破解三大運營難題，奇安信發(fā)布AI+SOC智能安全運營方案

奇安信發(fā)布的“AI+SOC智能運營方案”，它以NGSOC+QAX-GPT的深度集成方案為基礎(chǔ),推出智能分診、智能研判、智能調(diào)查、智能響應(yīng)等四大核心功能，將AI與自動化的設(shè)計理念，貫穿威脅檢測、調(diào)查與響應(yīng)（TDIR）的全流程，實現(xiàn)安全運營工作十倍、百倍、千倍的效率躍升。

 7月3日，2024全球數(shù)字經(jīng)濟大會在京舉行，在成果展上，奇安信對外發(fā)布AI+SOC智能安全運營方案。該方案通過QAX-GPT機器人和NGSOC產(chǎn)品的深度融合，結(jié)合“人工智能模型”和“安全專家經(jīng)驗?zāi)Ｐ?rdquo;，可以實現(xiàn)智能分診、智能研判、智能調(diào)查、智能響應(yīng)等四大功能，旨在解決安全運營工作中海量告警處理難、設(shè)備數(shù)據(jù)聯(lián)動難、事件響應(yīng)閉環(huán)難等三類難題，驅(qū)動安全運營從“密集型”向“智慧型”升級,并實現(xiàn)十倍、百倍、千倍級的效率躍升。 

 

3000多家安全運營中心調(diào)查：三大難題成為困擾

“根據(jù)奇安信NGSOC在國內(nèi)建立的3000多家安全運營中心的實際運營情況和客戶反饋來看，主要存在三大困擾，分別是‘追求不漏、反成高漏’，‘數(shù)據(jù)孤立、關(guān)聯(lián)不上’，‘響應(yīng)滯后、無法閉環(huán)’。”奇安信集團NGSOC產(chǎn)品總監(jiān)黃巍表示，當(dāng)前企業(yè)在體系化安全運營建設(shè)中，除了告警疲勞、效率瓶頸和專家短缺等現(xiàn)狀之外，還有數(shù)據(jù)整合難，設(shè)備聯(lián)動難，事件閉環(huán)難等多重難題。

 

首先是追求不漏，反成高漏。隨著政企機構(gòu)網(wǎng)絡(luò)安全建設(shè)的逐漸成熟，其部署各類安全設(shè)備為了避免業(yè)務(wù)系統(tǒng)遭受網(wǎng)絡(luò)攻擊，告警和日志從追求“零誤報”變成追求“零漏報”，從而產(chǎn)生了海量告警。但由于安全人力不足，無法對海量告警進(jìn)行全量研判，導(dǎo)致“追求不漏反倒成了高漏”。

其次是設(shè)備孤立，關(guān)聯(lián)不上。調(diào)查顯示，當(dāng)前許多政企機構(gòu)部署的安全產(chǎn)品是“大雜燴”，產(chǎn)品、技術(shù)、運營標(biāo)準(zhǔn)均不一致，信息質(zhì)量參差不齊，不同廠商、不同品牌、不同設(shè)備讀不懂彼此數(shù)據(jù)，這樣就造成數(shù)據(jù)關(guān)聯(lián)不上、設(shè)備彼此孤立、體系化聯(lián)動形同虛設(shè)。即便是部署了AI，也無法讀懂“多國語言”，全局研判和協(xié)同聯(lián)動更是無從談起。

第三是響應(yīng)滯后，無法閉環(huán)。目前很多央企和金融客戶盡管數(shù)字化和網(wǎng)絡(luò)安全建設(shè)成熟度較高，但事件響應(yīng)效率還遠(yuǎn)跟不上實際需求。事件調(diào)查、響應(yīng)處置、影響面和風(fēng)險評估等環(huán)節(jié)的人工處理耗費了大量時間，并且嚴(yán)重依賴專家經(jīng)驗。比如遏制威脅方面，人工至少需要10分鐘以上；普通事件調(diào)查需要30分鐘到2小時，評估事件影響面和潛在風(fēng)險，需要一人一天，復(fù)雜攻擊事件的調(diào)查取證過程長達(dá)1周甚至更久。這顯然無法滿足AI時代的分秒級攻防響應(yīng)需求。 

四大核心功能，助力運營效率最高千倍級躍升

為解決以上難題，奇安信發(fā)布的“AI+SOC智能運營方案”，它以NGSOC+QAX-GPT的深度集成方案為基礎(chǔ),推出智能分診、智能研判、智能調(diào)查、智能響應(yīng)等四大核心功能，將AI與自動化的設(shè)計理念，貫穿威脅檢測、調(diào)查與響應(yīng)（TDIR）的全流程，實現(xiàn)安全運營工作十倍、百倍、千倍的效率躍升。

