11月19日-22日,2024年世界互聯(lián)網(wǎng)大會“互聯(lián)網(wǎng)之光”博覽會在浙江烏鎮(zhèn)舉行。奇安信集團(tuán)首次對外展示了最新研發(fā)的AI驅(qū)動安全系列產(chǎn)品,其中包括QAX-GPT安全機(jī)器人,以及AI賦能下的AISOC,NDR(天眼)、EDR(天擎)、服務(wù)器安全(椒圖)等。它們不僅全部融入了奇安信最新的QAX AI安全大模型能力,還可以共同進(jìn)行分工協(xié)作、高效研判,完成安全事件的自動化處置閉環(huán),在未來AI時代的攻防對抗中立于不敗之地。
安全機(jī)器人“一分為四”,重新定義安全運(yùn)營模式
“警報(bào)!發(fā)現(xiàn)一起系統(tǒng)入侵,建議即刻隔離受害主機(jī)10.37.112.11!”
“大家注意!發(fā)現(xiàn)10.37.112.14服務(wù)器存在漏洞,已被攻擊者利用,建議即刻封禁!”
“這不是一起簡單釣魚,而是高度復(fù)雜的勒索攻擊,自動化響應(yīng)預(yù)案已創(chuàng)建,請加緊落實(shí)!”
……
在本次博覽會上,奇安信展示了網(wǎng)絡(luò)安全的日常工作場景。不過主角不是安全工程師,而是一群網(wǎng)絡(luò)安全“機(jī)器人”:它們就像珠海航展上讓人印象深刻的“機(jī)器狼”一樣,集群作戰(zhàn),無縫協(xié)同,有組織有紀(jì)律,以極高的效率和智能性,將釣魚郵件勒索攻擊等網(wǎng)絡(luò)威脅消弭于無形,大幅解放了網(wǎng)絡(luò)安全人員的精力。
“當(dāng)前,隨著人工智能技術(shù)蓬勃發(fā)展和應(yīng)用,攻擊者也開始利用AI技術(shù)發(fā)起飽和式攻擊,傳統(tǒng)的人工運(yùn)營模式已難以應(yīng)對,AI驅(qū)動安全將是大勢所趨。”奇安信安全專家表示。本次亮相的奇安信QAX-GPT安全機(jī)器人,充分體現(xiàn)出了“分工協(xié)作”思想,目前已擁有四類核心專家角色:
其中,安全運(yùn)營機(jī)器人,是一位全能型的安全專家,目前在態(tài)勢感知平臺上提供威脅研判、事件調(diào)查、智能響應(yīng)、自動化報(bào)告等能力,未來還將不斷進(jìn)化,拓展更多安全運(yùn)營服務(wù)。
網(wǎng)絡(luò)威脅研判機(jī)器人,最擅長讀懂各種網(wǎng)絡(luò)告警,專注于網(wǎng)絡(luò)層面的安全防護(hù),專職負(fù)責(zé)網(wǎng)絡(luò)威脅的智能研判。
終端威脅研判機(jī)器人,專注于終端設(shè)備的安全防護(hù),能夠?qū)阂獬绦?、可疑行為等多種終端安全威脅進(jìn)行精準(zhǔn)識別和智能研判。
主機(jī)威脅研判機(jī)器人,則專注于服務(wù)器層面的安全防護(hù),可以識別異常進(jìn)程、可疑賬號、危險(xiǎn)命令等多種主機(jī)安全威脅,確保核心業(yè)務(wù)系統(tǒng)的安全運(yùn)行。
這樣的一支機(jī)器人團(tuán)隊(duì),司職明確,通過知識共享和協(xié)同分析,讓安全運(yùn)營效率得到質(zhì)的提升。
四大產(chǎn)品加速AI化,實(shí)現(xiàn)AI驅(qū)動下的體系化運(yùn)營
