11月8日,在2023年世界互联网大会上,奇安信集团举办了NGSOC产品战略升级发布会,作为奇安信集团的核心产品之一,NGSOC曾是2022年北京冬奥会安全运营中心核心安全监测平台,连续4年在态势感知与安全运营领域市场份额第一,拥有74家世界500强企业及中央部委头部客户,相关技术参与或牵头10项国家/行业态势感知与安全运营领域标准制定中。
这个拥有不少辉煌战绩的产品在经过多年的打磨后,进行了产品战略升级,受到广泛关注。
本次发布会有几大亮点,包括——NGSOC全新产品设计理念TDIR、首次发布中英文双语版、新版本六大核心能力以及NGSOC的全新价值主张“专业安全运营,就用NGSOC!”
一直以来,威胁检测和事件响应(TDIR)是安全运营团队的首要任务。但网络安全攻防不对等以及碎片化的特性,决定了安全运营的道路上充满了太多不确定性,资产、日志、告警、流程等,每一项都令人头痛不已。
“完整的安全运营中心,总是有着大量的安全产品、大量的供应商、海量的告警和日志,以及各种各样的待办事项。”奇安信安全运营PBU总经理董旭表示,随着企业数字化建设的程度逐步加深,数字资产、暴露面以及网络攻击规模的不断扩大,无疑也加重了安全分析和运营的工作负担,安全运营人员不得不投入大量精力在大量重复的工作中,从而导致了更加难以发现有效威胁,已成为业界面临的共同难题。
图 奇安信安全运营PBU总经理董旭
依托国内外建立的3000家安全运营中心的丰富实践,奇安信态势感知与安全运营平台NGSOC秉持“专业品牌、专业技术、专业知识、专业服务”的产品理念,力求通过业界最可靠的安全领军品牌、最先进的安全技术、最顶尖的专家知识、最专业的服务体验,为全球安全运营中心(SOC)提供最专业的产品及服务。
奇安信NGSOC能够快速整合现有安全工具和能力,自动消除来自多种设备的告警噪声,精准检测边界、网络、端点、身份、应用和云等六大维度的网络威胁,提供跨数据源的全局威胁可视性,开箱即用的安全内容包,可覆盖354项MITRE ATT&CK攻击者技战术,搭配专业的驻场运营服务和远程运营服务(MSS),帮助用户轻松驾驭威胁检测、分诊、调查、响应(TDIR)的各个环节,让真实威胁无处遁形,让攻击者无法隐藏。
值得注意的是,本着立足中国第一,迈向全球领先的目标,奇安信还面向海外客户,同步推出了英文版本NGSOC,提供一致的安全运营能力支撑。
据董旭介绍,经过数年的打磨,奇安信全新NGSOC在六大方面实现了重磅升级。
目前安全运营普遍存在的问题是告警量大,重复性高,准确性低,可读性差。53%的安全团队表示只能看完其中的一半,剩下的被迫忽略,分析师超过63%的时间都在处理误报,导致无效告警看不完,关键告警看不到。此外,告警的可读性差,60%以上的告警,不知道如何研判、如何处置,平台缺乏有效的研判、处置指引。
奇安信NGSOC智能告警分诊专利技术是国内外安全运营平台领域的首创技术,由专家经验模型和人工智能模型共同驱动,它能对来自不同设备的告警信息,实现自动过滤误报告警,自动识别精准告警,自动分辨重要告警,自动合并重复告警,自动处置无效告警,并重新分类和优先级排序的能力,预置分诊模型可消除98%以上的告警噪声,常见告警自动分诊率达90%,准确率达90%。
同时支持用户自主构建结合自身业务的分诊模型,持续运营后可达99%的分诊率,解除分析师告警疲劳,帮助分析师快速聚焦高价值威胁,真正做到关键告警不遗漏,无效告警不阻塞,大幅缩减平均检出时长(MTTD)。
AI智能助理——本地AI模型和奇安信Q-GPT让运营降本增效
奇安信NGSOC可集成奇安信自主研发的安全行业垂直大模型(Q-GPT),通过简单的对话,轻松完成安全运营。AI智能助理是NGSOC借助本地AI模型和Q-GPT大模型组合开发的一款面向安全运营人员的智能助理,可以协助分析师完成数据查询、任务下发、查询情报等基础分析工作,大幅度提升安全分析师的工作效率。
在此基础上还提供了更加智能的通用知识问答和更加专业的安全知识服务等,给出攻击者的攻击特征、攻击原理、告警的研判思路、危害和建议等方面的回答。AI智能助理旨在解决安全运营工作难度大、重复性高、人力不足、专业人才匮乏,专业知识要求高等业界难题,为政企机构的安全运营中心降本增效。
奇安信安全数据分析语言(QAL),是奇安信NGSOC团队的多年研发成果,是一种数据分析层的专用语言,超越SQL的语义表达能力,为各类异构数据源预置了连接器,大大简化了数据利用难度,以较低的成本提供快速的场景扩展能力,提升安全分析和威胁狩猎的效率。QAL内置向量化执行引擎,支持多种复杂处理逻辑,提供多种实用的机器学习算法,用于对安全数据的深度挖掘。
-
交互分析模式:管道式语言,可基于搜索结果逐层下钻分析,深挖威胁,是面向专业分析师的溯源检索工具。提供10种命令,80+种函数。
-
胶囊分析模式:鼠标点选即可获取搜索条件,提供直观清晰的操作运算符。可切换至分组模式,通过树形结构直观展示条件关系,覆盖日常分析搜索场景,零学习成本,不懂搜索也能完成分析工作。
事件调查与响应——1分钟事件定性,5分钟完成影响面评估
从告警到事件,安全运营自动化又跨越了一大步。奇安信NGSOC可将相关联告警自动汇聚形成完整事件卷宗,自动补充上下文证据,自动映射MITRE ATT&CK攻击者战术和技术,自动解读攻击者意图、自动识别关键攻击痕迹、自动评估影响面并计算处置对象,即使是复杂事件,也能轻松看懂事件的来龙去脉和完整信息。
奇安信NGSOC采用了多维度威胁情报检测机制,与奇安信云端威胁情报中心(TI)、本地威胁情报中心(TI Inside)、独立威胁情报平台(TIP)均可对接实时情报检测,可对各种日志来源的数据进行实时的情报检测,帮助用户主动发现各类威胁。
丰富安全内容——强大的“弹药库”开箱即用,监控无盲区
NGSOC提供终端、身份、应用、数据、网络、云等6大维攻击面充分的威胁可见性,覆盖了MITRE ATT&CK 框架中的 354 种技术(总计 595 种),业界排名第一,对于流行的 ATT&CK 技术,覆盖率达到 97% (97/101)。预置2400+解析规则、1200+关联规则、100+分诊模型,多种仪表板、报表、快速检索语句,开箱即用,当日生效。支持1000+种数据源的自动化解析,无需人工配置。此外,NGSOC可独立在线升级,无需升级产品,持续不间断增强进行安全监测。
多年实践显示,多数政企机构安全运营都存在五大难题,即无穷无尽的告警,难看完;永不停歇的攻击,难检测;不断泛滥的工具,难整合;专业人才的匮乏,难闭环;安全运营的成果,难度量。
针对以上五大难,新版NGSOC能够帮助客户更准发现威胁、更快完成运营、更少依赖专家、更好体现成果。
六大核心能力之一智能告警分诊,解除告警过载问题,消除分析师告警疲劳,内置专家模型,灵活自主配置,可消除98%噪声。平衡误报和漏报,快速发现真实有效的威胁,缩短平均检测时间MTTD。
依托关联分析通过关联分析(IOA)、行为分析(IOB)、情报分析(IOC)三种高级检测模式,开箱即用的预置模型,业界第一的MITRE ATT&CK攻击者技战术检出率,可精准发现复杂威胁。面对0day漏洞爆发或新型威胁,用户可快速自主配置检测模型(可视化建模),3分钟即可完成,自如应对新型威胁或突发事件。实现分析无死角,监测无盲区,少通报,免处罚。
2400+解析规则可轻松接入1000+种主流安全设备数据,实现数据的统一分析。100+种安全设备对接,可自动化联动处置或通知通报,安全事件高效闭环,整合现有安全能力,实现1+1>2,提升整体安全建设的投资产出比。
NGSOC核心能力之事件调查与响应,可自动识别攻击者手段、自动解读攻击者意图、自动评估影响面和计算处置对象,提供缓解措施,帮助分析师1分钟事件定性,5分钟完成影响面评估。AI智能助理,通过简答对话可下发任务完成运营工作,提供专业的安全知识问答,辅助研判、辅助处置,大幅提升运营效率,缓解分析师压力。让响应流程有章可循,实现安全事件的快速闭环。
多维可视化大屏,呈现安全建设成果及网络安全健康情况,清晰展示量化指标,重点关注事件、丰富的可视化报表和详情汇总,让网络安全工作“可量化、可评估”,安全成果清晰可见。
本次发布的NGSOC新版本在客户实践过程中受到了专业客户的认可,来自某大型制造企业安全运营负责人认为,新版本NGSOC,以“TDIR”为核心的安全运营方法论让我们印象深刻,其中智能分诊和智能助理,给我们一线的分析师很大的帮助,协助我们提升了安全运营的效率,我们期待与奇安信保持长期合作,共同成长。
此外,英文版本也受到了某跨国企业安全运营负责人的认可,“新版本,让我每天需要关注的告警比之前降低了80%,事件更易追踪闭环,报告也不需要自己写,这些新特性确实帮助我提高了安全运营工作效率。”
经过多年的打磨和实践,NGSOC研发团队又经历了深入且广泛的客户调研,重塑价值主张,提出“专业安全运营,就用NGSOC”的口号,依靠“专业品牌、专业技术、专业知识、专业服务”为客户创造价值,更准发现威胁、更快完成运营、更少依赖专家、更好体现成果。
董旭强调,网络安全只有起点,但没有终点。随着新需求的驱动、新技术的发展,安全运营平台也应与时俱进。
-
首先是高性能。随着数字化转型的逐步完成,企业要处理分析的数字信息已经比过去几年放大了很多倍,现代安全运营平台需要处理每秒数十万的安全信息(EPS),实时检测和分析其中潜在的威胁,就必须具备高性能的实时处理能力。
-
其次是高交互。现代攻击横跨多个阶段,在不同的安全设备上都会留下痕迹,安全运营平台采集了各种来源的数据和资产信息,需要给分析师提供高效的交互式分析工具,帮助在不同数据类型间完成狩猎分析。
-
第三是AI驱动。生成式AI时代的到来,给人们很多的习惯带来了颠覆式的改变,安全行业同样不例外,安全行业最大的痛点就是:这是一个知识高度密集的行业,没有专业的安全知识,无从谈起检测、研判、调查、响应,而AI学习知识的速度远远超越人类,未来的安全运营,AI绝不会取代人类,但是它会贯穿安全运营的很多方面,帮助人类高效解决知识型问题。
-
第四是自动化。除了AI之外,自动化还包括了自动化响应与编排,自动化数据接入与解析,自动化的告警分诊、事件解读等等,无论用什么技术,更多的自动化才能从根本上解决安全行业专业人才匮乏的现实问题。
-
第五是丰富安全内容。Gartner也明确指出未来的安全运营平台,不能单纯提供工具,还应该提供更加丰富的开箱即用的安全内容,它包括各类分析模型、监控仪表板、报告模板、响应剧本等等,真正让运营平台开箱即用,减少生效周期。
-
第六是开放生态。现代安全运营中心,平均所使用的安全工具或技术,高达40余种,快速有效的集成各种厂商品牌的各种设备,提升安全建设整体的投资产出比,是安全运营平台应该具备的特征,避免运营效率不升反降!
