11月19日-22日,2024年世界互聯(lián)網(wǎng)大會(huì)“互聯(lián)網(wǎng)之光”博覽會(huì)在浙江烏鎮(zhèn)舉行。奇安信集團(tuán)首次對(duì)外展示了最新研發(fā)的AI驅(qū)動(dòng)安全系列產(chǎn)品,其中包括QAX-GPT安全機(jī)器人,以及AI賦能下的AISOC,NDR(天眼)、EDR(天擎)、服務(wù)器安全(椒圖)等。它們不僅全部融入了奇安信最新的QAX AI安全大模型能力,還可以共同進(jìn)行分工協(xié)作、高效研判,完成安全事件的自動(dòng)化處置閉環(huán),在未來(lái)AI時(shí)代的攻防對(duì)抗中立于不敗之地。
安全機(jī)器人“一分為四”,重新定義安全運(yùn)營(yíng)模式
“警報(bào)!發(fā)現(xiàn)一起系統(tǒng)入侵,建議即刻隔離受害主機(jī)10.37.112.11!”
“大家注意!發(fā)現(xiàn)10.37.112.14服務(wù)器存在漏洞,已被攻擊者利用,建議即刻封禁!”
“這不是一起簡(jiǎn)單釣魚(yú),而是高度復(fù)雜的勒索攻擊,自動(dòng)化響應(yīng)預(yù)案已創(chuàng)建,請(qǐng)加緊落實(shí)!”
……
在本次博覽會(huì)上,奇安信展示了網(wǎng)絡(luò)安全的日常工作場(chǎng)景。不過(guò)主角不是安全工程師,而是一群網(wǎng)絡(luò)安全“機(jī)器人”:它們就像珠海航展上讓人印象深刻的“機(jī)器狼”一樣,集群作戰(zhàn),無(wú)縫協(xié)同,有組織有紀(jì)律,以極高的效率和智能性,將釣魚(yú)郵件勒索攻擊等網(wǎng)絡(luò)威脅消弭于無(wú)形,大幅解放了網(wǎng)絡(luò)安全人員的精力。
“當(dāng)前,隨著人工智能技術(shù)蓬勃發(fā)展和應(yīng)用,攻擊者也開(kāi)始利用AI技術(shù)發(fā)起飽和式攻擊,傳統(tǒng)的人工運(yùn)營(yíng)模式已難以應(yīng)對(duì),AI驅(qū)動(dòng)安全將是大勢(shì)所趨。”奇安信安全專家表示。本次亮相的奇安信QAX-GPT安全機(jī)器人,充分體現(xiàn)出了“分工協(xié)作”思想,目前已擁有四類核心專家角色:
其中,安全運(yùn)營(yíng)機(jī)器人,是一位全能型的安全專家,目前在態(tài)勢(shì)感知平臺(tái)上提供威脅研判、事件調(diào)查、智能響應(yīng)、自動(dòng)化報(bào)告等能力,未來(lái)還將不斷進(jìn)化,拓展更多安全運(yùn)營(yíng)服務(wù)。
網(wǎng)絡(luò)威脅研判機(jī)器人,最擅長(zhǎng)讀懂各種網(wǎng)絡(luò)告警,專注于網(wǎng)絡(luò)層面的安全防護(hù),專職負(fù)責(zé)網(wǎng)絡(luò)威脅的智能研判。
終端威脅研判機(jī)器人,專注于終端設(shè)備的安全防護(hù),能夠?qū)阂獬绦?、可疑行為等多種終端安全威脅進(jìn)行精準(zhǔn)識(shí)別和智能研判。
主機(jī)威脅研判機(jī)器人,則專注于服務(wù)器層面的安全防護(hù),可以識(shí)別異常進(jìn)程、可疑賬號(hào)、危險(xiǎn)命令等多種主機(jī)安全威脅,確保核心業(yè)務(wù)系統(tǒng)的安全運(yùn)行。
這樣的一支機(jī)器人團(tuán)隊(duì),司職明確,通過(guò)知識(shí)共享和協(xié)同分析,讓安全運(yùn)營(yíng)效率得到質(zhì)的提升。
四大產(chǎn)品加速AI化,實(shí)現(xiàn)AI驅(qū)動(dòng)下的體系化運(yùn)營(yíng)
