響應效率千倍級提升，奇安信發(fā)布AI+SOC智能安全運營(yíng)方案

7月3日，2024全球數字經(jīng)濟大會(huì )在京舉行，在成果展上，奇安信對外發(fā)布AI+SOC智能安全運營(yíng)方案。該方案通過(guò)QAX-GPT機器人和NGSOC產(chǎn)品的深度融合，結合“人工智能模型”和“安全專(zhuān)家經(jīng)驗模型”，可以實(shí)現智能分診、智能研判、智能調查、智能響應等四大功能，旨在解決安全運營(yíng)工作中海量告警處理難、設備數據聯(lián)動(dòng)難、事件響應閉環(huán)難等三類(lèi)難題，驅動(dòng)安全運營(yíng)從“密集型”向“智慧型”升級,并實(shí)現十倍、百倍、千倍級的效率躍升。

3000多家安全運營(yíng)中心調查：三大難題成為困擾

“根據奇安信NGSOC在國內建立的3000多家安全運營(yíng)中心的實(shí)際運營(yíng)情況和客戶(hù)反饋來(lái)看，主要存在三大困擾，分別是‘追求不漏、反成高漏’，‘數據孤立、關(guān)聯(lián)不上’，‘響應滯后、無(wú)法閉環(huán)’?！逼姘残偶瘓FNGSOC產(chǎn)品總監黃巍表示，當前企業(yè)在體系化安全運營(yíng)建設中，除了告警疲勞、效率瓶頸和專(zhuān)家短缺等現狀之外，還有數據整合難，設備聯(lián)動(dòng)難，事件閉環(huán)難等多重難題。

首先是追求不漏，反成高漏。隨著(zhù)政企機構網(wǎng)絡(luò )安全建設的逐漸成熟，其部署各類(lèi)安全設備為了避免業(yè)務(wù)系統遭受網(wǎng)絡(luò )攻擊，告警和日志從追求“零誤報”變成追求“零漏報”，從而產(chǎn)生了海量告警。但由于安全人力不足，無(wú)法對海量告警進(jìn)行全量研判，導致“追求不漏反倒成了高漏”。

其次是設備孤立，關(guān)聯(lián)不上。調查顯示，當前許多政企機構部署的安全產(chǎn)品是“大雜燴”，產(chǎn)品、技術(shù)、運營(yíng)標準均不一致，信息質(zhì)量參差不齊，不同廠(chǎng)商、不同品牌、不同設備讀不懂彼此數據，這樣就造成數據關(guān)聯(lián)不上、設備彼此孤立、體系化聯(lián)動(dòng)形同虛設。即便是部署了AI，也無(wú)法讀懂“多國語(yǔ)言”，全局研判和協(xié)同聯(lián)動(dòng)更是無(wú)從談起。

第三是響應滯后，無(wú)法閉環(huán)。目前很多央企和金融客戶(hù)盡管數字化和網(wǎng)絡(luò )安全建設成熟度較高，但事件響應效率還遠跟不上實(shí)際需求。事件調查、響應處置、影響面和風(fēng)險評估等環(huán)節的人工處理耗費了大量時(shí)間，并且嚴重依賴(lài)專(zhuān)家經(jīng)驗。比如遏制威脅方面，人工至少需要10分鐘以上；普通事件調查需要30分鐘到2小時(shí)，評估事件影響面和潛在風(fēng)險，需要一人一天，復雜攻擊事件的調查取證過(guò)程長(cháng)達1周甚至更久。這顯然無(wú)法滿(mǎn)足AI時(shí)代的分秒級攻防響應需求。

四大核心功能，助力運營(yíng)效率最高千倍級躍升

為解決以上難題，奇安信發(fā)布的“AI+SOC智能運營(yíng)方案”，它以NGSOC+QAX-GPT的深度集成方案為基礎,推出智能分診、智能研判、智能調查、智能響應等四大核心功能，將AI與自動(dòng)化的設計理念，貫穿威脅檢測、調查與響應（TDIR）的全流程，實(shí)現安全運營(yíng)工作十倍、百倍、千倍的效率躍升。

