常规模式下的安全运营建设是否真正达到预期效果?
深信服的观点是没有,甚至是,效果远低于投入。
我们发现,尽管不少头部用户已经构建体系化安全建设,面对有组织的勒索、数据窃取、钓鱼等高对抗威胁时,往往难以第 一时间发现和应对。近两年,“跑不赢攻击者”的情况屡见不鲜,用户安全团队总是陷入被动防御的怪圈。
究其原因,虽然这套安全运营方案以安全大数据为核心底座,汇集了不同安全设备的海量告警和日志,但仅依靠规则、情报、机器学习小模型为数据挖掘和分析内核,没办法有效利用起这些安全大数据,因此无法深度分析海量告警,更难以快速、准确定位重要威胁。
其次,维持和运转这一套平台,成本的投入也远超用户预期。告警研判要投人,规则维护要投人,新增组件接入要投人,哪都需要重度的人力投入。之前就有多个用户向我们反馈:建设平台近千万,运营平台每年还得花100- 200 百万在服务维护上,仿佛陷入“堆人烧钱撑效果”的怪圈。
我们不禁思考:随着数字化转型加速推进,现阶段基于大量用户已有安全运营建设,我们该如何改变“游戏规则”,带领用户“逃离怪圈”?
从「以人为主」向「人机共智」
以AI为核心构建新范式
在安全运营建设中,我们常说要关注“人员、流程、平台”三个要素,并看到大量的能源、金融、政府、大企业用户,的确围绕态势感知平台、安全运营平台等,并结合供应商和内部员工的安全运营人员队伍,构建了一整套运营流程。
但我们可以发现,这种安全建设模式高度依赖于人,人是效果的天 花板,亦是组织的投入短板。
深信服认为,这恰恰是大模型技术应用的重要切入点——用大模型释放人的精力,用大模型承载人的研判分析逻辑,乃至超越人的能力、精力和成本瓶颈。
2023 年 5 月,深信服于国内首发安全GPT,其中运营大模型展示了安全GPT通过自然语言对话辅助运营人员开展日常工作,承载超80%的分析排查工作。
仅过了 4 个月,深信服发布了安全GPT 2.0,实现了安全运营“智能驾驶”——安全GPT化身虚拟安全专家,坐镇用户现场自主值守,运营人员 1 人即可守护数万资产。
深信服认为,安全GPT作为出谋划策、发号施令的大脑,离不开健全的躯干与四肢。而躯干就是开放的XDR平台,四肢就是各类型、各厂商网络、终端、服务器安全组件。
组件产生的日志、告警,汇聚到开放的XDR平台之上,安全GPT通过平台读取和处理安全大数据,研判理解之后再用自然语言和安全人员进行有效交互。同时,研判结果也可以通过安全GPT,经过开放平台下发至组件。
这就是深信服为用户构建的一套安全新范式——以AI为内核的“开放平台+领先组件+云端服务”。
安全GPT+XDR双擎
夯实安全运营效果底座
当前,安全GPT运营大模型已上线100+用户,覆盖金融、能源、政府等各行业。在安全GPT的加持下,用户安全运营工作夯实了“效果”底座,收获了一波“口碑”:
辅助驾驶:自然语言对话式运营,承载超80%的分析排查工作
“这个能力让小白也能做实战值守”
安全GPT告警Payload解读能力达到 5 年以上高 级专家水平,被用户高频使用,用户评价“这个能力让小白也能做实战值守”。
“一句话统计数据和排查筛选实现工作效率飞跃”
相比传统平台中查询检索的方式,资产、漏洞、告警的统计排查和筛选极大提升工作效率,同样被用户高频使用。
“对于网络安全垂直领域的知识解读更准确”
相较于搜索引擎与通用大模型,更加深度理解网络安全知识,提供更贴合用户使用场景的安全百科知识解读。
智能驾驶:安全运营自主值守, 1 人即可守护数万资产
“让运营人员在广度和深度上都能做全局把控”
在广度上,运营人员 1 人即可守护数万资产,每天只需关注安全GPT逐一研判后定位的日均10+条高危告警,准确度超过97%。在深度上,安全GPT对任意一条告警都可解释,直观呈现完整分析过程,帮助运营人员更好理解攻击意图、完成研判决策。
“ 3 个 1 分钟,极大降低MTTD/MTTR”
针对每一条告警,安全GPT提供详尽的自主思维链研判结果,运营人员进行简单的追问和处置动作,即可实现 1 分钟事件解读、 1 分钟分析确认、 1 分钟响应处置,极大降低MTTD/MTTR,实现更快的威胁发现、处置闭环。
“直接减少对应人员成本投入”
以往组织单位需要每年投入10* 20 万元/人的成本进行实战值守,现在通过安全GPT即可直接减少对应人员成本支出。
改变安全运营「游戏规则」
安全GPT未来已来
犹如传统燃油汽车进化到新能源智能汽车,安全运营工作在技术创新中不断升级进化。
安全GPT变革了安全运营的旧面貌,摆脱以人为主的传统模式,让昼夜不停的工作放心交给机器,突破安全运营“降本增效”的技术瓶颈,让AI技术真正成为乃至超越人类专家。
我们相信,改变安全运营“游戏规则”,安全GPT未来已来。
带着如此坚定的信念,接下来,我们将持续训练优化安全GPT,以更智能的方式对抗不同威胁场景。
(推广)