蓬勃发展的AI技术已经渗透到各个领域,重塑千行百业。在我国网络安全领域,各路厂商正积极拥抱AI技术,将其与安全运营的各个环节深度融合,推动安全运营向自动化、智能化方向发展。各厂商基于自身的技术积累、产品优势和对客户需求的理解,纷纷推出各具特色的AI创新应用,呈现出百花齐放的态势。
AI应用的广泛度和成熟度
智能化安全运营(ISOC)将AI技术与传统SOC应用相结合,贯穿于安全运营的各个环节,可以实现更精准的威胁检测、更快速的事件响应、更全面的安全感知、更智能的安全决策支持。安全牛认为,目前ISOC的典型应用场景主要包括风险识别、威胁检测、事件响应、运营管理、知识问答和专家辅助。在安全牛即将发布的《智能化安全运营中心应用指南(2025版)》中,对这些应用场景进行了深度的分析。
图片
一、风险识别
对于拥有大量IT资产和复杂网络环境的组织,传统SOC面临诸多问题:一方面,传统SOC需要定期进行渗透测试来评估安全防御体系的有效性,但其漏洞管理依赖人工操作,效率低下且容易出错;另一方面,面对数量庞大、种类繁多且变更频繁的IT资产,传统SOC的管理方式效率低、易出错,难以全面掌握资产全貌和实时安全状态,无法有效满足组织的安全管理需求。
图片
通过AI技术赋能风险识别的各个环节,实现从被动到主动的资产管理、从人工到自动的风险评估、从割裂到闭环的漏洞管理,为构建更具主动性、更智能的安全运营体系奠定了基础,尤其是在资产管理、风险评估和漏洞管理三大场景中。
图片
智能化风险识别
1.资产管理
ISOC利用机器学习、知识图谱等技术,可以实现资产的自动发现、分类、检测并关联,主要应用于实现智能化的资产梳理,提升资产梳理的效率。
智能化赋能
- 利用机器学习模型等技术,可以自动识别资产类型、操作系统、应用软件等,实现资产自动发现与识别;
- 利用自然语言处理技术,从资产配置文档、漏洞描述中提取关键属性信息,并根据资产属性对资产进行分类和标记(例如,服务器、工作站、数据库、Web应用等);
- 利用机器学习模型,检测资产配置变更,识别潜在风险;
- 利用知识图谱技术,构建资产之间的关联关系图谱。例如,应用与服务器的依赖关系、用户与设备的关联关系等。
智能化优势
- 提高资产盘点效率:自动化资产盘点,降低人工成本;
- 全面掌握资产信息:提供完整、准确的资产清单,消除管理盲区;
- 及时发现资产变更:快速识别未授权的资产变更,降低安全风险;
- 可视化资产关系:通过知识图谱,清晰显示资产之间的关联关系,从而进行风险评估和事件调查。
2.风险评估
智能化赋能
- 强化学习:自动化漏洞扫描、漏洞利用、攻击路径规划;
- 机器学习:漏洞利用选择、攻击策略优化;
- 知识图谱:目标系统信息收集、攻击路径规划;
- 自然语言处理:漏洞报告生成。
智能化优势
- 提高渗透测试效率:自动化执行渗透测试,缩短整个测试周期;
- 降低渗透测试成本:减少对人工渗透测试专家的依赖;
- 扩大渗透测试覆盖面:对目标系统进行更全面、更深入的安全测试;
- 提高渗透测试质量:发现更多潜在的安全漏洞。
3.自动化渗透测试和漏洞全生命周期管理
智能化赋能
- 利用自然语言处理技术,读取CVE并解析漏洞描述、提取关键信息,如CVE编号、CVSS评分、影响范围、修复建议等;
- 利用机器学习模型,根据漏洞的严重程度、可利用性、影响范围等因素,对漏洞进行优先级排序。利用知识图谱技术,分析漏洞与资产、应用、业务的关联,评估漏洞的影响范围,根据漏洞类型、资产配置等因素,推荐最佳修复方案,并持续验证安全控制的有效性;
- 利用知识图谱技术,收集目标系统的相关信息(例如,网络、应用软件、开放端口、服务配置等);
- 利用自动化漏洞扫描工具和机器学习模型,识别目标系统存在的漏洞,选择最有可能成功利用的漏洞,规划最佳攻击路径并自动执行漏洞利用,获取系统权限。最后自动生成渗透测试报告,包括发现的漏洞、攻击路径、修复建议等。
智能化优势
- 自动化漏洞管理流程:提高漏洞管理效率,降低人工成本;
- 确定风险修复优先级:优先修复高危漏洞,降低安全风险;
