11月8日,在2023年世界互联网大会上,奇安信集团举办了NGSOC产品战略升级发布会,作为奇安信集团的核心产品之一,NGSOC曾是2022年北京冬奥会安全运营中心核心安全监测平台,连续4年在态势感知与安全运营领域市场份额第一,拥有74家世界500强企业及中央部委头部客户,相关技术参与或牵头10项国家/行业态势感知与安全运营领域标准制定中。这个拥有不少辉煌战绩的产品在经过多年的打磨后,进行了产品战略升级,受到广泛关注。
本次发布会有几大亮点,包括NGSOC全新产品设计理念——TDIR、首次发布中英文双语版、新版本六大核心能力以及NGSOC的全新价值主张“专业安全运营,就用NGSOC!”
聚焦TDIR,中英双语版本同时亮相
一直以来,威胁检测和事件响应(TDIR)是安全运营团队的首要任务。但网络安全攻防不对等以及碎片化的特性,决定了安全运营的道路上充满了太多不确定性,资产、日志、告警、流程等,每一项都令人头痛不已。
“完整的安全运营中心,总是有着大量的安全产品、大量的供应商、海量的告警和日志,以及各种各样的待办事项。”奇安信安全运营PBU总经理董旭表示,随着企业数字化建设的程度逐步加深,数字资产、暴露面以及网络攻击规模的不断扩大,无疑也加重了安全分析和运营的工作负担,安全运营人员不得不投入大量精力在大量重复的工作中,从而导致了更加难以发现有效威胁,已成为业界面临的共同难题。
依托国内外建立的3000家安全运营中心的丰富实践,奇安信态势感知与安全运营平台NGSOC秉持“专业品牌、专业技术、专业知识、专业服务”的产品理念,力求通过业界最可靠的安全领军品牌、最先进的安全技术、最顶尖的专家知识、最专业的服务体验,为全球安全运营中心(SOC)提供最专业的产品及服务。
奇安信NGSOC能够快速整合现有安全工具和能力,自动消除来自多种设备的告警噪声,精准检测边界、网络、端点、身份、应用和云等六大维度的网络威胁,提供跨数据源的全局威胁可视性,开箱即用的安全内容包,可覆盖354项MITRE ATT&CK攻击者技战术,搭配专业的驻场运营服务和远程运营服务(MSS),帮助用户轻松驾驭威胁检测、分诊、调查、响应(TDIR)的各个环节,让真实威胁无处遁形,让攻击者无法隐藏。
值得注意的是,本着立足中国第一,迈向全球领先的目标,奇安信还面向海外客户,同步推出了英文版本NGSOC,提供一致的安全运营能力支撑。
六大核心能力升级,安全运营降本增效
据董旭介绍,经过数年的打磨,奇安信全新NGSOC在六大方面实现了重磅升级。
奇安信安全数据分析语言(QAL),是奇安信NGSOC团队的多年研发成果,是一种数据分析层的专用语言,超越SQL的语义表达能力,为各类异构数据源预置了连接器,大大简化了数据利用难度,以较低的成本提供快速的场景扩展能力,提升安全分析和威胁狩猎的效率。QAL内置向量化执行引擎,支持多种复杂处理逻辑,提供多种实用的机器学习算法,用于对安全数据的深度挖掘。
交互分析模式:管道式语言,可基于搜索结果逐层下钻分析,深挖威胁,是面向专业分析师的溯源检索工具。提供10种命令,80+种函数。
胶囊分析模式:鼠标点选即可获取搜索条件,提供直观清晰的操作运算符。可切换至分组模式,通过树形结构直观展示条件关系,覆盖日常分析搜索场景,零学习成本,不懂搜索也能完成分析工作。
事件调查与响应——1分钟事件定性,5分钟完成影响面评估
从告警到事件,安全运营自动化又跨越了一大步。奇安信NGSOC可将相关联告警自动汇聚形成完整事件卷宗,自动补充上下文证据,自动映射MITRE ATT&CK攻击者战术和技术,自动解读攻击者意图、自动识别关键攻击痕迹、自动评估影响面并计算处置对象,即使是复杂事件,也能轻松看懂事件的来龙去脉和完整信息。
NGSOC提供终端、身份、应用、数据、网络、云等6大维攻击面充分的威胁可见性,覆盖了MITRE ATT&CK 框架中的 354 种技术(总计 595 种),业界排名第一,对于流行的 ATT&CK 技术,覆盖率达到 97% (97/101)。预置2400+解析规则、1200+关联规则、100+分诊模型,多种仪表板、报表、快速检索语句,开箱即用,当日生效。支持1000+种数据源的自动化解析,无需人工配置。此外,NGSOC可独立在线升级,无需升级产品,持续不间断增强进行安全监测。
更准、更快、更少、更好,四大价值凸显专业安全运营
多年实践显示,多数政企机构安全运营都存在五大难题,即无穷无尽的告警,难看完;永不停歇的攻击,难检测;不断泛滥的工具,难整合;专业人才的匮乏,难闭环;安全运营的成果,难度量。
