2024GDEC │ 响应效率千倍级提升 奇安信发布AI+SOC智能安全运营方案

时间:2024-07-03 作者:奇安信集团

分享到:

    7月3日,2024全球数字经济大会(GDEC)在京举行,在成果展上,奇安信对外发布AI+SOC智能安全运营方案。

2024GDEC │ 响应效率千倍级提升 奇安信发布AI+SOC智能安全运营方案

    图 奇安信AI+SOC智能安全运营方案在2024全球数字经济大会上正式发布

    该方案通过QAX-GPT机器人和NGSOC产品的深度融合,结合“人工智能模型”和“安全专家经验模型”,可以实现智能分诊、智能研判、智能调查、智能响应等四大功能,旨在解决安全运营工作中海量告警处理难、设备数据联动难、事件响应闭环难等三类难题,驱动安全运营从“密集型”向“智慧型”升级,并实现十倍、百倍、千倍级的效率跃升。

    Part.1    3000多家安全运营中心调查: 三大难题成为困扰

    “根据奇安信NGSOC在国内建立的3000多家安全运营中心的实际运营情况和客户反馈来看,主要存在三大困扰,分别是‘追求不漏、反成高漏’,‘数据孤立、关联不上’,‘响应滞后、无法闭环’。”奇安信集团NGSOC产品总监黄巍表示,当前企业在体系化安全运营建设中,除了告警疲劳、效率瓶颈和专家短缺等现状之外,还有数据整合难,设备联动难,事件闭环难等多重难题,具体表现在以下几个方面:

    首先是追求不漏,反成高漏。

    黄巍表示,近年来,随着政企机构网络安全建设的逐渐成熟,其部署各类安全设备为了避免业务系统遭受网络攻击,告警和日志从追求“零误报”变成追求“零漏报”,从而产生了海量告警。但由于安全人力不足,无法对海量告警进行全量研判,导致“追求不漏反倒成了高漏”。

    根据奇安信对万人规模以上企业的调查,86%的企业安全运营人员不到10人,研判比例不足5%;13%的企业运营人员有10-30人,研判比例在5%-10%;仅有1%的企业配备了30人以上的安全运营团队,但研判告警比例也仅仅达到10%。这些数字说明,人力不足导致大量告警被忽视,是网络安全当前面临的最大漏洞。

    其次是设备孤立,关联不上。

    黄巍认为,安全运营实现体系化防御,一定需要统一的数据标准,AI驱动安全能否取得好效果,就取决于设备和体系是否有统一的标准,这是一个必要条件。

    然而,当前许多政企机构部署的安全产品是“大杂烩”,产品、技术、运营标准均不一致,信息质量参差不齐,不同厂商、不同品牌、不同设备读不懂彼此数据,这样就造成数据关联不上、设备彼此孤立、体系化联动形同虚设。即便是部署了AI,也无法读懂“多国语言”,全局研判和协同联动更是无从谈起。

    第三是响应滞后,无法闭环。

    目前很多央企和金融客户尽管数字化和网络安全建设成熟度较高,但事件响应效率还远跟不上实际需求。事件调查、响应处置、影响面和风险评估等环节的人工处理耗费了大量时间,并且严重依赖专家经验。比如遏制威胁方面,人工至少需要10分钟以上;普通事件调查需要30分钟到2小时,评估事件影响面和潜在风险,需要一人一天,复杂攻击事件的调查取证过程长达1周甚至更久。

    相比之下,AI已经成为黑客手里的攻击工具,其攻击时间可以用分秒来计算,以现有传统的事件调查、响应处置、影响面和风险评估等的效率,堪称“数字时代”和“青铜时代”的差距。

2024GDEC │ 响应效率千倍级提升 奇安信发布AI+SOC智能安全运营方案

    Part.2    四大核心功能, 助力运营效率最高千倍级跃升

    如何解决以上三大难题,奇安信发布的“AI+SOC智能运营方案”,它以NGSOC+QAX-GPT的深度集成方案为基础,以大数据处理引擎(NOAH)、大数据关联引擎(SABRE)、安全编排与自动化响应引擎(SOAR)、以及AI大模型(QAX-GPT)为核心技术,推出智能分诊、智能研判、智能调查、智能响应等四大核心功能,将AI与自动化的设计理念,贯穿威胁检测、调查与响应(TDIR)的全流程,实现安全运营工作十倍、百倍、千倍的效率跃升。

2024GDEC │ 响应效率千倍级提升 奇安信发布AI+SOC智能安全运营方案

      首先,智能分诊功能支持前置过滤,可准确识别1%高价值威胁,节省100倍分析时间,还能解决不同设备、不同数据格式的标准化难题。

    “去过医院的人都知道,如果轻重病号都扎堆儿去挂急诊、去重病科,再多的医疗资源也无法满足。”黄巍举了一个形象的例子,智能分诊就像医院的分诊台和挂号系统,根据病人状况的轻重缓急,或去急诊室、或去发热门诊、或去消化门诊,甚至可以回家观察无必要打针吃药,这样才能避免资源浪费。如果没有这样的分诊系统,医院将会乱套,医生也一定会忙不过来。

