技术博客

    技术博客  >  度过态势感知“大屏热”时代,安全运营“智能驾驶”将至
    度过态势感知“大屏热”时代,安全运营“智能驾驶”将至
    背景图 2023-07-27 20:00:00

    根据IDC最新调研,到2026,40%拥有大量分支机构的大型企业组织将迁移至自动化安全运营中心(SOC)上,以态势感知平台构建网络安全体系的核心,加快响应速度,提升事件修复、事件管理的效率

    从态势感知的“比拼大屏”的时代起步,数字化组织已经清晰认识到,比起关注大屏下的日志信息,更应该关注安全事件的处置质量和速度,以降低频繁攻击对数字化业务的影响。这一共识,也反映在态势感知的“进化路线”上——

    攻击升级?事件分析比日志分析更重要

    在数字化转型的漫漫长路中,没有一位数字化用户可以100%确信永远不会被攻击。尤其在AI技术的强势加持下,来自网络世界的攻击更加隐蔽和频繁,安全设备每日产生的虚假情报、错误告警日益增多,脱离低效率的日志分析,真正关注安全事件本身,才是数字化用户的当务之急。

    《IDC MarketScape: 中国态势感知解决方案市场研究,2023》报告中,IDC根据近年不断升级的攻击趋势提出了重要建议:

    日志分析所呈现的只是攻击环节的一个或多个片段,而事件分析则可以基于攻击链呈现出完整的攻击过程及所带来的危害。当前的态势感知平台的遥测数据源很广泛,这便于其对网络攻击事件做出更精准的判断。同时,基于ATT&CK框架可以更好的了解攻击者的技战术,帮助客户有效的了解并处置安全事件。

    而为了更好地应对频繁的攻击事件,在引入新技术升级检测能力后,还需要以安全运营新范式逐步迈向“智能驾驶”时代。

    AI加持,检测效果更给力

    基于大模型的生成式AI技术兴起,全球著名分析机构Gartner、IDC已多次在生成式AI的应用中提及态势感知的应用和积极发展:通过AI的私域模型训练,将使得态势感知平台未来的价值得到更高的提升,大幅提升面对网络安全事件的检测与响应的效率

    传统态势感知的检测主要基于流量特征或手动分析,对不在库中的新型未知威胁无法检出,而基于手动分析又过于耗时、且依赖运营人员的专业知识。引入AI创新检测的态势感知,通过对攻击全流程行为的大数据建模分析,补足了灵活、高效、对抗未知的特性,更好地应对新型威胁。

    AI加持

    以深信服态势感知为例,首创的加密挖矿检测AI模型,解决以往基于流量特征检出极低的问题,通过提取挖矿流量的时空特征建立预测模型,大大提升检出率的同时综合误报率低于2%

    安全运营新范式,向“智能驾驶”时代迈进

    尽管随着态势感知技术不断升级,流量侧的攻击路径和痕迹可以展现地更清晰。但在逐日复杂的IT架构和增长的“半自动化”攻击下, 态势感知等安全设备单打独斗,依靠安全专家来分析的安全运营方式显然会错失了这场交锋的“先机”:

    在人机协同的“安全运营2.0”中,态势感知、终端管理等多设备的日志不再被粗暴上传至安全专家处,海量日志被转变为“E+N端网关联”的一手遥测数据,再经由ASM、SOAR、XDR进行自动化的资产梳理、漏洞管理、告警聚合研判,最终安全专家只需决策是否执行智能编排响应,即可轻松“一键处置”。

    特别在GPT进一步落地在网络安全领域之后,技术的快速发展让网络安全高阶技术大众化个人高阶技术沉淀为组织能力均成为可能。

    (详情可见:安全运营如何「自动驾驶」?深信服安全GPT+XDR答案很拉风)

    领先组件带来了高质量的遥测数据,开放平台增强了攻击场景开箱即用的安全效果,云地服务提供了7*24h 的响应保障.......“平台+组件+服务”的新范式,让安全运营的“智能驾驶”不再是空中阁楼。

    安全运营的“智能驾驶”

    早在2019、2021年针对态势感知的调研中,IDC就多次提及AI技术和事件分析的重要性。权威机构与数字化用户一起窥见了未来发展的大势所在:安全建设势必需要围绕效果来开展

    未来,态势感知的效果终于不再局限于“大屏”上,在“平台+组件+服务”的新范式中,能够让自身遥测数据发挥100%的安全价值,助力AI时代数字用户的安全运营“智能驾驶”

    关于IDC MarketScape:
    IDC MarketScape厂商评估模型旨在为特定市场中信息和通信技术(ICT)厂商的竞争力提供一个概述。 研究方法采用严格的定性和定量的标准的评分方法,以单一的图形说明每个厂商在特定市场中的位置。IDC MarketScape提供了一个清晰的框架,在其中可以对IT和信息通信技术厂商的产品、服务、能力和策略以及当前和未来的市场成功因素进行有意义的比较。该框架还为技术买家提供了针对当前或潜在厂商的360度优劣势评估,为技术买家提供参考。