7月3日,2024全球数字经济大会在京举行,在成果展上,奇安信对外发布AI+SOC智能安全运营方案。该方案通过QAX-GPT机器人和NGSOC产品的深度融合,结合“人工智能模型”和“安全专家经验模型”,可以实现智能分诊、智能研判、智能调查、智能响应等四大功能,旨在解决安全运营工作中海量告警处理难、设备数据联动难、事件响应闭环难等三类难题,驱动安全运营从“密集型”向“智慧型”升级,并实现十倍、百倍、千倍级的效率跃升。
3000多家安全运营中心调查:三大难题成为困扰
“根据奇安信NGSOC在国内建立的3000多家安全运营中心的实际运营情况和客户反馈来看,主要存在三大困扰,分别是‘追求不漏、反成高漏’,‘数据孤立、关联不上’,‘响应滞后、无法闭环’。”奇安信集团NGSOC产品总监黄巍表示,当前企业在体系化安全运营建设中,除了告警疲劳、效率瓶颈和专家短缺等现状之外,还有数据整合难,设备联动难,事件闭环难等多重难题。
首先是追求不漏,反成高漏。随着政企机构网络安全建设的逐渐成熟,其部署各类安全设备为了避免业务系统遭受网络攻击,告警和日志从追求“零误报”变成追求“零漏报”,从而产生了海量告警。但由于安全人力不足,无法对海量告警进行全量研判,导致“追求不漏反倒成了高漏”。
其次是设备孤立,关联不上。调查显示,当前许多政企机构部署的安全产品是“大杂烩”,产品、技术、运营标准均不一致,信息质量参差不齐,不同厂商、不同品牌、不同设备读不懂彼此数据,这样就造成数据关联不上、设备彼此孤立、体系化联动形同虚设。即便是部署了AI,也无法读懂“多国语言”,全局研判和协同联动更是无从谈起。
第三是响应滞后,无法闭环。目前很多央企和金融客户尽管数字化和网络安全建设成熟度较高,但事件响应效率还远跟不上实际需求。事件调查、响应处置、影响面和风险评估等环节的人工处理耗费了大量时间,并且严重依赖专家经验。比如遏制威胁方面,人工至少需要10分钟以上;普通事件调查需要30分钟到2小时,评估事件影响面和潜在风险,需要一人一天,复杂攻击事件的调查取证过程长达1周甚至更久。这显然无法满足AI时代的分秒级攻防响应需求。
四大核心功能,助力运营效率最高千倍级跃升
为解决以上难题,奇安信发布的“AI+SOC智能运营方案”,它以NGSOC+QAX-GPT的深度集成方案为基础,推出智能分诊、智能研判、智能调查、智能响应等四大核心功能,将AI与自动化的设计理念,贯穿威胁检测、调查与响应(TDIR)的全流程,实现安全运营工作十倍、百倍、千倍的效率跃升。
首先,智能分诊功能支持前置过滤,可准确识别1%高价值威胁,节省100倍分析时间,还能解决不同设备、不同数据格式的标准化难题。
黄巍举了一个形象的例子,智能分诊就像医院的分诊台和挂号系统,根据病人状况的轻重缓急,或去急诊室、或去发热门诊、或去消化门诊,甚至可以回家观察无必要打针吃药,这样才能避免资源浪费。如果没有这样的分诊系统,医院将会乱套,医生也一定会忙不过来。
智能分诊可准确识别1%的高价值告警,消除90%以上告警噪声,帮助分析师快速聚焦有效威胁,节省100倍的分析时间。同时,智能分诊作为AI研判的前置过滤子系统,筛掉明显误报、无效告警,大大减少了AI大模型的算力浪费,将优先的算力资源用于高价值威胁的精准定位上,真正实现“无效告警不阻塞,关键告警不漏报”。
同时,智能分诊集成在NGSOC当中,可以广泛汇聚来自不同厂商、不同检测设备,如IPS、WAF、EDR、NDR、VPN的告警数据,依据国家标准进行了标准化、归一化、去厂商化,将“各国方言”都变成“普通话”,为AI研判或者人读数据奠定基础。
其次,智能研判实现效率比人类提升60倍,误报率不到人类的一半,漏报率降至0.5%。
AI+SOC整合的智能研判功能,通过NGSOC与QAX-GPT机器人双向的API集成,7×24不间断发送经过分诊后的高价值告警,进行实时研判,给出准确的定性结论和报告,安全机器人研判能力接近“中级安全专家”水平,每天可研判35000条以上的告警,研判数量是人类分析师的300倍,单一威胁告警的平均处理时间减少98%,研判漏报率仅为0.5%,研判误报率不到人类分析师的一半,综合研判效率是人类的60倍。
再次,智能调查依托自然语言对话和自动化处理,缩短近千倍调查时长。
AI+SOC推动安全运营从“密集型”向“智慧型”升级。NGSOC汇集了终端、流量检测、服务器、应用、VPN、身份访问、AD域的各类日志和告警,以及资产、网段、漏洞和部门组织的全量信息,有了足够的信息输入和高质量、标准化的数据,AI可以在NGSOC上依据不同的场景,自动收集和聚合上下文相关告警和日志,找到威胁发生的前因后果、梳理出来龙去脉、并绘制出攻击链路图,让更多的普通分析师找得到、看得懂。对于复杂问题,AI+SOC可以将整个调查和影响面评估的过程从过去的一天乃至一周时间,缩短至分钟级,效率实现千倍跃升。
最后,智能响应支持上千种响应指令下发,将处理时间从天级缩短至秒级,闭环效率跃升近千倍。
AI+SOC不仅可以实现全自动化的响应流程,还能够对接防火墙、WAF、EDR、NDR、威胁情报、工单系统、即时通讯等190余种外部系统或APP,完成上千种响应指令的下发,实现安全运营高效闭环,处理时间可能从过去的一天,缩短到分钟级甚至秒级,实现响应闭环效率千倍提升。
总体来看,奇安信发布的由QAX-GPT和NGSOC构成的“奇安信AI+SOC 智能安全运营方案”实现了告警的智能分诊与研判、事件的智能调查与响应,可实现安全运营十倍、百倍、千倍的效率跃升,为广大政企机构筑牢AI时代的安全底座。