圖:騰訊安全平臺部安全策略專家 聶利權(quán)
企業(yè)安全運營效能難題:威脅感知與運營處置
產(chǎn)業(yè)互聯(lián)網(wǎng)時代,近幾年各行各業(yè)都在不斷升級自己的信息基礎(chǔ)設(shè)施,傳統(tǒng)企業(yè)對安全的投入也日益增加����。而在黑客手法持續(xù)升級和業(yè)務(wù)發(fā)展效益至上的背景下,企業(yè)也面臨著安全運營效能與運維成本的難題�����。
“傳統(tǒng)安全策略難以平衡覆蓋率,和準(zhǔn)確率和告警量過大導(dǎo)致運營效率低下的問題尤為突出��?�!甭櫪麢?quán)提到,在企業(yè)日常安全運營,尤其是大型重點活動安全保障期間,“寧肯錯殺,不可漏過”的防護策略逐漸成為常態(tài),容易對業(yè)務(wù)造成誤傷��。另外,重保時期系統(tǒng)平臺可能在短時間內(nèi)涌現(xiàn)大量安全告警,為此企業(yè)通常需要花費大量安全運維成本來進行響應(yīng)處置�����。
針對企業(yè)安全運營的兩大難題,騰訊安全治理平臺(以下簡稱“天幕”)基于自研實時全流量分析平臺及內(nèi)部沉淀的海量告警樣本,訓(xùn)練部署了智能威脅研判引擎,從“智能感知”和“智能運營”兩方面入手,借助深度學(xué)習(xí)���、異常檢測以及無監(jiān)督聚類等方法,輔助企業(yè)整體提升安全運營效能,真正實現(xiàn)降本增效�。
智能感知:自動捕獲細微異常行為,協(xié)助業(yè)務(wù)及時止損
高級攻擊手法往往缺乏顯著的黑特征,傳統(tǒng)攻擊檢測方案對此類惡意行為難以識別和防御,或僅能針對特定服務(wù)作風(fēng)險特征適配����。而騰訊天幕基于海量且多維的威脅樣本庫,結(jié)合無監(jiān)督異常檢測算法,有效增強了對細微行為異常的感知能力。
“正常的用戶總是相似的,而異常的用戶各有各的異常�����?���!睋?jù)聶利權(quán)介紹,通過AI算法的深度應(yīng)用,天幕智能威脅研判引擎把細微的訪問行為聚類在一起,從而顯現(xiàn)和放大攻擊者的作惡意圖���。此外,借助實時和離線結(jié)合的多維深度學(xué)習(xí)模型,平臺能夠從零散的弱威脅告警中關(guān)聯(lián)挖掘出高階安全事件,如識別異常流量中的Web攻擊變種繞過等,從而發(fā)現(xiàn)潛在高風(fēng)險行為。
基于智能感知能力,天幕在某客戶的版權(quán)內(nèi)容盜版�����、多源低頻密碼暴破等實踐案例上都第一時間捕獲了作惡者的異常行為,成功幫助客戶業(yè)務(wù)及時止損,并獲得客戶致謝����。
智能運營:AI自動化聚類處置,幫助企業(yè)提效創(chuàng)益
在智能運營方面,聶利權(quán)認為,有效的威脅運營是企業(yè)安全防護的關(guān)鍵一環(huán)。當(dāng)前企業(yè)每日安全告警中大約有98%的無效告警,對無效告警或低價值威脅告警的人力投入,是對企業(yè)運維成本的巨大虛耗��。而傳統(tǒng)的告警歸并方案,對于關(guān)鍵字段存在持續(xù)變換的參數(shù)值時無能為力,且隨著威脅檢測策略的增多,歸并規(guī)則的維護成本也不斷增加�。
為更好地解決當(dāng)前相似告警重復(fù)判斷的問題,天幕通過智能聚類算法將相似告警聚合,不但能達到遠優(yōu)于傳統(tǒng)方案的歸并效果,還能有效挖掘出同類攻擊者行為,便于更高層的安全事件抽象和分析。
當(dāng)前,天幕已結(jié)合AI+可視化技術(shù)升級了產(chǎn)品形態(tài),提供威脅等級區(qū)分�、批量告警一鍵處置等功能,便于運維人員高效開展威脅處置工作。此外,天幕將核心威脅管控能力API化,支持第三方檢測設(shè)備協(xié)同聯(lián)動,能夠在企業(yè)網(wǎng)絡(luò)架構(gòu)中與已有安全產(chǎn)品無縫銜接,整體提升企業(yè)的安全運營效率,幫助客戶節(jié)流增效�����。
騰訊安全AI深度應(yīng)用,為企業(yè)智能化運營“打輔助”
安全運營的科技化�����、精細化、智能化升級已成為行業(yè)共識���。作為騰訊原生安全的底層基礎(chǔ)架構(gòu),天幕的自研智能威脅研判能力,已經(jīng)深度應(yīng)用在泛金融�����、汽車、泛互聯(lián)網(wǎng)等的企業(yè)網(wǎng)絡(luò)安全架構(gòu)中,持續(xù)輸出智能化的網(wǎng)絡(luò)數(shù)據(jù)實時分析和阻斷能力,為外部客戶和內(nèi)部自研業(yè)務(wù)提供日常運營及重點保障安全服務(wù)�����。騰訊天幕將持續(xù)打磨和升級安全AI能力,為企業(yè)網(wǎng)絡(luò)安全運營提效打好輔助,繼續(xù)攜手合作伙伴共建產(chǎn)業(yè)互聯(lián)網(wǎng)安全生態(tài)���。