工欲善其事,必先利其器,在安全運(yùn)營體系中,人、工具(產(chǎn)品)、流程這三大元素缺一不可。在現(xiàn)場,奇安信工作人員對最常見且危害最廣泛的勒索攻擊過程進(jìn)行了演示,繼而展示了不同類型的安全機(jī)器人,在遇到攻擊事件時,如何與AI驅(qū)動下的AISOC、天擎、天眼、椒圖等不同安全產(chǎn)品進(jìn)行協(xié)同聯(lián)動,最終高效完成對這次勒索攻擊的阻斷和溯源。
AISOC+安全運(yùn)營機(jī)器人=簡單、高效、省心
AISOC是奇安信NGSOC與奇安信安全大模型(QAX-GPT)深度融合的跨時代產(chǎn)品。AISOC以簡單、高效、省心為目標(biāo),以安全大模型和大數(shù)據(jù)關(guān)聯(lián)引擎為雙擎驅(qū)動,將AI的能力嵌入到研判、調(diào)查、響應(yīng)、報(bào)告、狩獵、策略創(chuàng)建等最核心、最依賴專業(yè)知識的安全運(yùn)營工作中,貫穿威脅檢測、調(diào)查與響應(yīng)(TDIR)的全流程,實(shí)現(xiàn)安全運(yùn)營工作十倍、百倍、千倍的效率躍升。
在防御釣魚郵件勒索攻擊的過程中,奇安信AISOC融合了安全運(yùn)營機(jī)器人的AI能力,充分體現(xiàn)了全局聯(lián)動、體系化運(yùn)營和高效閉環(huán)的理念,可以和AI賦能下的天眼、天擎EDR、椒圖等進(jìn)行全局關(guān)聯(lián)分析,調(diào)查與響應(yīng),高效完成事件的自動化處置閉環(huán)。其中包括快速完成告警關(guān)聯(lián)、引導(dǎo)式事件調(diào)查,快速完成響應(yīng)處置、遏制威脅蔓延和響應(yīng)策略的創(chuàng)建,以及生成自動化安全報(bào)告等。
網(wǎng)絡(luò)威脅研判機(jī)器人+天眼=告警降噪90%+特殊攻擊識別更精準(zhǔn)
天眼作為NDR領(lǐng)域的領(lǐng)軍者,具備強(qiáng)大的威脅檢測、自動化響應(yīng)處置、全流量存儲溯源、多視角威脅分析等能力。將網(wǎng)絡(luò)威脅研判機(jī)器人接入天眼后,可以對天眼內(nèi)的全部告警7×24小時全天候?qū)崟r自動智能研判,并甄別出真實(shí)有效的安全威脅。實(shí)踐證明,其告警降噪率達(dá)到90%以上,可以有效減輕安全人員對網(wǎng)絡(luò)流量側(cè)威脅的監(jiān)測、研判及響應(yīng)工作中的負(fù)擔(dān)。
同時,憑借網(wǎng)絡(luò)威脅研判機(jī)器人在自然語言理解和上下文關(guān)聯(lián)分析上強(qiáng)大能力,可以幫助運(yùn)營人員增強(qiáng)對特殊類型攻擊行為的精準(zhǔn)識別能力。這極大提升威脅運(yùn)營效率的同時,更降低安全分析師的能力門檻。
在展會現(xiàn)場,工作人員生動展示了在天眼內(nèi)如何借助QAX-GPT安全機(jī)器人的告警上下文關(guān)聯(lián)能力,精準(zhǔn)識別出原本被檢測規(guī)則識別為“企圖”行為的冰蝎連接內(nèi)存馬通信流量攻擊,實(shí)則是一次成功入侵的重要告警信息。QAX-GPT安全機(jī)器人不僅避免關(guān)鍵告警的遺漏,還協(xié)助運(yùn)營人員層層剖析攻擊過程,可視化還原攻擊真相。最終,從發(fā)現(xiàn)、分析到處置的威脅運(yùn)營閉環(huán)操作在短短幾分鐘內(nèi)完成,展現(xiàn)了令人驚嘆的響應(yīng)速度,有效地阻止了攻擊者的進(jìn)一步行動。