工欲善其事,必先利其器,在安全運(yùn)營(yíng)體系中,人、工具(產(chǎn)品)、流程這三大元素缺一不可。在現(xiàn)場(chǎng),奇安信工作人員對(duì)最常見(jiàn)且危害最廣泛的勒索攻擊過(guò)程進(jìn)行了演示,繼而展示了不同類型的安全機(jī)器人,在遇到攻擊事件時(shí),如何與AI驅(qū)動(dòng)下的AISOC、天擎、天眼、椒圖等不同安全產(chǎn)品進(jìn)行協(xié)同聯(lián)動(dòng),最終高效完成對(duì)這次勒索攻擊的阻斷和溯源。
AISOC+安全運(yùn)營(yíng)機(jī)器人=簡(jiǎn)單、高效、省心
AISOC是奇安信NGSOC與奇安信安全大模型(QAX-GPT)深度融合的跨時(shí)代產(chǎn)品。AISOC以簡(jiǎn)單、高效、省心為目標(biāo),以安全大模型和大數(shù)據(jù)關(guān)聯(lián)引擎為雙擎驅(qū)動(dòng),將AI的能力嵌入到研判、調(diào)查、響應(yīng)、報(bào)告、狩獵、策略創(chuàng)建等最核心、最依賴專業(yè)知識(shí)的安全運(yùn)營(yíng)工作中,貫穿威脅檢測(cè)、調(diào)查與響應(yīng)(TDIR)的全流程,實(shí)現(xiàn)安全運(yùn)營(yíng)工作十倍、百倍、千倍的效率躍升。
在防御釣魚(yú)郵件勒索攻擊的過(guò)程中,奇安信AISOC融合了安全運(yùn)營(yíng)機(jī)器人的AI能力,充分體現(xiàn)了全局聯(lián)動(dòng)、體系化運(yùn)營(yíng)和高效閉環(huán)的理念,可以和AI賦能下的天眼、天擎EDR、椒圖等進(jìn)行全局關(guān)聯(lián)分析,調(diào)查與響應(yīng),高效完成事件的自動(dòng)化處置閉環(huán)。其中包括快速完成告警關(guān)聯(lián)、引導(dǎo)式事件調(diào)查,快速完成響應(yīng)處置、遏制威脅蔓延和響應(yīng)策略的創(chuàng)建,以及生成自動(dòng)化安全報(bào)告等。
網(wǎng)絡(luò)威脅研判機(jī)器人+天眼=告警降噪90%+特殊攻擊識(shí)別更精準(zhǔn)
天眼作為NDR領(lǐng)域的領(lǐng)軍者,具備強(qiáng)大的威脅檢測(cè)、自動(dòng)化響應(yīng)處置、全流量存儲(chǔ)溯源、多視角威脅分析等能力。將網(wǎng)絡(luò)威脅研判機(jī)器人接入天眼后,可以對(duì)天眼內(nèi)的全部告警7×24小時(shí)全天候?qū)崟r(shí)自動(dòng)智能研判,并甄別出真實(shí)有效的安全威脅。實(shí)踐證明,其告警降噪率達(dá)到90%以上,可以有效減輕安全人員對(duì)網(wǎng)絡(luò)流量側(cè)威脅的監(jiān)測(cè)、研判及響應(yīng)工作中的負(fù)擔(dān)。
同時(shí),憑借網(wǎng)絡(luò)威脅研判機(jī)器人在自然語(yǔ)言理解和上下文關(guān)聯(lián)分析上強(qiáng)大能力,可以幫助運(yùn)營(yíng)人員增強(qiáng)對(duì)特殊類型攻擊行為的精準(zhǔn)識(shí)別能力。這極大提升威脅運(yùn)營(yíng)效率的同時(shí),更降低安全分析師的能力門檻。
在展會(huì)現(xiàn)場(chǎng),工作人員生動(dòng)展示了在天眼內(nèi)如何借助QAX-GPT安全機(jī)器人的告警上下文關(guān)聯(lián)能力,精準(zhǔn)識(shí)別出原本被檢測(cè)規(guī)則識(shí)別為“企圖”行為的冰蝎連接內(nèi)存馬通信流量攻擊,實(shí)則是一次成功入侵的重要告警信息。QAX-GPT安全機(jī)器人不僅避免關(guān)鍵告警的遺漏,還協(xié)助運(yùn)營(yíng)人員層層剖析攻擊過(guò)程,可視化還原攻擊真相。最終,從發(fā)現(xiàn)、分析到處置的威脅運(yùn)營(yíng)閉環(huán)操作在短短幾分鐘內(nèi)完成,展現(xiàn)了令人驚嘆的響應(yīng)速度,有效地阻止了攻擊者的進(jìn)一步行動(dòng)。