首先，智能分診功能支持前置過(guò)濾，可準確識別1%高價(jià)值威脅，節省100倍分析時(shí)間，還能解決不同設備、不同數據格式的標準化難題。

黃巍舉了一個(gè)形象的例子，智能分診就像醫院的分診臺和掛號系統，根據病人狀況的輕重緩急，或去急診室、或去發(fā)熱門(mén)診、或去消化門(mén)診，甚至可以回家觀(guān)察無(wú)必要打針吃藥，這樣才能避免資源浪費。如果沒(méi)有這樣的分診系統，醫院將會(huì )亂套，醫生也一定會(huì )忙不過(guò)來(lái)。

智能分診可準確識別1%的高價(jià)值告警，消除90%以上告警噪聲，幫助分析師快速聚焦有效威脅，節省100倍的分析時(shí)間。同時(shí)，智能分診作為AI研判的前置過(guò)濾子系統，篩掉明顯誤報、無(wú)效告警，大大減少了AI大模型的算力浪費，將優(yōu)先的算力資源用于高價(jià)值威脅的精準定位上，真正實(shí)現“無(wú)效告警不阻塞，關(guān)鍵告警不漏報”。

同時(shí)，智能分診集成在NGSOC當中，可以廣泛匯聚來(lái)自不同廠(chǎng)商、不同檢測設備，如IPS、WAF、EDR、NDR、VPN的告警數據，依據國家標準進(jìn)行了標準化、歸一化、去廠(chǎng)商化，將“各國方言”都變成“普通話(huà)”，為AI研判或者人讀數據奠定基礎。

其次，智能研判實(shí)現效率比人類(lèi)提升60倍，誤報率不到人類(lèi)的一半，漏報率降至0.5%。

AI+SOC整合的智能研判功能，通過(guò)NGSOC與QAX-GPT機器人雙向的API集成，7×24不間斷發(fā)送經(jīng)過(guò)分診后的高價(jià)值告警，進(jìn)行實(shí)時(shí)研判，給出準確的定性結論和報告，安全機器人研判能力接近“中級安全專(zhuān)家”水平，每天可研判35000條以上的告警，研判數量是人類(lèi)分析師的300倍，單一威脅告警的平均處理時(shí)間減少98%，研判漏報率僅為0.5%，研判誤報率不到人類(lèi)分析師的一半，綜合研判效率是人類(lèi)的60倍。

再次，智能調查依托自然語(yǔ)言對話(huà)和自動(dòng)化處理，縮短近千倍調查時(shí)長(cháng)。

AI+SOC推動(dòng)安全運營(yíng)從“密集型”向“智慧型”升級。NGSOC匯集了終端、流量檢測、服務(wù)器、應用、VPN、身份訪(fǎng)問(wèn)、AD域的各類(lèi)日志和告警，以及資產(chǎn)、網(wǎng)段、漏洞和部門(mén)組織的全量信息，有了足夠的信息輸入和高質(zhì)量、標準化的數據，AI可以在NGSOC上依據不同的場(chǎng)景，自動(dòng)收集和聚合上下文相關(guān)告警和日志，找到威脅發(fā)生的前因后果、梳理出來(lái)龍去脈、并繪制出攻擊鏈路圖，讓更多的普通分析師找得到、看得懂。對于復雜問(wèn)題，AI+SOC可以將整個(gè)調查和影響面評估的過(guò)程從過(guò)去的一天乃至一周時(shí)間，縮短至分鐘級，效率實(shí)現千倍躍升。

最后，智能響應支持上千種響應指令下發(fā)，將處理時(shí)間從天級縮短至秒級，閉環(huán)效率躍升近千倍。

AI+SOC不僅可以實(shí)現全自動(dòng)化的響應流程，還能夠對接防火墻、WAF、EDR、NDR、威脅情報、工單系統、即時(shí)通訊等190余種外部系統或APP，完成上千種響應指令的下發(fā)，實(shí)現安全運營(yíng)高效閉環(huán)，處理時(shí)間可能從過(guò)去的一天，縮短到分鐘級甚至秒級，實(shí)現響應閉環(huán)效率千倍提升。

總體來(lái)看，奇安信發(fā)布的由QAX-GPT和NGSOC構成的“奇安信AI+SOC 智能安全運營(yíng)方案”實(shí)現了告警的智能分診與研判、事件的智能調查與響應，可實(shí)現安全運營(yíng)十倍、百倍、千倍的效率躍升，為廣大政企機構筑牢AI時(shí)代的安全底座。