終端威脅研判機(jī)器人+天擎=研判處置縮短70%+準(zhǔn)確率95%
奇安信天擎終端安全管理系統(tǒng)融合安全大模型,將QAX-GPT安全機(jī)器人能力應(yīng)用于天擎EDR威脅事件研判中,將需要具備專業(yè)威脅分析經(jīng)驗(yàn)的研判工作提交給終端威脅研判機(jī)器人完成。這樣不僅極大降低了天擎EDR的使用門檻,也大幅提高研判效率,可幫助客戶降低對真實(shí)高級威脅在終端的響應(yīng)速度,避免危害升級。
值得一提的是,QAX-AI智能研判服務(wù),能從事件中復(fù)雜的進(jìn)程樹告警提取出關(guān)鍵的研判依據(jù)并結(jié)合富化的威脅情報(bào),可為用戶提供通俗易懂的研判解讀并給出研判結(jié)論。原本每條事件研判和處置需要平均10分鐘,而有了終端威脅研判機(jī)器人智能協(xié)助,事件研判和處置僅需要3分鐘,同時研判準(zhǔn)確率高達(dá)95%。
主機(jī)威脅研判機(jī)器人+椒圖=提升研判效率+節(jié)省運(yùn)營成本
作為縱深防御中的最后一道防線,資源集中的核心設(shè)備,服務(wù)器主機(jī)一向都是黑客和攻擊者“進(jìn)攻”的主要目標(biāo)。奇安信服務(wù)器安全管理系統(tǒng)(簡稱:椒圖)通過接入主機(jī)威脅研判機(jī)器人,實(shí)現(xiàn)更強(qiáng)大的告警研判能力,顯著提升運(yùn)營效率。
在日常運(yùn)維中,在服務(wù)器上告警的數(shù)量會很多,受限于人力和運(yùn)維人員的經(jīng)驗(yàn),通常一位安全運(yùn)維人員能處理的告警上限為500條/天,在“降本提效”的大背景下,奇安信椒圖引入了主機(jī)威脅研判機(jī)器人,利用奇安信AI安全大模型的智能研判能力,處理告警量可達(dá)20000條/天,是人工40倍,大幅提升了服務(wù)器安全運(yùn)營的效率。
同時,主機(jī)威脅研判機(jī)器人還能協(xié)助運(yùn)維人員,智能分析和判斷告警是正常業(yè)務(wù)行為還是真實(shí)攻擊行為,大幅減少安全運(yùn)營人員手工調(diào)查分析的時間和精力。它對研判后的告警,能給出清晰的研判理由,讓運(yùn)維人員無需關(guān)注復(fù)雜的進(jìn)程調(diào)用關(guān)系,熟知各種攻擊手法和命令,從而提升了研判效率,降低了專業(yè)技術(shù)門檻,并使得安全事件處置更快更精準(zhǔn)。
結(jié)束語:
“這一切,僅僅是一個開始,在未來2-3年內(nèi),還將有更多專業(yè)的安全機(jī)器人加入團(tuán)隊(duì),進(jìn)行智能協(xié)同作戰(zhàn),全線產(chǎn)品也將加速AI化,全面覆蓋攻防安全、代碼安全、數(shù)據(jù)安全、邊界安全、合規(guī)檢查等更多場景。”正如奇安信安全專家所說的,這將不僅僅是安全能力的簡單疊加,更是一場適應(yīng)AI時代網(wǎng)絡(luò)攻防對抗的革命性變革。當(dāng)攻擊者紛紛通過AI實(shí)現(xiàn)攻擊升維時,網(wǎng)絡(luò)安全的戰(zhàn)場將由“冷兵器”時代直接進(jìn)入“核武器”時代,未來,如果不依托AI,安全也將不復(fù)存在。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )