企业平均每年面临44起重大网络事件,但检测和响应较慢,有四分之三的企业需要六个月或更长时间才能检测和响应事件。
在过去五年中,已知的网络攻击数量增加了约75%。
预计到2031年,勒索软件造成的损失将从2021年的200亿美元增加到2650亿美元。
这份数据来自于不久前安永发布的《2023全球网络安全领导力洞察研究》。该报告基于对全球500名网络安全领导者的调研,结果发现,尽管网络攻击威胁不断增加,对网络安全方面的投资也在持续增长,但只有五分之一的首席信息安全官(CISO)和高管团队认为他们的网络安全措施在目前是有效的,并且为未来做好了充分的准备。更多的企业组织对无处不在的网络攻击依然是准备不足。
一、安全运营中心建成率达九成,但成熟度普遍较低
众所周知,一艘航母从下水,到正式服役,再到形成全面战斗力,通常需要好几年。如美国最新核动力航母首舰“福特”号从2013年下水到形成完整战斗力用了10年时间;我国“山东舰”从2017年下水到预计2023年形成完整战斗力也用了六年时间。同理,企业安全运营中心(SOC)也需要一个从建成到成熟的漫长过程。
赛迪顾问在年初曾发布报告,88.6%的受访企业已建立了专门的安全运营中心,建成率接近九成。然而大多数企业的安全运营中心的成熟度还比较低,处于一、二级的占比高达65.5%,仅有少数大型央、国企达到四五级的相对成熟阶段。
纵观整个2023年,全球范围内网络安全攻击事件仍然频发,甚至愈演愈烈。包括不久前某知名金融机构遭遇的勒索软件攻击,以及11月初德国西部发生大规模勒索软件攻击等等。一边是接近9成的安全运营中心建成率,一边是日益频繁的攻击事件,由此可见,仅仅依赖于“建成”阶段的安全运营中心,并不能充分应对各种高级、复杂和新型的网络攻击,唯有安全运营中心全面走向“成熟”,形成完整战力,才能更及时发现高级威胁,更短时间检测和响应事件,提供更强安全保障。
二、企业安全运营普遍面临的三个困境
“从奇安信国内外建立的3000家安全运营中心的丰富实践来看,威胁检测和事件响应(TDIR)是安全运营团队的首要任务。但网络安全攻防不对等以及碎片化的特性,决定了安全运营的道路上充满了太多的不确定性,资产、日志、告警、流程等,每一项都令人头痛不已。”奇安信安全运营PBU总经理董旭这样表示。
图:Gartner安全运营模型
董旭认为,随着企业数字化建设的程度逐步加深,数字资产、暴露面以及网络攻击规模的不断扩大,安全分析和运营的工作负担也在激增,经常会陷入到面对海量告警疲于奔命和安全事件无法快速闭环之间的矛盾。更具体而言,有三种现状对于企业安全运营的挑战最为严峻。
首先是海量告警难以全部处理,大量抛弃导致安全隐患激增。
据介绍,目前安全运营普遍存在的问题是告警量大,重复性高,准确性低,可读性差。53%的安全团队表示只能看完其中的一半,剩下的被迫忽略,分析师超过63%的时间都在处理误报,导致无效告警看不完,关键告警看不到。此外,告警的可读性差,60%以上的告警,不知道如何研判、如何处置,平台缺乏有效的研判、处置指引。这些遗漏的海量告警,本身就是企业最大安全“漏洞”,这也是很多网络攻击总能绕过“检测与响应”环节,成功得手的最大原因。
其次是深层威胁难以发现,安全事件无法快速闭环。
对于企业来说,被网络攻击、被监管部门通报、数据泄露等都是比较严重的事件,甚至会成为事故。因此,零事故、不出事是企业最为朴实的目标,然而随着攻防对抗的日益激烈,现有淹没于告警处理的安全运营中心,无法胜任安全防护的需求。例如近年来黑客武器正在民用化、普及化,层出不穷的新型威胁导致攻防实力不对等,攻击者平均突破时间已经缩短至79分钟,记录到的最快突破时间仅需7分钟。同时,现代攻击横跨多个阶段,会在多种设备上留下攻击痕迹,跨数据源的关联分析不足,难以发现深层次威胁。
在复杂威胁难以及时检测的情况下,安全事件快速闭环也成了奢求。由于多数企业安全专家严重匮乏的情况下,爆发安全事件时,往往不知如何调查、如何遏制、如何恢复、如何对事件定性等等;对于自动处置功能的使用也存在诸多顾虑,担心误报威胁、误封重要业务,最终导致相关部门被问责,受处罚等;同时无法验证处置结果是否成功,失败时无法及时人工干预,事件无法闭环导致问题扩大化。
最后是基础监控工作耗费人力,专家人手短缺矛盾愈发加剧。
安全运营中心建成之后,很多企业普遍感觉运营人员的短缺问题非常严重。奇安信对于数百家政企客户的调研发现,处理海量告警需要耗费了大量的安全人力。以20-30人的安全运营团队为例,其中基础安全监控岗的人数是最多的。
同时,对于高级威胁的研判分析、对于安全事件的闭环处理,都需要高水平、经验丰富的安全专家,大多数企业在这方面的专家力量非常短缺,这也导致安全运营中心的价值没有充分发挥出来。
