11月19日-22日,2024年世界互联网大会“互联网之光”博览会在浙江乌镇举行。奇安信集团首次对外展示了最新研发的AI驱动安全系列新产品,这中间还包括QAX-GPT安全机器人,以及AI赋能下的AISOC,NDR(天眼)、EDR(天擎)、服务器安全(椒图)等。它们不仅全部融入了奇安信最新的QAX AI安全大模型能力,还可以共同进行分工协作、高效研判,完成安全事件的自动化处置闭环,在未来AI时代的攻防对抗中立于不败之地。
“警报!发现一起系统入侵,建议即刻隔离受害主机10.37.112.11!”
“大家注意!发现10.37.112.14服务器存在漏洞,已被攻击者利用,建议即刻封禁!”
“这不是一起简单钓鱼,而是高度复杂的勒索攻击,自动化响应预案已创建,请加紧落实!”
在本次博览会上,奇安信展示了网络安全的日常工作场景。不过主角不是安全工程师,而是一群网络安全“机器人”:它们就像珠海航展上让人印象非常深刻的“机器狼”一样,集群作战,无缝协同,有组织有纪律,以极高的效率和智能性,将钓鱼邮件勒索攻击等网络威胁消弭于无形,大幅解放了网络安全人员的精力。
“当前,随着人工智能技术蒸蒸日上和应用,攻击者也开始利用AI技术发起饱和式攻击,传统的人工运营模式已难以应对,AI驱动安全将是大势所趋。”奇安信安全专家这样认为。本次亮相的奇安信QAX-GPT安全机器人,充足表现出了“分工协作”思想,目前已拥有四类核心专家角色:
其中,安全运营机器人,是一位全能型的安全专家,目前在态势感知平台上提供威胁研判、事件调查、智能响应、自动化报告等能力,未来还将不断进化,拓展更多安全运营服务。
网络威胁研判机器人,最擅长读懂各种网络告警,专注于网络层面的安全防护,专职负责网络威胁的智能研判。
终端威胁研判机器人,专注于终端设备的安全防护,能够对恶意程序、可疑行为等多种终端安全威胁进行精准识别和智能研判。
主机威胁研判机器人,则专注于服务器层面的安全防护,可以识别异常进程、可疑账号、危险命令等多种主机安全威胁,确保核心业务系统的安全运行。
这样的一支机器人团队,司职明确,通过知识共享和协同分析,让安全运营效率得到质的提升。
工欲善其事,必先利其器,在安全运营体系中,人、工具(产品)、流程这三大元素缺一不可。在现场,奇安信工作人员对最常见且危害最广泛的勒索攻击过程进行了演示,继而展示了不一样的安全机器人,在遇到攻击事件时,如何与AI驱动下的AISOC、天擎、天眼、椒图等不同安全产品做协同联动,最终高效完成对这次勒索攻击的阻断和溯源。
AISOC是奇安信NGSOC与奇安信安全大模型(QAX-GPT)深层次地融合的跨时代产品。AISOC以简单、高效、省心为目标,以安全大模型和大数据关联引擎为双擎驱动,将AI的能力嵌入到研判、调查、响应、报告、狩猎、策略创建等最核心、最依赖专业相关知识的安全运营工作中,贯穿威胁检测、调查与响应(TDIR)的全流程,实现安全运营工作十倍、百倍、千倍的效率跃升。
在防御钓鱼邮件勒索攻击的过程中,奇安信AISOC融合了安全运营机器人的AI能力,充足表现了全局联动、体系化运营和高效闭环的理念,可以和AI赋能下的天眼、天擎EDR、椒图等进行全局关联分析,调查与响应,高效完成事件的自动化处置闭环。这中间还包括快速完成告警关联、引导式事件调查,快速完成响应处置、遏制威胁蔓延和响应策略的创建,以及生成自动化安全报告等。
天眼作为NDR领域的领军者,具备强大的威胁检测、自动化响应处置、全流量存储溯源、多视角威胁分析等能力。将网络威胁研判机器人接入天眼后,可以对天眼内的全部告警7×24小时全天候实时自动智能研判,并甄别出真实有效的安全威胁。实践证明,其告警降噪率达到90%以上,可以有效减轻安全人员对网络流量侧威胁的监测、研判及响应工作中的负担。
同时,凭借网络威胁研判机器人在自然语言理解和上下文关联分析上强大能力,能够在一定程度上帮助运营人员增强对特殊类型攻击行为的精准识别能力。这极大提升威胁运营效率的同时,更降低安全分析师的能力门槛。
在展会现场,工作人员生动展示了在天眼内如何借助QAX-GPT安全机器人的告警上下文关联能力,精准识别出原本被检测规则识别为“企图”行为的冰蝎连接内存马通信流量攻击,实则是一次成功入侵的重要告警信息。QAX-GPT安全机器人不仅避免关键告警的遗漏,还协助运营人员层层剖析攻击过程,可视化还原攻击真相。最终,从发现、分析到处置的威胁运营闭环操作在短短几分钟内完成,展现了令人惊叹的响应速度,有效地阻止了攻击者的进一步行动。
奇安信天擎终端安全管理系统融合安全大模型,将QAX-GPT安全机器人能力应用于天擎EDR威胁事件研判中,将需要具备专业威胁分析经验的研判工作提交给终端威胁研判机器人完成。这样不仅极大降低了天擎EDR的使用门槛,也大幅度提高研判效率,可帮助客户降低对真实高级威胁在终端的响应速度,避免危害升级。
值得一提的是,QAX-AI智能研判服务,能从事件中复杂的进程树告警提取出关键的研判依据并结合富化的威胁情报,可为用户更好的提供通俗易懂的研判解读并给出研判结论。原本每条事件研判和处置需要平均10分钟,而有了终端威胁研判机器人智能协助,事件研判和处置仅需要3分钟,同时研判准确率高达95%。
作为纵深防御中的最后一道防线,资源集中的核心设备,服务器主机一向都是黑客和攻击者“进攻”的主要目标。奇安信服务器安全管理系统(简称:椒图)通过接入主机威胁研判机器人,实现更强大的告警研判能力,明显提升运营效率。
在日常运维中,在服务器上告警的数量会很多,受限于人力和运维人员的经验,通常一位安全运维人员能处理的告警上限为500条/天,在“降本提效”的大背景下,奇安信椒图引入了主机威胁研判机器人,利用奇安信AI安全大模型的智能研判能力,处理告警量可达20000条/天,是人工40倍,大幅度的提高了服务器安全运营的效率。
同时,主机威胁研判机器人还能协助运维人员,智能分析和判断告警是正常业务行为还是真实攻击行为,大幅度减少安全运营人员手工调查分析的时间和精力。它对研判后的告警,能给出清晰的研判理由,让运维人员无需关注复杂的进程调用关系,熟知各种攻击手法和命令,从而提升了研判效率,降低了专业方面技术门槛,并使得安全事件处置更快更精准。
“这一切,仅仅是一个开始,在未来2-3年内,还将有更多专业的安全机器人加入团队,进行智能协同作战,全线产品也将加速AI化,全方面覆盖攻防安全、代码安全、数据安全、边界安全、合规检查等更多场景。”正如奇安信安全专家所说的,这将不单单是安全能力的简单叠加,更是一场适应AI时代网络攻防对抗的革命性变革。当攻击者纷纷通过AI实现攻击升维时,网络安全的战场将由“冷兵器”时代立即进入“核武器”时代,未来,如果不依托AI,安全也将不复存在。