针对以上五大难,新版NGSOC能够帮助客户更准发现威胁、更快完成运营、更少依赖专家、更好体现成果。
难看完?六大核心能力之一智能告警分诊,解除告警过载问题,消除分析师告警疲劳,内置专家模型,灵活自主配置,可消除98%噪声。平衡误报和漏报,快速发现真实有效的威胁,缩短平均检测时间MTTD。
难检测?依托关联分析通过关联分析(IOA)、行为分析(IOB)、情报分析(IOC)三种高级检测模式,开箱即用的预置模型,业界第一的MITRE ATT&CK攻击者技战术检出率,可精准发现复杂威胁。面对0day漏洞爆发或新型威胁,用户可快速自主配置检测模型(可视化建模),3分钟即可完成,自如应对新型威胁或突发事件。实现分析无死角,监测无盲区,少通报,免处罚。
难整合?2400+解析规则可轻松接入1000+种主流安全设备数据,实现数据的统一分析。100+种安全设备对接,可自动化联动处置或通知通报,安全事件高效闭环,整合现有安全能力,实现1+1>2,提升整体安全建设的投资产出比。
难闭环?NGSOC核心能力之事件调查与响应,可自动识别攻击者手段、自动解读攻击者意图、自动评估影响面和计算处置对象,提供缓解措施,帮助分析师1分钟事件定性,5分钟完成影响面评估。AI智能助理,通过简答对话可下发任务完成运营工作,提供专业的安全知识问答,辅助研判、辅助处置,大幅提升运营效率,缓解分析师压力。让响应流程有章可循,实现安全事件的快速闭环。
难度量?多维可视化大屏,呈现安全建设成果及网络安全健康情况,清晰展示量化指标,重点关注事件、丰富的可视化报表和详情汇总,让网络安全工作“可量化、可评估”,安全成果清晰可见。
本次发布的NGSOC新版本在客户实践过程中受到了专业客户的认可,来自某大型制造企业安全运营负责人认为,新版本NGSOC,以“TDIR”为核心的安全运营方法论让我们印象深刻,其中智能分诊和智能助理,给我们一线的分析师很大的帮助,协助我们提升了安全运营的效率,我们期待与奇安信保持长期合作,共同成长。
此外,英文版本也受到了某跨国企业安全运营负责人的认可,“新版本,让我每天需要关注的告警比之前降低了80%, 事件更易追踪闭环, 报告也不需要自己写, 这些新特性确实帮助我提高了安全运营工作效率。”
“专业安全运营,就用NGSOC”
经过多年的打磨和实践,NGSOC研发团队又经历了深入且广泛的客户调研,重塑价值主张,提出“专业安全运营,就用NGSOC”的口号,依靠“专业品牌、专业技术、专业知识、专业服务”为客户创造价值,更准发现威胁、更快完成运营、更少依赖专家、更好体现成果。
董旭强调,网络安全只有起点,但没有终点。随着新需求的驱动、新技术的发展,安全运营平台也应与时俱进。
首先是高性能。随着数字化转型的逐步完成,企业要处理分析的数字信息已经比过去几年放大了很多倍,现代安全运营平台需要处理每秒数十万的安全信息(EPS),实时检测和分析其中潜在的威胁,就必须具备高性能的实时处理能力。
其次是高交互。现代攻击横跨多个阶段,在不同的安全设备上都会留下痕迹,安全运营平台采集了各种来源的数据和资产信息,需要给分析师提供高效的交互式分析工具,帮助在不同数据类型间完成狩猎分析。
第三是AI驱动。生成式AI时代的到来,给人们很多的习惯带来了颠覆式的改变,安全行业同样不例外,安全行业最大的痛点就是:这是一个知识高度密集的行业,没有专业的安全知识,无从谈起检测、研判、调查、响应,而AI学习知识的速度远远超越人类,未来的安全运营,AI绝不会取代人类,但是它会贯穿安全运营的很多方面,帮助人类高效解决知识型问题。
第四是自动化。除了AI之外,自动化还包括了自动化响应与编排,自动化数据接入与解析,自动化的告警分诊、事件解读等等,无论用什么技术,更多的自动化才能从根本上解决安全行业专业人才匮乏的现实问题。
第五是丰富安全内容。Gartner也明确指出未来的安全运营平台,不能单纯提供工具,还应该提供更加丰富的开箱即用的安全内容,它包括各类分析模型、监控仪表板、报告模板、响应剧本等等,真正让运营平台开箱即用,减少生效周期。
第六是开放生态。现代安全运营中心,平均所使用的安全工具或技术,高达40余种,快速有效的集成各种厂商品牌的各种设备,提升安全建设整体的投资产出比,是安全运营平台应该具备的特征,避免运营效率不升反降!
好文章,需要你的鼓励
临近年底,苹果公布了2024年App Store热门应用和游戏榜单,Temu再次成为美国下载量最多的免费应用。
云基础设施市场现在已经非常庞大,很难再有大的变化。但是,因为人们可以轻松地关闭服务器、存储和网络——就像开启它们那样,预测全球云基础设施开支可能非常困难。