三、运营理念升级,新版NGSOC实现三大跃迁
在2023年11月的世界互联网大会上,奇安信集团举办了NGSOC(态势感知与安全运营平台)产品战略升级发布会,抛出了NGSOC的全新价值主张“专业安全运营,就用NGSOC!”,以及全新产品设计理念——TDIR、首次发布中英文双语版、新版本六大核心能力等。
在董旭看来,新版NGSOC至少在三个方面,实现质的跃迁。
首先是从数据驱动到知识驱动。
在2014年前后,多次爆发的网络安全事件采用的都是未知漏洞或者新型攻击方法,传统黑白名单过滤的防御机制逐渐失效。为此,奇安信提出了“数据驱动安全”理念,并在业内率先建设大数据驱动的态势感知和应急指挥平台。数据驱动安全的核心,是网络安全思想必须由“查漏补缺”向系统规划转变,强调数据、系统和人联动的安全运营,通过将数据的安全价值赋能设备和人,驱动设备协同联动的同时,让人更智能,进而全方位提升防御内外部安全威胁和业务风险的能力。
时至今日,由于攻防对抗的不断升级和变化,仅仅依靠数据和技术平台已经不够,没有专业的安全知识积累,就无从谈起检测、研判、调查、响应等。作为一个知识高度密集的领域,安全运营逐渐从数据驱动迈向了数据+知识双驱动。
新版NGSOC推出的智能告警分诊功能,充分体现了知识驱动安全运营的理念。据介绍,告警分诊是国内外安全运营平台领域的首创技术,它依托强大的行业专家系统,以及大量经过实战检验的领域知识、专业经验等,形成由专家经验模型和人工智能模型共同驱动。该技术能对来自不同设备的告警信息,实现自动过滤误报告警,自动识别精准告警,自动分辨重要告警,自动合并重复告警,自动处置无效告警,并重新分类和优先级排序的能力,预置分诊模型可消除98%以上的告警噪声,常见告警自动分诊率达90%,准确率达90%。最终实现了解除分析师告警疲劳、快速聚焦高价值威胁、大幅缩减平均检出时长(MTTD)等目标。
其次是从关注告警到关注事件。
处理海量告警是安全运营的基础,但要保证企业的“零事故”、“零通报”,还需要依赖于事件调查与响应。这就如同公安部门不仅要接受报警、调查和发现线索,还需要完整的案件侦办和破获。
董旭认为,从关注告警到关注事件,是安全运营自动化跨越的一大步。奇安信新版NGSOC可将相关联告警自动汇聚形成完整事件卷宗,自动补充上下文证据,自动映射MITRE ATT&CK攻击者战术和技术,自动解读攻击者意图、自动识别关键攻击痕迹、自动评估影响面并计算处置对象,即使是复杂事件,也能轻松看懂事件的来龙去脉和完整信息。从实践来看,新版NGSOC在事件调查与响应方面,可以实现1分钟事件定性,5分钟完成影响面评估,轻松完成安全事件的快速闭环
最后是人员堆砌到AI提效。
很多企业都会发现,安全运营是一个非常耗费人力的工作,其中海量告警的是“最大元凶”。国外安全机构近年发布的一项调查报告显示,有超过八成的安全运营团队正在遭受告警疲劳的折磨。可以看出,随着攻击者手法不断翻新,队伍不断壮大,网络攻击的次数呈现出指数级上升的趋势,告警数量也随之不断增加,告警疲劳现象会更加严重。企业的运营人员短缺更加矛盾。
除了告警疲劳之外,安全事件的快速闭环,对专业人才依赖度也非常高。对事件的调查、研判、遏制、恢复、定性等等,都需要安全专家的深度参与,这些都加剧了人手短缺的矛盾,尤其在实战攻防演习期间表现更加明显。
围绕这些挑战,奇安信新版NGSOC提供了AI智能助理功能,它是NGSOC借助本地AI模型和Q-GPT大模型组合开发的一款面向安全运营人员的智能助理,提供专业的安全知识问答,辅助研判、辅助处置,大幅提升运营效率,缓解分析师压力,让响应流程有章可循,实现安全事件的快速闭环。
通过AI的赋能,新版NGSOC很大程度上解决了安全运营工作难度大、重复性高、人力不足、专业人才匮乏,专业知识要求高等业界难题,为政企机构的安全运营中心实现真正的降本增效。
四、结语
Gartner指出,构建安全运营中心(SOC)是一个永无止境的旅程,因为需求不断变化。它需要持续的增长和分析来确保 SOC 的性能不会下降并且其成本不会超出预算。NGSOC作为奇安信集团的核心产品之一,曾是2022年北京冬奥会安全运营中心核心安全监测平台,连续4年在态势感知与安全运营领域市场份额第一,并拥有74家世界500强企业及中央部委头部客户,在经过大量客户实践迭代、多年的打磨后,在2023年实现了真正意义的战略升级。
网络安全只有起点,但没有终点。董旭认为,随着新需求的驱动、新技术的发展,安全运营平台也需要与时俱进。可以预见,随着企业安全运营中心从一二级成熟度到四五级成熟度的加速迈进,新版NGSOC势必将成为企业提升安全能力的核心运营平台。