自从加入网安赛道,你有多久没按点下班了?
回想当初,不论是心动于网安赛道的高薪收入还是执着于内心的英雄主义想要守护网络空间的和平安宁,曾经的安全运维都是如假包换的“知识密集型”岗位。
但如今随着数字化进程的全速推进,人工智能的便捷红利扑面而来,当更多的数据与信息暴露在网络中,网络空间的安全态势也变得愈发多元、复杂且攻击频发,这不仅让企业的业务运行与经济收益时刻面临严峻威胁,更让安全运维人陷入到无休止的消耗中。
传统的安全处置模式在监测、研判、通知、协同、处置等各个环节都会过度依赖人工,于是当攻击发生时,身在实战一线的运维人也总会经历这样的场面:
·在各种设备前上下翻飞,被设备中的海量数据搞到头秃……
·在各种系统中来回跳切,任回家的末班车渐行渐远……
·黑客永远在白天按兵不动,却偏偏在凌晨三点你刚躺在床上的那一刻发起攻击……
·你纵有三头六臂,但面对各个设备、各类平台激增的告警量仍旧应接不暇……
安全运维的岗位已然从知识密集型演变成劳动密集型,但自己头顶的毛发却早已稀疏到不行……
如何用智能化的手段提升运维人的幸福指数,让运维人不再被动响应做事后诸葛,告别IT民工实现无人的值守和自动化的秒级响应,近日四川中烟工业有限责任公司(以下简称“四川中烟”)依托“智能化、自动化的新型安全运营管理体系——网络安全风险智能决策平台”给出了一套最佳的实践案例。
为实现高效的安全管理和自动化响应,网络安全风险智能决策平台采用了分层架构设计,其中:
接入层:实现多源日志接入,同时构建原子化能力调用资源池。
功能层:对海量信息进行清洗、转换,基于规则引擎和AI算法,对经过处理的数据进行深度解析,生成安全建议或直接触发自动化响应动作。
运营层:构建一体化综合运营中心。
网络安全风险智能决策平台以围绕安全事件,重点提升威胁的发现能力(监、检、测)和处置能力,依托全网的信息采集、信息分析等基础能力建设,以智能预警为基础,在既有信息安全防护体系基础上,结合新型网络安全技术,底层运用大数据技术夯实底层数据基石,中层利用人工智能提升核心安全分析能力,上层应用可视化技术直观展示数字化安全态势感知。自下而上全面构建持续性安全监测、分析、预警、响应的网络安全态势感知体系,真正实现安全威胁的主动感知和联防联控,推动全行安全威胁感知整体能力升级。
目前,平台已逐步成为四川中烟安全运营中枢,现阶段已落地并稳定运行的剧本包括:外网安全威胁自动核查封堵、漏洞扫描与自动化复核、终端安全事件处置、威胁情报/企业微信通报处置、链路与核心设备状态监测、VPN异常事件处置、周期性统计与趋势分析报表生成等。
典型剧本如下:
(1)外网安全威胁自动核查封堵
(2)漏洞扫描与自动化复核
(3)终端安全事件处置
通过本次项目建设,四川中烟利用网络安全风险智能决策平台建立了各类安全处置工作的标准化流程步骤和应对措施,打造出“威胁感知、分析定位、智能决策、响应处置”的快速安全闭环能力,有效提升整体安全效果和安全运维效率,以及安全管理和监督指导能力,实现“自动响应闭环、持续安全运营”的整体目标。
(1)运维人的机敏哨兵,提升安全防御能力
通过全面监控全网环境,实时发现并阻止恶意活动,显著增强公司的网络安全防护能力,能够在第一时间捕捉到潜在威胁,并采取有效的预防措施,从而减少安全事件的发生概率。
(2)减少运维人重复劳动,优化资源配置
让专业人员投入到更高价值的工作中去,提高了工作效率和资源利用率。自动化和智能化的任务分配机制,使技术人员可以从繁琐的日常维护工作中解脱出来,专注于更具挑战性的研究和发展项目。
(3)提升响应效率,让运维人按时下班
利用机器学习算法分析海量数据,快速定位问题根源,并采取有效措施进行修复,大大缩短了平均响应时间。通过预定义的工作流和自动化响应机制,能够在几秒钟内完成原本需要数小时甚至数天才能完成的操作,极大地提高了应急处理的速度和准确性。
(4)促进跨部门协作,合力守护安全
打破信息孤岛,建立统一的安全管理体系,实现各部门之间无缝对接,提升了整体协同作战的能力,有效促进不同职能部门间的紧密合作,形成了合力对抗安全威胁的良好局面。