- 准确评估漏洞影响范围:避免盲目修复,减少业务中断时间;
- 提供智能修复建议:加快漏洞修复速度,提高修复质量。
二、威胁检测与研判
传统SOC存在诸多局限性,基于规则的威胁检测方法误报率和漏报率高,难以应对高级威胁并准确评估安全告警的优先级;面对海量日志数据,人工分析效率低下且容易出错,难以发现有价值的安全信息;在威胁情报处理上,人工分析难以应对数量庞大、来源多样且质量参差不齐的情报,无法有效利用;对于内部威胁,如账户盗用、异常登录等用户异常行为难以识别;在安全事件调查中,人工分析大量数据效率低且易出错,难以快速准确地梳理事件脉络和确定根本原因及影响范围,亟需自动化手段提升调查效率和准确性。
图片
ISOC借助AI技术,在威胁检测、告警降噪、情报生成利用、0day和高级威胁检测以及事件调查等多方面实现智能化升级,有效提升了安全运营的效率、准确性和科学性,构建了更智能、高效的安全运营体系。
智能化威胁检测
1.威胁检测
ISOC可以通过对日志、业务流量及安全告警数据等进行检测和识别潜在威胁及异常行为,特别是APT攻击、0-day漏洞攻击、无文件攻击等高级威胁,提高威胁检测的覆盖范围和效率,降低误报率和漏报率。
智能化赋能
- 深度学习:利用深度学习模型分析网络流量、终端行为等数据,检测网络入侵检测、恶意软件分析、漏洞利用等行为;
- 机器学习:利用机器学习进行威胁分类、威胁评分、误报过滤。如对安全告警进行分类和评分,识别出高风险的告警;
- 用户和实体行为分析:用户异常行为检测。如异常登录、异常访问等;
- 知识图谱:利用知识图谱将安全事件与威胁情报进行关联,评估事件的风险等级。
智能化优势
- 提高威胁检测准确率:降低误报率和漏报率;
- 检测高级威胁:识别传统方法难以检测的高级持续性威胁(APT);
- 加快威胁响应时间:快速识别和定位威胁,加快响应速度;
- 提升安全运营效率:智能化威胁检测和评估,减轻安全评估负担。
2.告警降噪
ISOC利用自然语言处理技术,解析非结构化日志数据,提取关键信息(如时间、IP地址、用户名、事件类型等);利用机器学习模型,检测异常日志事件,如登录失败次数过多、异常文件访问等,对日志进行分析,识别常见的日志模式,并分析日志事件序列,识别潜在的攻击行为;利用知识图谱技术,关联不同来源的日志数据,攻击事件的完整流程。主要应用于通过AI技术对海量告警进行精准降噪,减少误报,将真正告警从大量无效告警中提取出来。
智能化赋能
- 自然语言处理:日志解析、关键词提取、语义分析。如从日志中提取源IP地址、目标IP地址、端口号、协议类型、事件类型等;
- 机器学习:异常日志检测、日志模式识别;
- 深度学习:日志序列分析、攻击行为识别;
- 知识图谱:日志关联分析、事件溯源。如将来自不同安全设备的日志进行关联,发现隐藏的攻击链。
智能化优势
- 智能化日志分析:提高日志分析效率,降低人工成本;
- 快速发现安全事件:及时识别异常日志事件,发现潜在威胁;
- 提高事件调查效率:通过日志关联分析,快速定位事件原因;
- 提升设备采集能力:从海量日志数据中提取有价值的安全信息,全面了解安全设备。
3.情报生成和利用
ISOC可以利用自然语言处理技术,从情报报告中提取关键信息(如攻击者、攻击手段、漏洞信息、IOC等),自动生成情报摘要,方便安全分析师快速了解情报内容;利用知识图谱技术,关联不同来源的情报,构建威胁知识图谱,从情报中提取威胁指标(IP地址、漏洞、APT组织信息等),用于威胁检测;利用机器学习模型,根据情报的来源、时效性、相关性等因素,对情报进行优先级排序;翻译和处理不同语言的威胁情报。主要应用于利用AI技术进行威胁情报的提取,提升威胁情报的准确率。
智能化赋能
- 自然语言处理:利用自然语言处理提取威胁情报中的关键信息,例如IOC、攻击者画像和技术等,并实现威胁情报的情报信息提取、情报摘要生成、情报真伪判断的流程智能化。如从安全报告、博客、论坛等来源收集威胁情报,并将其应用到威胁检测中;
