企业动态

    9月11日，2024年IDC中国年度盛典暨颁奖典礼在上海举行，在安全风险管控论坛上，奇安信集团NGSOC事业部总经理马刚伟围绕《AI与自动化——安全运营技术趋势》进行了主题分享。

    他表示，当前企业安全运营普遍面临着告警疲劳、响应滞后、体系不全三大挑战，为应对这些挑战，有三大技术趋势正在深刻塑造着未来SOC运营方式，分别是持续威胁暴露管理、自动化和GenAI技术，他们将帮助企业真正构建高效的安全运营中心，提升安全能力的同时又能很好的管理规模和控制成本。

    企业安全运营面临三大核心挑战

    马刚伟表示，奇安信通过对万人规模以上企业的深入调研，发现安全运营目前面临三个核心挑战。

    一是人才短缺，告警疲劳。调研显示，86%的大型企业不到10人做安全运营，研判比例不足5%；13%的企业运营人员10到30人，研判比例不足10%。“本来追求不漏，反而漏了很多，人力不足导致大量告警被忽视，是网络安全当前面临的最大风险。”。

    二是攻防不对等，响应滞后。目前攻击者已经开始使用大模型作为武器，其效率以分秒计。然而即便是网络安全建设相对成熟的央企和金融单位，事件响应依然需耗费大量时间。比如，普通事件调查需要小时级，评估事件影响面和潜在风险需要天级，复杂攻击事件的调查取证需要周级。攻防严重不对等，攻击者早就有机会打穿防线。

    三是数据不标准，体系不全。当下中国有几百种安全设备，告警种类有2万多种。安全运营实现体系化防御，迫切需要统一的数据标准，训练好的安全大模型才能取得好效果。数据不标准很难关联分析，高级分析师也很难研判所有种类告警，AI也看不懂。告警疲劳将会加剧！

    三大技术趋势深刻塑造未来SOC运营模式

    为应对这些挑战，奇安信认为，持续威胁暴露管理、自动化、 GenAI技术这三大趋势，正在深刻塑造未来SOC（安全运营中心）的运营方式。企业需要构建高效的安全运营中心，增强安全运营能力的同时，又能很好的管理规模和控制成本。

    首先，持续威胁暴露管理可为安全运营提供有效助力。当前，资产暴露与安全漏洞运营中普遍存在不全面、不精确问题，直接限制了安全运营的有效赋能。需要在事前运营阶段，帮助攻击面评估和暴露面收敛；在事中阶段，依托威胁暴露面数据，如精准的资产信息、暴露面详情、脆弱性评估结果以及安全验证等高价值数据，来深度赋能SOC的检测和响应；在事后安全验证阶段，通过攻击模拟BAS、自动化渗透测试等技术，验证哪些设备能够有效监测，哪些能够有效防御，同时验证当前SOC策略的有效性。

    其次，自动化能够大幅提升研判和响应效率。面对常态化的人才短缺、告警疲劳以及攻防演习中难以持续的人海战术，自动化技术成为了减轻重复劳动负担、发现真正安全事件的关键。其中告警研判、事件响应是两项最紧迫需要自动化的工作。例如在告警研判自动化方面，面对千万级告警，自动化技术可帮助自动收集证据，结合内生情报和知识图谱自动研判告警；而在事件响应自动化方面，可借助SOAR等自动化调查和响应技术，将繁杂的响应过程形成剧本，将分散的调查工具形成应用，最终实现事件响应的自动化，让企业风险及时遏制。

    最后，GenAI可以实现安全运营能力和效率的双提升。马刚伟表示，GenAI在安全领域的最佳应用场景之一就是安全运营，当前还处于早期验证阶段。AI的优势在于增强人的能力，让分析师更轻松的理解和分析信息。GenAI技术可以帮助SOC在智能检测、智能研判、智能响应、交互式运营、加速SOC度量五个核心功能提升效能。未来依托AI赋能威胁检测、调查与响应的全流程，可以实现安全运营效率的大幅提升。

    早在2024年上半年，奇安信就向全行业发售了自主研发的工业级大模型安全机器人（QAX-GPT），同时也发布了“AI+SOC的智能安全运营方案”，目前已经在多家政企客户进行了验证。将AI与自动化的设计理念，贯穿到运营方案中，实现安全运营工作十倍、百倍、千倍的效率跃升。

    人工智能时代已然来临，其影响力有目共睹，但在安全运营领域的应用仍处于起步阶段。随着攻击者开始利用AI作为新型武器，攻击手段变得更为隐蔽和多变，这使得安全对抗愈发激烈和复杂。AI与自动化技术作为安全运营的重要发展方向，正逐步重塑未来SOC的工作模式，不仅将显著提升SOC的运营效率，还将增强其对抗AI驱动型威胁的能力。