終端威脅研判機(jī)器人+天擎=研判處置縮短70%+準(zhǔn)確率95%
奇安信天擎終端安全管理系統(tǒng)融合安全大模型,將QAX-GPT安全機(jī)器人能力應(yīng)用于天擎EDR威脅事件研判中,將需要具備專業(yè)威脅分析經(jīng)驗(yàn)的研判工作提交給終端威脅研判機(jī)器人完成。這樣不僅極大降低了天擎EDR的使用門檻,也大幅提高研判效率,可幫助客戶降低對(duì)真實(shí)高級(jí)威脅在終端的響應(yīng)速度,避免危害升級(jí)。
值得一提的是,QAX-AI智能研判服務(wù),能從事件中復(fù)雜的進(jìn)程樹(shù)告警提取出關(guān)鍵的研判依據(jù)并結(jié)合富化的威脅情報(bào),可為用戶提供通俗易懂的研判解讀并給出研判結(jié)論。原本每條事件研判和處置需要平均10分鐘,而有了終端威脅研判機(jī)器人智能協(xié)助,事件研判和處置僅需要3分鐘,同時(shí)研判準(zhǔn)確率高達(dá)95%。
主機(jī)威脅研判機(jī)器人+椒圖=提升研判效率+節(jié)省運(yùn)營(yíng)成本
作為縱深防御中的最后一道防線,資源集中的核心設(shè)備,服務(wù)器主機(jī)一向都是黑客和攻擊者“進(jìn)攻”的主要目標(biāo)。奇安信服務(wù)器安全管理系統(tǒng)(簡(jiǎn)稱:椒圖)通過(guò)接入主機(jī)威脅研判機(jī)器人,實(shí)現(xiàn)更強(qiáng)大的告警研判能力,顯著提升運(yùn)營(yíng)效率。
在日常運(yùn)維中,在服務(wù)器上告警的數(shù)量會(huì)很多,受限于人力和運(yùn)維人員的經(jīng)驗(yàn),通常一位安全運(yùn)維人員能處理的告警上限為500條/天,在“降本提效”的大背景下,奇安信椒圖引入了主機(jī)威脅研判機(jī)器人,利用奇安信AI安全大模型的智能研判能力,處理告警量可達(dá)20000條/天,是人工40倍,大幅提升了服務(wù)器安全運(yùn)營(yíng)的效率。
同時(shí),主機(jī)威脅研判機(jī)器人還能協(xié)助運(yùn)維人員,智能分析和判斷告警是正常業(yè)務(wù)行為還是真實(shí)攻擊行為,大幅減少安全運(yùn)營(yíng)人員手工調(diào)查分析的時(shí)間和精力。它對(duì)研判后的告警,能給出清晰的研判理由,讓運(yùn)維人員無(wú)需關(guān)注復(fù)雜的進(jìn)程調(diào)用關(guān)系,熟知各種攻擊手法和命令,從而提升了研判效率,降低了專業(yè)技術(shù)門檻,并使得安全事件處置更快更精準(zhǔn)。
結(jié)束語(yǔ):
“這一切,僅僅是一個(gè)開(kāi)始,在未來(lái)2-3年內(nèi),還將有更多專業(yè)的安全機(jī)器人加入團(tuán)隊(duì),進(jìn)行智能協(xié)同作戰(zhàn),全線產(chǎn)品也將加速AI化,全面覆蓋攻防安全、代碼安全、數(shù)據(jù)安全、邊界安全、合規(guī)檢查等更多場(chǎng)景。”正如奇安信安全專家所說(shuō)的,這將不僅僅是安全能力的簡(jiǎn)單疊加,更是一場(chǎng)適應(yīng)AI時(shí)代網(wǎng)絡(luò)攻防對(duì)抗的革命性變革。當(dāng)攻擊者紛紛通過(guò)AI實(shí)現(xiàn)攻擊升維時(shí),網(wǎng)絡(luò)安全的戰(zhàn)場(chǎng)將由“冷兵器”時(shí)代直接進(jìn)入“核武器”時(shí)代,未來(lái),如果不依托AI,安全也將不復(fù)存在。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )