2024GDEC │ 响应效率千倍级提升 奇安信发布AI+SOC智能安全运营方案

7月3日，2024全球数字经济大会（GDEC）在京举行，在成果展上，奇安信对外发布AI+SOC智能安全运营方案。

图奇安信AI+SOC智能安全运营方案在2024全球数字经济大会上正式发布

该方案通过QAX-GPT机器人和NGSOC产品的深度融合，结合“人工智能模型”和“安全专家经验模型”，可以实现智能分诊、智能研判、智能调查、智能响应等四大功能，旨在解决安全运营工作中海量告警处理难、设备数据联动难、事件响应闭环难等三类难题，驱动安全运营从“密集型”向“智慧型”升级,并实现十倍、百倍、千倍级的效率跃升。

Part.1

3000多家安全运营中心调查：

三大难题成为困扰

“根据奇安信NGSOC在国内建立的3000多家安全运营中心的实际运营情况和客户反馈来看，主要存在三大困扰，分别是‘追求不漏、反成高漏’，‘数据孤立、关联不上’，‘响应滞后、无法闭环’。”奇安信集团NGSOC产品总监黄巍表示，当前企业在体系化安全运营建设中，除了告警疲劳、效率瓶颈和专家短缺等现状之外，还有数据整合难，设备联动难，事件闭环难等多重难题，具体表现在以下几个方面：

首先是追求不漏，反成高漏。

黄巍表示，近年来，随着政企机构网络安全建设的逐渐成熟，其部署各类安全设备为了避免业务系统遭受网络攻击，告警和日志从追求“零误报”变成追求“零漏报”，从而产生了海量告警。但由于安全人力不足，无法对海量告警进行全量研判，导致“追求不漏反倒成了高漏”。

根据奇安信对万人规模以上企业的调查，86%的企业安全运营人员不到10人，研判比例不足5%；13%的企业运营人员有10-30人，研判比例在5%-10%；仅有1%的企业配备了30人以上的安全运营团队，但研判告警比例也仅仅达到10%。这些数字说明，人力不足导致大量告警被忽视，是网络安全当前面临的最大漏洞。

其次是设备孤立，关联不上。

黄巍认为，安全运营实现体系化防御，一定需要统一的数据标准，AI驱动安全能否取得好效果，就取决于设备和体系是否有统一的标准，这是一个必要条件。

然而，当前许多政企机构部署的安全产品是“大杂烩”，产品、技术、运营标准均不一致，信息质量参差不齐，不同厂商、不同品牌、不同设备读不懂彼此数据，这样就造成数据关联不上、设备彼此孤立、体系化联动形同虚设。即便是部署了AI，也无法读懂“多国语言”，全局研判和协同联动更是无从谈起。

第三是响应滞后，无法闭环。

目前很多央企和金融客户尽管数字化和网络安全建设成熟度较高，但事件响应效率还远跟不上实际需求。事件调查、响应处置、影响面和风险评估等环节的人工处理耗费了大量时间，并且严重依赖专家经验。比如遏制威胁方面，人工至少需要10分钟以上；普通事件调查需要30分钟到2小时，评估事件影响面和潜在风险，需要一人一天，复杂攻击事件的调查取证过程长达1周甚至更久。

相比之下，AI已经成为黑客手里的攻击工具，其攻击时间可以用分秒来计算，以现有传统的事件调查、响应处置、影响面和风险评估等的效率，堪称“数字时代”和“青铜时代”的差距。

Part.2

四大核心功能，

助力运营效率最高千倍级跃升

如何解决以上三大难题，奇安信发布的“AI+SOC智能运营方案”，它以NGSOC+QAX-GPT的深度集成方案为基础,以大数据处理引擎（NOAH）、大数据关联引擎（SABRE）、安全编排与自动化响应引擎（SOAR）、以及AI大模型（QAX-GPT）为核心技术，推出智能分诊、智能研判、智能调查、智能响应等四大核心功能，将AI与自动化的设计理念，贯穿威胁检测、调查与响应（TDIR）的全流程，实现安全运营工作十倍、百倍、千倍的效率跃升。

首先，智能分诊功能支持前置过滤，可准确识别1%高价值威胁，节省100倍分析时间，还能解决不同设备、不同数据格式的标准化难题。

“去过医院的人都知道，如果轻重病号都扎堆儿去挂急诊、去重病科，再多的医疗资源也无法满足。”黄巍举了一个形象的例子，智能分诊就像医院的分诊台和挂号系统，根据病人状况的轻重缓急，或去急诊室、或去发热门诊、或去消化门诊，甚至可以回家观察无必要打针吃药，这样才能避免资源浪费。如果没有这样的分诊系统，医院将会乱套，医生也一定会忙不过来。

实践表明，智能分诊可准确识别1%的高价值告警，消除90%以上告警噪声，帮助分析师快速聚焦有效威胁，节省100倍的分析时间。同时，智能分诊作为AI研判的前置过滤子系统，筛掉明显误报、无效告警，大大减少了AI大模型的算力浪费，将优先的算力资源用于高价值威胁的精准定位上，真正实现“无效告警不阻塞，关键告警不漏报”。

智能分诊的另一优势是解决数据的标准化难题。它集成在NGSOC当中，可以广泛汇聚来自不同厂商、不同检测设备，如IPS、WAF、EDR、NDR、VPN的告警数据，依据国家标准进行了标准化、归一化、去厂商化，将“各国方言”都变成“普通话”，为AI研判或者人读数据奠定了数据标准化的坚实基础。

其次，智能研判实现效率比人类提升60倍，误报率不到人类的一半，漏报率降至0.5%。

AI+SOC整合的智能研判功能，通过NGSOC与QAX-GPT机器人双向的API集成，7×24不间断发送经过分诊后的高价值告警，进行实时研判，给出准确的定性结论和报告，安全机器人研判能力接近“中级安全专家”水平，每天可研判35000条以上的告警，研判数量是人类分析师的300倍，单一威胁告警的平均处理时间减少98%，研判漏报率仅为0.5%，研判误报率不到人类分析师的一半，综合研判效率是人类的60倍。

目前，AI+SOC已实现对企业80%以上的常见告警，如漏洞利用、恶意软件、失陷情报类告警，不再需要人工盯屏，QAX-GPT机器人可全自动给出研判报告。未来,依托NGSOC对各类威胁告警数据的标准化、归一化、去厂商化,QAX-GPT机器人将支持研判NGSOC上更广范围的告警来源和更复杂的告警种类，让AI看懂“各国语言”，实现自我学习和自我成长。

再次，智能调查依托自然语言对话和自动化处理，缩短近千倍调查时长。

过去在没有SOC和AI之前，只有高级分析师才具备复杂事件的调查溯源和取证能力，他们会依据自己多年的经验登录到不同的安全设备上、网络设备上和受害者主机上进行手动搜索日志，并依靠知识积累进行人工拼接证据，才能找到攻击者攻击的全过程。

AI+SOC的出现，推动安全运营从“密集型”向“智慧型”升级。NGSOC汇集了终端、流量检测、服务器、应用、VPN、身份访问、AD域的各类日志和告警，以及资产、网段、漏洞和部门组织的全量信息，有了足够的信息输入和高质量、标准化的数据，AI可以在NGSOC上依据不同的场景，自动收集和聚合上下文相关告警和日志，自动结合资产、漏洞、网络拓扑识别潜在威胁，自动完成调查取证，自动完成事件定性、自动完成资产影响面评估，自动计算出需要处置的对象，找到威胁发生的前因后果、梳理出来龙去脉、并绘制出攻击链路图，让更多的普通分析师找得到、看得懂。

对于复杂的问题、高阶的攻击知识或者新爆发的热点漏洞，AI可与分析师通过自然语言对话的方式，实时互动，帮助人类分析师快速了解攻击特征、攻击原理、危害和专业建议，指导安全分析师完成事件调查和影响面评估工作，将整个调查和影响面评估的过程从过去的一天乃至一周时间，缩短至分钟级，效率实现千倍跃升。

最后，智能响应支持上千种响应指令下发，将处理时间从天级缩短至秒级，闭环效率跃升近千倍

AI+SOC实现体系化防御的核心，是多种网络安全设备的有机结合。因此需要AI像人一样，不仅可以知道在不同的场景下、执行什么剧本、去调哪个接口、读取什么数据、下发什么指令，还要比人更快。而NGSOC天然汇集了各类安全日志和告警，对接了各类联动设备和查询接口，这就为AI逻辑能力和自主决策能力的充分发挥，提供了土壤和战场。

AI+SOC不仅可以实现全自动化的响应流程，还能够对接防火墙、WAF、EDR、NDR、威胁情报、工单系统、即时通讯等190余种外部系统或APP，完成上千种响应指令的下发，实现安全运营高效闭环，处理时间可能从过去的一天，缩短到分钟级甚至秒级，实现响应闭环效率千倍提升。

当前，网络空间安全形势发生翻天覆地的变化，专业攻击组织和国家级网络力量正成为网络攻击的两大主力。攻击主体和攻击武器的“升维”，也迫切需要网络安全防御手段“升维”应对，甚至可以说，如果不依托AI，安全也将不复存在。奇安信发布的由QAX-GPT和NGSOC构成的“AI+SOC 智能安全运营方案”实现了告警的智能分诊与研判、事件的智能调查与响应，旨在实现安全运营工作十倍、百倍、千倍的效率跃升，为广大政企机构筑牢AI时代的安全底座。