- 知识图谱:情报关联分析、威胁指标提取。如构建威胁情报知识图谱,将不同来源的威胁情报关联起来,形成更全面的威胁情报视图;
- 机器学习:情报优先级排序、情报可信度评估。对威胁情报进行评分,评估威胁情报的可信度和相关性;
- AI智能体:自动将威胁情报应用到安全设备和系统中,例如更新防火墙的阻止列表、IDS/IPS的签名库、EDR的检测规则等。
智能化优势
- 智能化情报分析:提高情报分析效率,降低人工成本;
- 快速获取关键情报:及时了解最新的安全威胁和攻击趋势;
- 提高威胁检测能力:利用威胁情报,提高威胁检测的准确性和时效性;
- 加强威胁情报共享:与合作伙伴共享威胁情报,共同防御网络攻击。
4.0day和高级威胁检测
ISOC可以解读日志数据,识别系统故障、配置错误及异常行为。利用机器学习模型,为每个用户构建行为画像,描述其正常的行为模式。实时监控用户行为,与用户行为画像进行对比,检测异常行为。对检测到的异常行为进行智能风险评分,确定威胁等级。对高风险异常行为同样发布,并触发相应的响应措施。
智能化赋能
- 机器学习:用户行为建模、异常行为检测、风险评分;
- 深度学习:序列行为分析、长期行为模式学习;
- 集成学习:结合多个模型,提高检测准确率。
智能化优势
- 检测内部威胁:识别内部人员的不当行为或账户泄露;
- 降低误报率:通过学习用户正常行为模式,减少误报;
- 提高威胁响应速度:及时发现和阻止内部威胁;
- 加强账户安全:预防账户被盗用或积分。
5.事件调查
ISOC利用AI智能体赋能可以显著提升安全事件分析的效率和深度,如利用知识图谱技术,关联不同来源的数据,构建事件关系图谱,还原攻击者的攻击路径,分析攻击者的特征和行为模式,利用自然语言处理技术,自动生成事件摘要,方便安全分析师快速了解事件情况。利用LLM帮助快速生成调查报告。帮助安全分析师快速、准确地了解事件的来龙去脉,确定事件的根本原因和影响范围,并为响应和提供更可靠的决策支持。
智能化赋能
- 知识图谱:事件关联分析、攻击还原路径、攻击者画像。如还原攻击路径,帮助安全分析师了解攻击者的攻击步骤;
- 自然语言处理:事件摘要生成、调查报告撰写。如从安全事件描述、日志信息等文本数据中提取关键信息,辅助安全分析师进行调查;
- 机器学习:攻击源定位、攻击手段识别。如进行根本原因分析,例如识别导致数据泄露的漏洞或配置缺陷;
- 自动生成报告:利用大语言模型(LLM)自动生成和优化调查报告。
智能化优势
- 提高事件调查的效率和准确性;
- 帮助安全分析师更快地找到事件的根本原因和影响范围;
- 为安全事件的响应和处置提供更全面的信息支持。
三、事件响应
安全事件响应需要快速、准确,传统SOC手动响应方式效率低、易出错。通过AI赋能,ISOC可以实现安全事件响应的智能化和自动化,以及安全报告的自动生成,从而大幅提升安全运营的效率和效果,降低安全风险。
图片
ISOC通过AI赋能实现安全事件响应的智能化和自动化,包括自动化响应、智能决策、动态调整策略及报告自动生成等功能,大幅提升安全运营效率和效果,降低安全风险,同时减轻分析师负担并减少人为错误。特别是AI智能体的应用,使得ISOC能够更智能地进行响应决策和自动化编排,提升事件响应效率和报告的快速生成。
图片
ISOC利用SOAR平台、AI智能体的赋能可以大幅提升安全事件的响应速度和效率,缩短安全事件的响应时间(MTTR),减少安全事件造成的损失,并实现更精细化和自动化的响应,实现安全事件的自动响应和处置,从而减少人工干预。比如说,定义各种安全事件的响应流程,如恶意软件感染响应流程、DDoS攻击响应流程等。利用机器学习模型,根据威胁类型、影响范围等因素,选择最佳响应动作,如隔离受感染主机、阻止恶意IP地址、封锁用户账户等,并自动执行响应动作,事后利用强化学习技术,根据响应效果,动态调整响应策略。
智能化赋能
- 智能的响应决策:根据事件的类型、影响范围、风险等级以及当前的威胁预警,利用进行响应决策,并推荐最佳的响应措施;
- 智能化响应预案生成:根据预定义的响应策略和当前的事件信息,自动生成针对该事件的响应预案,包括具体的响应步骤、负责人、时间要求等;
