(yè)務(wù)系統(tǒng)遭受網(wǎng)絡(luò)攻擊,告警和日志從追求“零誤報(bào)”變成追求“零漏報(bào)”,從而產(chǎn)生了海量告警。但由于安全人力不足,無法對海量告警進(jìn)行全量研判,導(dǎo)致“追求不漏反倒成了高漏”。
其次是設(shè)備孤立,關(guān)聯(lián)不上。調(diào)查顯示,當(dāng)前許多政企機(jī)構(gòu)部署的安全產(chǎn)品是“大雜燴”,產(chǎn)品、技術(shù)、運(yùn)營標(biāo)準(zhǔn)均不一致,信息質(zhì)量參差不齊,不同廠商、不同品牌、不同設(shè)備讀不懂彼此數(shù)據(jù),這樣就造成數(shù)據(jù)關(guān)聯(lián)不上、設(shè)備彼此孤立、體系化聯(lián)動(dòng)形同虛設(shè)。即便是部署了AI,也無法讀懂“多國語言”,全局研判和協(xié)同聯(lián)動(dòng)更是無從談起。
第三是響應(yīng)滯后,無法閉環(huán)。目前很多央企和金融客戶盡管數(shù)字化和網(wǎng)絡(luò)安全建設(shè)成熟度較高,但事件響應(yīng)效率還遠(yuǎn)跟不上實(shí)際需求。事件調(diào)查、響應(yīng)處置、影響面和風(fēng)險(xiǎn)評估等環(huán)節(jié)的人工處理耗費(fèi)了大量時(shí)間,并且嚴(yán)重依賴專家經(jīng)驗(yàn)。比如遏制威脅方面,人工至少需要10分鐘以上;普通事件調(diào)查需要30分鐘到2小時(shí),評估事件影響面和潛在風(fēng)險(xiǎn),需要一人一天,復(fù)雜攻擊事件的調(diào)查取證過程長達(dá)1周甚至更久。這顯然無法滿足AI時(shí)代的分秒級攻防響應(yīng)需求。
四大核心功能,助力運(yùn)營效率最高千倍級躍升
為解決以上難題,奇安信發(fā)布的“AI+SOC智能運(yùn)營方案”,它以NGSOC+QAX-GPT的深度集成方案為基礎(chǔ),推出智能分診、智能研判、智能調(diào)查、智能響應(yīng)等四大核心功能,將AI與自動(dòng)化的設(shè)計(jì)理念,貫穿威脅檢測、調(diào)查與響應(yīng)(TDIR)的全流程,實(shí)現(xiàn)安全運(yùn)營工作十倍、百倍、千倍的效率躍升。
首先,智能分診功能支持前置過濾,可準(zhǔn)確識別1%高價(jià)值威脅,節(jié)省100倍分析時(shí)間,還能解決不同設(shè)備、不同數(shù)據(jù)格式的標(biāo)準(zhǔn)化難題。
黃巍舉了一個(gè)形象的例子,智能分診就像醫(yī)院的分診臺和掛號系統(tǒng),根據(jù)病人狀況的輕重緩急,或去急診室、或去發(fā)熱門診、或去消化門診,甚至可以回家觀察無必要打針吃藥,這樣才能避免資源浪費(fèi)。如果沒有這樣的分診系統(tǒng),醫(yī)院將會(huì)亂套,醫(yī)生也一定會(huì)忙不過來。
智能分診可準(zhǔn)確識別1%的高價(jià)值告警,消除90%以上告警噪聲,幫助分析師快速聚焦有效威脅,節(jié)省100倍的分析時(shí)間。同時(shí),智能分診作為AI研判的前置過濾子系統(tǒng),篩掉明顯誤報(bào)、無效告警,大大減少了AI大模型的算力浪費(fèi),將優(yōu)先的算力資源用于高價(jià)值威脅的精準(zhǔn)定位上,真正實(shí)現(xiàn)“無效告警不阻塞,關(guān)鍵告警不漏報(bào)”。
同時(shí),智能分診集成在NGSOC當(dāng)中,可以廣泛匯聚來自不同廠商、不同檢測設(shè)備,如IPS、WAF、EDR、NDR、VPN的告警數(shù)據(jù),依據(jù)國家標(biāo)準(zhǔn)進(jìn)行了標(biāo)準(zhǔn)化、歸一化、去廠商化,將“各國方言”都變成“普通話”,為AI研判或者人讀數(shù)據(jù)奠定基礎(chǔ)。
其次,智能研判實(shí)現(xiàn)效率比人類提升60倍,誤報(bào)率不到人類的一半,漏報(bào)率降至0.5%。
AI+SOC整合的智能研判功能,通過NGSOC與QAX-GPT機(jī)器人雙向的API集成,7×24不間斷發(fā)送經(jīng)過分診后的高價(jià)值告警,進(jìn)行實(shí)時(shí)研判,給出準(zhǔn)確的定性結(jié)論和報(bào)告,安全機(jī)器人研判能力接近“中級安全專家”水平,每天可研判35000條以上的告警,研判數(shù)量是人類分析師的300倍,單一威脅告警的平均處理時(shí)間減少98%,研判漏報(bào)率僅為0.5%,研判誤報(bào)率不到人類分析師的一半,綜合研判效率是人類的60倍。
再次,智能調(diào)查依托自然語言對話和自動(dòng)化處理,縮短近千倍調(diào)查時(shí)長。
AI+SOC推動(dòng)安全運(yùn)營從“密集型”向“智慧型”升級。NGSOC匯集了終端、流量檢測、服務(wù)器、應(yīng)用、VPN、身份訪問、AD域的各類日志和告警,以及資產(chǎn)、網(wǎng)段、漏洞和部門組織的全量信息,有了足夠的信息輸入和高質(zhì)量、標(biāo)準(zhǔn)化的數(shù)據(jù),AI可以在NGSOC上依據(jù)不同的場景,自動(dòng)收集和聚合上下文相關(guān)告警和日志,找到威脅發(fā)生的前因后果、梳理出來龍去脈、并繪制出攻擊鏈路圖,讓更多的普通分析師找得到、看得懂。對于復(fù)雜問題,AI+SOC可以將整個(gè)調(diào)查和影響面評估的過程從過去的一天乃至一周時(shí)間,縮短至分鐘級,效率實(shí)現(xiàn)千倍躍升。
最后,智能響應(yīng)支持上千種響應(yīng)指令下發(fā),將處理時(shí)間從天級縮短至秒級,閉環(huán)效率躍升近千倍。
AI+SOC不僅可以實(shí)現(xiàn)全自動(dòng)化的響應(yīng)流程,還能夠?qū)臃阑饓ΑAF、EDR、NDR、威脅情報(bào)、工單系統(tǒng)、即時(shí)通訊等190余種外部系統(tǒng)或APP,完成上千種響應(yīng)指令的下發(fā),實(shí)現(xiàn)安全運(yùn)營高效閉環(huán),處理時(shí)間可能從過去的一天,縮短到分鐘級甚至秒級,實(shí)現(xiàn)響應(yīng)閉環(huán)效率千倍提升。
總體來看,奇安信發(fā)布的由QAX-GPT和NGSOC構(gòu)成的“奇安信AI+SOC 智能安全運(yùn)營方案”實(shí)現(xiàn)了告警的智能分診與研判、事件的智能調(diào)查與響應(yīng),可實(shí)現(xiàn)安全運(yùn)營十倍、百倍、千倍的效率躍升,為廣大政企機(jī)構(gòu)筑牢AI時(shí)代的安全底座。