11月19日-22日,2024年世界互聯網大會「互聯網之光」博覽會在浙江烏鎮舉行。奇安信集團首次對外展示了最新研發的AI驅動安全系列產品,其中包括QAX-GPT安全機器人,以及AI賦能下的AISOC,NDR(天眼)、EDR(天擎)、伺服器安全(椒圖)等。它們不僅全部融入了奇安信最新的QAX AI安全大模型能力,還可以共同進行分工協作、高效研判,完成安全事件的自動化處置閉環,在未來AI時代的攻防對抗中立於不敗之地。
安全機器人「一分為四」,重新定義安全營運模式
「警報!發現一起系統入侵,建議即刻隔離受害主機10.37.112.11!」
「大家註意!發現10.37.112.14伺服器存在漏洞,已被攻擊者利用,建議即刻封禁!」
「這不是一起簡單騎魚,而是高度復雜的勒索攻擊,自動化響應預案已建立,請加緊落實!」
……
在本次博覽會上,奇安信展示了網路安全的日常工作場景。 不過主角不是安全工程師,而是一群網路安全「機器人」: 它們就像珠海航展上讓人印象深刻的「機器狼」一樣,集群作戰,無縫協同,有組織有紀律,以極高的效率和智慧性,將釣魚信件勒索攻擊等網路威脅消弭於無形,大幅解放了網路安全人員的精力。
「當前,隨著人工智慧技術蓬勃發展和套用,攻擊者也開始利用AI技術發起飽和式攻擊,傳統的人工營運模式已難以應對,AI驅動安全將是大勢所趨。」奇安信安全專家表示。本次亮相的奇安信QAX-GPT安全機器人,充分體現出了「分工協作」思想,目前已擁有四類核心專家角色:
其中,安全營運機器人,是一位全能型的安全專家,目前在態勢感知平台上提供威脅研判、事件調查、智慧響應、自動化報告等能力,未來還將不斷前進演化,拓展更多安全營運服務。
網路威脅研判機器人,最擅長讀懂各種網路告警, 專註於網路層面的安全防護,專職負責網路威脅的智慧研判 。
終端威脅研判機器人,專註於終端裝置的安全防護, 能夠對惡意程式、可疑行為等多種終端安全威脅進行精準辨識和智慧研判。
主機威脅研判機器人,則專註於伺服器層面的安全防護, 可以辨識異常行程、可疑帳號、危險命令等多種主機安全威脅,確保核心業務系統的安全執行。
這樣的一支機器人團隊,司職明確,透過創用CC和協同分析,讓安全營運效率得到質的提升。
四大產品加速AI化,實作AI驅動下的體系化營運
工欲善其事,必先利其器,在安全營運體系中,人、工具(產品)、流程這三大元素缺一不可。在現場,奇安信工作人員對最常見且危害最廣泛的勒索攻擊過程進行了演示,繼而展示了不同型別的安全機器人,在遇到攻擊事件時,如何與AI驅動下的AISOC、天擎、天眼、椒圖等不同安全產品進行協同聯動,最終高效完成對這次勒索攻擊的阻斷和溯源。
AISOC+安全營運機器人=簡單、高效、省心
AISOC是奇安信NGSOC與奇安信安全大模型(QAX-GPT)深度融合的跨時代產品。AISOC以簡單、高效、省心為目標,以安全大模型和大數據關聯引擎為雙擎驅動,將AI的能力嵌入到研判、調查、響應、報告、狩獵、策略建立等最核心、最依賴專業知識的安全營運工作中,貫穿威脅檢測、調查與響應(TDIR)的全流程,實作安全營運工作十倍、百倍、千倍的效率躍升。
在防禦釣魚信件勒索攻擊的過程中,奇安信AISOC融合了安全營運機器人的AI能力,充分體現了全域聯動、體系化營運和高效閉環的理念,可以和AI賦能下的天眼、天擎EDR、椒圖等進行全域關聯分析,調查與響應,高效完成事件的自動化處置閉環。其中包括快速完成告警關聯、引導式事件調查,快速完成響應處置、遏制威脅蔓延和響應策略的建立,以及生成自動化安全報告等。