- 与SOAR平台的无缝集成:SOAR平台自动执行预案中的自动化操作,例如调用各个安全设备的API接口进行隔离、阻止、清除等操作;
- 动态调整响应策略:根据响应措施的执行效果和威胁的变化,动态调整响应策略,实现自适应的响应;
- 自动化的响应验证:配合相关平台(如EDR、NDR)进行模拟攻击或漏洞扫描,验证响应措施的有效性。
智能化优势
- 提高响应效率:快速响应安全事件,减少响应时间;
- 减轻分析师负担:使专家聚焦分析处理更复杂的安全问题;
- 降低安全风险:及时阻止威胁扩散,减少安全损失;
- 减少人为错误:自动化执行响应动作,避免人为操作失误。
四、运营管理
随着运营管理范围的扩大,安全运营业务覆盖到模拟演练、数据安全和合规等领域。传统的安全演练方式存在投入大、难以模拟真实复杂攻击场景的问题,难以高效提升安全团队的应急响应能力;数据安全管理主要依赖人工梳理和配置策略,难以全面、准确、及时掌握企业数据安全现状;合规评估也依赖人工操作,工作量大、效率低、易出错,难以保证全面性和一致性,且难以应对不断更新变化的合规要求。因此,组织需要更高效、简洁、可重复的模拟演练方式,以及更自动化、智能化的数据安全管理和合规评估手段,以提升整体安全管理水平。
图片
ISOC通过引入人工智能技术,特别是AI智能体,实现了安全运营管理的高效智能化、自动化,能够帮助企业更、更全面地进行资产管理、风险评估、合评估规范,并提供智能化的决策支持,提升整体安全管理水平。
图片
1.模拟演练
ISOC利用LLM生成演练剧本,包括攻击目标、攻击策略、时间线等,并实现模拟演练的计划、模拟攻击和报告生成。
智能化赋能
- 利用知识图谱构建演练环境模型,包括网络拓扑、资产信息、漏洞信息等;
- 利用强化学习训练攻击者自动发现漏洞、利用漏洞、规划攻击路径;
- 利用AI生成恶意流量、钓鱼邮件、恶意软件样本。利用自然语言处理模拟攻击者的通信和行为;
- 利用SOAR平台编排防御流程,模拟安全团队的响应操作;
- 利用机器学习模型进行威胁检测和事件分析。自动执行演练,记录攻击方和防御方的行为。评估演练结果,分析防御方的优势和不足;
- 利用自然语言处理和LLM自动生成演练报告,包括演练过程、发现问题、改进建议等。
- 钓鱼邮件生成,如根据用户输入的钓鱼邮件主题,大模型自动生成对应内容的钓鱼邮件,满足不同场景下的钓鱼需求,并提供钓鱼邮件所需要点,助力用户提升撰写钓鱼邮件技巧。
智能化优势
- 更真实的模拟场景:更真实的场景,模拟更复杂,提高演练的效果;
- 更高效地演练:自动化执行演练,减少人力和时间投入;
- 更可重复的演练:可以多次重复执行演练,增强不同防御策略的效果;
- 更全面地评估:全面评估安全团队的应急响应能力和安全防御水平。
2.数据安全
企业普遍面临数据资产模糊、数据识别敏感不准、数据访问权限混乱、数据流动不可视、数据安全风险难以评估等问题。
智能化应用赋能
- 智能化数据资产发现:利用AI智能体自动发现和识别企业内部外部的各种数据资产,包括云端数据库、本地数据库、文件服务器、SaaS应用、终端设备等,并识别数据类型、数据格式等;
- 标记数据分类分级:利用自然语言处理、机器学习等技术,自动识别和分类敏感数据,例如个人身份信息(PII)、财务、知识产权、商业机密等,并根据数据的敏感程度进行分级;
- 数据访问权限梳理:自动化分析和整理数据访问权限配置,识别权限过大、权限中断、权限冲突等问题。AI智能体可以通过解析IAM系统、数据库配置等信息,自动构建数据访问权限图谱;
- 数据流自动发现:结合NDR和机器学习技术,自动发现和异构数据流地图,展示数据在不同系统、不同用户之间的流动情况,并识别异常的数据流动行为;
- 人工智能驱动的风险评估:利用人工智能模型(如风险评估模型、异常检测模型)对数据资产的安全风险进行评估,并识别高风险的数据资产;
- 智能化安全策略:AI智能体可以根据数据配置的分类分级结果和风险评估结果,自动生成或优化数据安全策略,例如数据访问控制策略、数据加密策略、数据脱敏策略等;
