企业平均每年面临44起重大网络事件,但检测和响应较慢,有四分之三的企业需要六个月或更长时间才能检测和响应事件。
在过去五年中,已知的网络攻击数量增加了约75%。
预计到2031年,勒索软件造成的损失将从2021年的200亿美元增加到2650亿美元。
这份数据来自于不久前安永发布的《2023全球网络安全领导力洞察研究》。该报告基于对全球500名网络安全领导者的调研,结果发现,尽管网络攻击威胁不断增加,对网络安全方面的投资也在持续增长,但只有五分之一的首席信息安全官(CISO)和高管团队认为他们的网络安全措施在目前是有效的,并且为未来做好了充分的准备。更多的企业组织对无处不在的网络攻击依然是准备不足。
一、安全运营中心建成率达九成,但成熟度普遍较低
二、企业安全运营普遍面临的三个困境
“从奇安信国内外建立的3000家安全运营中心的丰富实践来看,威胁检测和事件响应(TDIR)是安全运营团队的首要任务。但网络安全攻防不对等以及碎片化的特性,决定了安全运营的道路上充满了太多的不确定性,资产、日志、告警、流程等,每一项都令人头痛不已。”奇安信安全运营PBU总经理董旭这样表示。
图 Gartner安全运营模型
董旭认为,随着企业数字化建设的程度逐步加深,数字资产、暴露面以及网络攻击规模的不断扩大,安全分析和运营的工作负担也在激增,经常会陷入到面对海量告警疲于奔命和安全事件无法快速闭环之间的矛盾。更具体而言,有三种现状对于企业安全运营的挑战最为严峻。
首先是海量告警难以全部处理,大量抛弃导致安全隐患激增。
其次是深层威胁难以发现,安全事件无法快速闭环。
最后是基础监控工作耗费人力,专家人手短缺矛盾愈发加剧。
三、运营理念升级,新版NGSOC实现三大跃迁
首先是从数据驱动到知识驱动。
新版NGSOC推出的智能告警分诊功能,充分体现了知识驱动安全运营的理念。据介绍,告警分诊是国内外安全运营平台领域的首创技术,它依托强大的行业专家系统,以及大量经过实战检验的领域知识、专业经验等,形成由专家经验模型和人工智能模型共同驱动。该技术能对来自不同设备的告警信息,实现自动过滤误报告警,自动识别精准告警,自动分辨重要告警,自动合并重复告警,自动处置无效告警,并重新分类和优先级排序的能力,预置分诊模型可消除98%以上的告警噪声,常见告警自动分诊率达90%,准确率达90%。最终实现了解除分析师告警疲劳、快速聚焦高价值威胁、大幅缩减平均检出时长(MTTD)等目标。
其次是从关注告警到关注事件。
处理海量告警是安全运营的基础,但要保证企业的“零事故”、“零通报”,还需要依赖于事件调查与响应。这就如同公安部门不仅要接受报警、调查和发现线索,还需要完整的案件侦办和破获。
董旭认为,从关注告警到关注事件,是安全运营自动化跨越的一大步。奇安信新版NGSOC可将相关联告警自动汇聚形成完整事件卷宗,自动补充上下文证据,自动映射MITRE ATT&CK攻击者战术和技术,自动解读攻击者意图、自动识别关键攻击痕迹、自动评估影响面并计算处置对象,即使是复杂事件,也能轻松看懂事件的来龙去脉和完整信息。从实践来看,新版NGSOC在事件调查与响应方面,可以实现1分钟事件定性,5分钟完成影响面评估,轻松完成安全事件的快速闭环。
最后是人员堆砌到AI提效。
很多企业都会发现,安全运营是一个非常耗费人力的工作,其中海量告警的是“最大元凶”。国外安全机构近年发布的一项调查报告显示,有超过八成的安全运营团队正在遭受告警疲劳的折磨。可以看出,随着攻击者手法不断翻新,队伍不断壮大,网络攻击的次数呈现出指数级上升的趋势,告警数量也随之不断增加,告警疲劳现象会更加严重。企业的运营人员短缺更加矛盾。
除了告警疲劳之外,安全事件的快速闭环,对专业人才依赖度也非常高。对事件的调查、研判、遏制、恢复、定性等等,都需要安全专家的深度参与,这些都加剧了人手短缺的矛盾,尤其在实战攻防演习期间表现更加明显。
围绕这些挑战,奇安信新版NGSOC提供了AI智能助理功能,它是NGSOC借助本地AI模型和Q-GPT大模型组合开发的一款面向安全运营人员的智能助理,提供专业的安全知识问答,辅助研判、辅助处置,大幅提升运营效率,缓解分析师压力,让响应流程有章可循,实现安全事件的快速闭环。
通过AI的赋能,新版NGSOC很大程度上解决了安全运营工作难度大、重复性高、人力不足、专业人才匮乏,专业知识要求高等业界难题,为政企机构的安全运营中心实现真正的降本增效。
四、结语
END
原文始发于微信公众号(奇安信集团):虎符智库 │ 八成企业对攻击准备不足,安全运营从建成到成熟有多远?
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论