網路威脅研判機器人+天眼=告警降噪90%+特殊攻擊辨識更精準
天眼作為NDR領域的領軍者,具備強大的威脅檢測、自動化響應處置、全流量儲存溯源、多視角威脅分析等能力。將網路威脅研判機器人接入天眼後,可以對天眼內的全部告警7×24小時全天候即時自動智慧研判,並甄別出真實有效的安全威脅。實踐證明,其告警降噪率達到90%以上,可以有效減輕安全人員對網路流量側威脅的監測、研判及響應工作中的負擔。
同時,憑借網路威脅研判機器人在自然語言理解和上下文關聯分析上強大能力,可以幫助營運人員增強對特殊型別攻擊行為的精準辨識能力。這極大提升威脅營運效率的同時,更降低安全分析師的能力門檻。
在展會現場,工作人員生動展示了在天眼內如何借助QAX-GPT安全機器人的告警上下文關聯能力,精準辨識出原本被檢測規則辨識為「企圖」行為的冰蠍連線記憶體馬通訊流量攻擊,實則是一次成功入侵的重要告警資訊。QAX-GPT安全機器人不僅避免關鍵告警的遺漏,還協助營運人員層層剖析攻擊過程,視覺化還原攻擊真相。最終,從發現、分析到處置的威脅營運閉環操作在短短幾分鐘內完成,展現了令人驚嘆的響應速度,有效地阻止了攻擊者的進一步行動。
終端威脅研判機器人+天擎=研判處置縮短70%+準確率95%
奇安信天擎終端安全管理系統融合安全大模型,將QAX-GPT安全機器人能力套用於天擎EDR威脅事件研判中,將需要具備專業威脅分析經驗的研判工作送出給終端威脅研判機器人完成。這樣不僅極大降低了天擎EDR的使用門檻,也大幅提高研判效率,可幫助客戶降低對真實高級威脅在終端的響應速度,避免危害升級。
值得一提的是,QAX-AI智慧研判服務,能從事件中復雜的行程樹告警提取出關鍵的研判依據並結合富化的威脅情報,可為使用者提供通俗易懂的研判解讀並給出研判結論。原本每條事件研判和處置需要平均10分鐘,而有了終端威脅研判機器人智慧協助,事件研判和處置僅需要3分鐘,同時研判準確率高達95%。
主機威脅研判機器人+椒圖=提升研判效率+節省營運成本
作為縱深防禦中的最後一道防線,資源集中的核心裝置,伺服器主機一向都是黑客和攻擊者「進攻」的主要目標。奇安信伺服器安全管理系統(簡稱:椒圖)透過接入主機威脅研判機器人,實作更強大的告警研判能力,顯著提升營運效率。
在日常運維中,在伺服器上告警的數量會很多,受限於人力和運維人員的經驗,通常一位安全運維人員能處理的告警上限為500條/天,在「降本提效」的大背景下,奇安信椒圖引入了主機威脅研判機器人,利用奇安信AI安全大模型的智慧研判能力,處理告警量可達20000條/天,是人工40倍,大幅提升了伺服器安全營運的效率。
同時,主機威脅研判機器人還能協助運維人員,智慧分析和判斷告警是正常業務行為還是真實攻擊行為,大幅減少安全營運人員手工調查分析的時間和精力。它對研判後的告警,能給出清晰的研判理由,讓運維人員無需關註復雜的行程呼叫關系,熟知各種攻擊手法和命令,從而提升了研判效率,降低了專業技術門檻,並使得安全事件處置更快更精準。
結束語:
「這一切,僅僅是一個開始,在未來2-3年內,還將有更多專業的安全機器人加入團隊,進行智慧協同作戰,全線產品也將加速AI化,全面覆蓋攻防安全、程式碼安全、數據安全、邊界安全、合規檢查等更多場景。」正如奇安信安全專家所說的,這將不僅僅是安全能力的簡單疊加,更是一場適應AI時代網路攻防對抗的革命性變革。當攻擊者紛紛透過AI實作攻擊升維時,網路安全的戰場將由「冷兵器」時代直接進入「核武器」時代,未來,如果不依托AI,安全也將不復存在。