2024GDEC │ 响应效率千倍级提升 奇安信发布AI+SOC智能安全运营方案

    实践表明,智能分诊可准确识别1%的高价值告警,消除90%以上告警噪声,帮助分析师快速聚焦有效威胁,节省100倍的分析时间。同时,智能分诊作为AI研判的前置过滤子系统,筛掉明显误报、无效告警,大大减少了AI大模型的算力浪费,将优先的算力资源用于高价值威胁的精准定位上,真正实现“无效告警不阻塞,关键告警不漏报”。

    智能分诊的另一优势是解决数据的标准化难题。它集成在NGSOC当中,可以广泛汇聚来自不同厂商、不同检测设备,如IPS、WAF、EDR、NDR、VPN的告警数据,依据国家标准进行了标准化、归一化、去厂商化,将“各国方言”都变成“普通话”,为AI研判或者人读数据奠定了数据标准化的坚实基础。

      其次,智能研判实现效率比人类提升60倍,误报率不到人类的一半,漏报率降至0.5%。

    AI+SOC整合的智能研判功能,通过NGSOC与QAX-GPT机器人双向的API集成,7×24不间断发送经过分诊后的高价值告警,进行实时研判,给出准确的定性结论和报告,安全机器人研判能力接近“中级安全专家”水平,每天可研判35000条以上的告警,研判数量是人类分析师的300倍,单一威胁告警的平均处理时间减少98%,研判漏报率仅为0.5%,研判误报率不到人类分析师的一半,综合研判效率是人类的60倍。

2024GDEC │ 响应效率千倍级提升 奇安信发布AI+SOC智能安全运营方案

    目前,AI+SOC已实现对企业80%以上的常见告警,如漏洞利用、恶意软件、失陷情报类告警,不再需要人工盯屏,QAX-GPT机器人可全自动给出研判报告。未来,依托NGSOC对各类威胁告警数据的标准化、归一化、去厂商化,QAX-GPT机器人将支持研判NGSOC上更广范围的告警来源和更复杂的告警种类,让AI看懂“各国语言”,实现自我学习和自我成长。

      再次,智能调查依托自然语言对话和自动化处理,缩短近千倍调查时长。

    过去在没有SOC和AI之前,只有高级分析师才具备复杂事件的调查溯源和取证能力,他们会依据自己多年的经验登录到不同的安全设备上、网络设备上和受害者主机上进行手动搜索日志,并依靠知识积累进行人工拼接证据,才能找到攻击者攻击的全过程。

    AI+SOC的出现,推动安全运营从“密集型”向“智慧型”升级。NGSOC汇集了终端、流量检测、服务器、应用、VPN、身份访问、AD域的各类日志和告警,以及资产、网段、漏洞和部门组织的全量信息,有了足够的信息输入和高质量、标准化的数据,AI可以在NGSOC上依据不同的场景,自动收集和聚合上下文相关告警和日志,自动结合资产、漏洞、网络拓扑识别潜在威胁,自动完成调查取证,自动完成事件定性、自动完成资产影响面评估,自动计算出需要处置的对象,找到威胁发生的前因后果、梳理出来龙去脉、并绘制出攻击链路图,让更多的普通分析师找得到、看得懂。

    对于复杂的问题、高阶的攻击知识或者新爆发的热点漏洞,AI可与分析师通过自然语言对话的方式,实时互动,帮助人类分析师快速了解攻击特征、攻击原理、危害和专业建议,指导安全分析师完成事件调查和影响面评估工作,将整个调查和影响面评估的过程从过去的一天乃至一周时间,缩短至分钟级,效率实现千倍跃升。

      最后,智能响应支持上千种响应指令下发,将处理时间从天级缩短至秒级,闭环效率跃升近千倍

    AI+SOC实现体系化防御的核心,是多种网络安全设备的有机结合。因此需要AI像人一样,不仅可以知道在不同的场景下、执行什么剧本、去调哪个接口、读取什么数据、下发什么指令,还要比人更快。而NGSOC天然汇集了各类安全日志和告警,对接了各类联动设备和查询接口,这就为AI逻辑能力和自主决策能力的充分发挥,提供了土壤和战场。

    AI+SOC不仅可以实现全自动化的响应流程,还能够对接防火墙、WAF、EDR、NDR、威胁情报、工单系统、即时通讯等190余种外部系统或APP,完成上千种响应指令的下发,实现安全运营高效闭环,处理时间可能从过去的一天,缩短到分钟级甚至秒级,实现响应闭环效率千倍提升。

2024GDEC │ 响应效率千倍级提升 奇安信发布AI+SOC智能安全运营方案

    当前,网络空间安全形势发生翻天覆地的变化,专业攻击组织和国家级网络力量正成为网络攻击的两大主力。攻击主体和攻击武器的“升维”,也迫切需要网络安全防御手段“升维”应对,甚至可以说,如果不依托AI,安全也将不复存在。奇安信发布的由QAX-GPT和NGSOC构成的“AI+SOC 智能安全运营方案”实现了告警的智能分诊与研判、事件的智能调查与响应,旨在实现安全运营工作十倍、百倍、千倍的效率跃升,为广大政企机构筑牢AI时代的安全底座。

奇安信 95015网络安全服务热线

95015网络安全服务热线

扫一扫关注

奇安信 在线客服 奇安信 95015

您对奇安信的任何疑问可用以下方式告诉我们

将您对奇安信的任何疑问

用以下方式告诉我们