企业安全运营模式的转变
安全运营的困惑
看告警,看的到底是什么?
企业侧AISecOps
单一维度告警评估的两难困境
多维度可扩展告警评估技术的总体框架
引擎一:攻击意图评估
攻击意图的获取
整体流程
特征选取
回归
实验结果
引擎二:行为关联分析
分析思路
构建图
分析方法——利用图结构信息
分析结果
引擎三:低频事件挖掘
告警置信度评估效果
综合分析:推荐-反馈
“人工”与“智能”密不可分
《多维度可扩展的企业侧威胁评估》探讨了现代企业安全运营模式的变化以及面临的挑战,重点关注在海量告警中如何有效地进行威胁评估。随着网络安全威胁的日益复杂,传统的安全运营模式已经无法满足需求,由静态防御转向动态监控和响应。然而,告警数量的爆炸性增长使得安全团队面临筛选关键信息的难题。
告警评估的关键在于避免漏掉真正的威胁同时减少无用告警的干扰。传统的筛选方式如按告警风险等级、规则、IP或资产筛选等,往往存在局限性。企业侧AISecOps(人工智能安全运营)引入了新的评估技术,旨在通过多维度分析提高准确率和覆盖率。
攻击意图评估引擎通过分析告警载荷来判断攻击者的行为意图,例如区分低试探性、高试探性和利用性攻击。例如, IPS告警中的PHP代码执行尝试可能是恶意行为的初步探查,也可能是无害的漏洞扫描。通过构建模型量化评估攻击者的关注程度,可以更精确地评估潜在威胁。
行为关联分析引擎利用图分析方法,挖掘告警之间的关联性,从而发现隐藏的攻击模式。这种方法能揭示看似无关的告警可能构成的攻击链,提高威胁检测的深度和广度。
再者,低频事件挖掘引擎通过时频分析,识别那些可能被常规过滤策略忽略的异常活动,比如低频的C&C通信或恶意软件传播。这些低频事件往往代表了潜在的高级威胁。
告警评估技术的总体框架整合了上述引擎,对原始告警进行预处理、回归分析、模式计数、聚合,以及利用图分析和时频分析进行评分,最终提供高信心的威胁评估结果。这个过程强调了人机协同,结合人工智慧与人工经验,形成一个不断学习和优化的循环。
企业安全运营需要从单一维度的告警评估向多维度可扩展的评估转变,利用智能技术提高威胁识别的准确性和效率。这要求安全团队不仅要有深厚的技术底蕴,还需要掌握数据分析和模型构建的能力,以应对不断演变的网络威胁。通过这样的综合评估框架,企业可以更有效地应对安全挑战,保护自身免受攻击。