 

首先，智能分診功能支持前置過濾，可準(zhǔn)確識別1%高價值威脅，節(jié)省100倍分析時間，還能解決不同設(shè)備、不同數(shù)據(jù)格式的標(biāo)準(zhǔn)化難題。

黃巍舉了一個形象的例子，智能分診就像醫(yī)院的分診臺和掛號系統(tǒng)，根據(jù)病人狀況的輕重緩急，或去急診室、或去發(fā)熱門診、或去消化門診，甚至可以回家觀察無必要打針吃藥，這樣才能避免資源浪費。如果沒有這樣的分診系統(tǒng)，醫(yī)院將會亂套，醫(yī)生也一定會忙不過來。

智能分診可準(zhǔn)確識別1%的高價值告警，消除90%以上告警噪聲，幫助分析師快速聚焦有效威脅，節(jié)省100倍的分析時間。同時，智能分診作為AI研判的前置過濾子系統(tǒng)，篩掉明顯誤報、無效告警，大大減少了AI大模型的算力浪費，將優(yōu)先的算力資源用于高價值威脅的精準(zhǔn)定位上，真正實現(xiàn)“無效告警不阻塞，關(guān)鍵告警不漏報”。

同時，智能分診集成在NGSOC當(dāng)中，可以廣泛匯聚來自不同廠商、不同檢測設(shè)備，如IPS、WAF、EDR、NDR、VPN的告警數(shù)據(jù)，依據(jù)國家標(biāo)準(zhǔn)進(jìn)行了標(biāo)準(zhǔn)化、歸一化、去廠商化，將“各國方言”都變成“普通話”，為AI研判或者人讀數(shù)據(jù)奠定基礎(chǔ)。

其次，智能研判實現(xiàn)效率比人類提升60倍，誤報率不到人類的一半，漏報率降至0.5%。

AI+SOC整合的智能研判功能，通過NGSOC與QAX-GPT機器人雙向的API集成，7×24不間斷發(fā)送經(jīng)過分診后的高價值告警，進(jìn)行實時研判，給出準(zhǔn)確的定性結(jié)論和報告，安全機器人研判能力接近“中級安全專家”水平，每天可研判35000條以上的告警，研判數(shù)量是人類分析師的300倍，單一威脅告警的平均處理時間減少98%，研判漏報率僅為0.5%，研判誤報率不到人類分析師的一半，綜合研判效率是人類的60倍。

 

再次，智能調(diào)查依托自然語言對話和自動化處理，縮短近千倍調(diào)查時長。

AI+SOC推動安全運營從“密集型”向“智慧型”升級。NGSOC匯集了終端、流量檢測、服務(wù)器、應(yīng)用、VPN、身份訪問、AD域的各類日志和告警，以及資產(chǎn)、網(wǎng)段、漏洞和部門組織的全量信息，有了足夠的信息輸入和高質(zhì)量、標(biāo)準(zhǔn)化的數(shù)據(jù)，AI可以在NGSOC上依據(jù)不同的場景，自動收集和聚合上下文相關(guān)告警和日志，找到威脅發(fā)生的前因后果、梳理出來龍去脈、并繪制出攻擊鏈路圖，讓更多的普通分析師找得到、看得懂。對于復(fù)雜問題，AI+SOC可以將整個調(diào)查和影響面評估的過程從過去的一天乃至一周時間，縮短至分鐘級，效率實現(xiàn)千倍躍升。

最后，智能響應(yīng)支持上千種響應(yīng)指令下發(fā)，將處理時間從天級縮短至秒級，閉環(huán)效率躍升近千倍。

AI+SOC不僅可以實現(xiàn)全自動化的響應(yīng)流程，還能夠?qū)�接防火墻、WAF、EDR、NDR、威脅情報、工單系統(tǒng)、即時通訊等190余種外部系統(tǒng)或APP，完成上千種響應(yīng)指令的下發(fā)，實現(xiàn)安全運營高效閉環(huán)，處理時間可能從過去的一天，縮短到分鐘級甚至秒級，實現(xiàn)響應(yīng)閉環(huán)效率千倍提升。

 

總體來看，奇安信發(fā)布的由QAX-GPT和NGSOC構(gòu)成的“奇安信AI+SOC 智能安全運營方案”實現(xiàn)了告警的智能分診與研判、事件的智能調(diào)查與響應(yīng)，可實現(xiàn)安全運營十倍、百倍、千倍的效率躍升，為廣大政企機構(gòu)筑牢AI時代的安全底座。