- 持续监控与动态调整:AI智能体持续监控数据安全增量,并根据威胁情报、安全事件、用户行为等信息,动态调整数据安全策略。
智能化优势
- 全面性:更全面地发现和识别数据资产,覆盖各种类型和位置的数据;
- 准确性:更准确地识别和分类敏感数据,减少人工标记的错误和遗漏;
- 实时性:实时监控数据访问和流动情况,及时发现数据安全风险;
- 自动化:自动化执行数据安全装载的各个部分,提高效率,降低成本;
- 可视化:以可视化的方式展示数据安全现状,帮助安全团队更好地了解数据安全状况。
3.合规评估
企业需要遵守各种安全法规、行业标准和内部策略,企业需要及时了解和适应这些变化ISOC可以帮助企业实现合规评估的自动化、定制化和持续化,从而提高合规性管理的效率和效果,降低合规风险。AI智能体在其中扮演着重要的角色,它自动化地执行合规评估的各个环节,并提供定制的决策支持。
智能化应用赋能:
- 利用NLP技术,自动获取和解析各种安全法规、行业标准和内部策略文档,提取出关键的合规要求,将提取出的合规要求转化为机器可理解的格式,例如构造数据表或知识图谱。例如,AI智能体自动解析数据安全的文本,提取出与安全相关的条款,例如加密、数据访问控制、数据泄露相关数据通知等要求;
- AI智能体自动调用安全使用工具或脚本,对企业的IT系统、网络设备、安全设备等进行安全配置检查。将检查结果与提取出的合规要求进行比较,自动识别出不符合要求的配置项。例如:检查数据库服务器是否开启审计功能。检查防火墙规则是否足够多。检查用户账号的密码是否符合复杂度要求。检查终端是否安装防病毒软件,并且病毒库是否为最新;
- 基于知识图谱的合规性评估:构建安全合规知识图谱,将安全法规、行业标准、企业内部策略、IT资产、安全配置等信息关联起来。利用图谱和规则引擎,对企业的安全合规性进行评估,并识别出不符合要求的项。例如,判断某个系统是否满足等级保护三级的要求;判断某个业务流程是否符合数据安全的要求;
- 自动化合规生成报告:AI智能体根据合规检查和评估的结果,自动生成合规报告,包括检查的范围、发现的问题、整改建议等。
智能化优势:
- 提高效率:自动化执行合规性检查和评估任务,极大地提高工作效率;
- 降低成本:减少人工检查的工作量,降低合规成本;
- 提升准确性:减少人为错误,提高合规性检查的准确性和一致性;
- 全面覆盖:可以对企业的IT系统和安全措施进行更全面的合规性检查,避免遗漏;
- 及时更新:能够及时跟踪安全法规和标准的变化,并更新合规性检查规则;
- 持续监控:可以持续监控企业的合规状态,及时发现和整改不符合要求的项目。
五、知识问答和专家辅助
威胁告警研判需要一定的安全知识和专家经验,传统SOC主要依赖人员专家的分析,往往面临专家短缺的困难,运用安全专业知识增强大语言模型,从而形成针对安全领域的智能问答推理、问题解决和决策支持的专业能力。如利用算法提取相关特征,如网络流量特征、系统调用序列、API调用序列等,使用标注数据训练深度学习/机器学习模型,并利用训练好的模型实时分析安全数据,检测威胁,应用于提高对流量、日志中的异常检测和分析能力。
图片
ISOC可以利用智能体提供专业的安全知识,通过自然语言交互问答方式辅助分析师,获取安全专业知识和系统业务数据以及围绕安全运营、安全运维相关的措施手段,如推荐研判方法,提供详细的相关资料,并生成实时的安全建议和指导方案支持专家的判断等。
知识问答和专家辅助智能体
智能化赋能
- 机器学习算法和人工智能模型。通过对大量历史安全数据的学习,建立正常网络行为模型,当出现与模型不符的异常行为时,立即发出警报,提高威胁检测的及时性和准确性;
- 利用AI技术对告警进行深度分析,利用专家经验模型和人工智能算法,对告警进行分类和筛选,根据告警的特征、来源、关联关系等因素,判断告警的重要性和真实性。
智能化优势
- 辅助识别潜在威胁。对采集到的数据进行实时分析,快速准确地识别出潜在威胁,减少人工干预。将安全运营人员从海量告警中解放出来,聚焦关键威胁。
