随着数字经济的蓬勃发展,数据安全和网络安全的重要性日益凸显。在数字经济时代,数据已成为企业的核心资产,而网络安全则是保障数据安全的基石。然而,面对不断变化的攻击模式、扩大的攻击面以及日益复杂的安全事件,许多企业的安全运营(SOC)面临着严峻的挑战。
攻击智能化、自动化、扩大化
当前,随着AI技术在各个领域的普及,黑客攻击手段呈现爆发式增长。比如,其利用AI制作攻击脚本,不仅降低了攻击门槛,还提高了攻击者的效率,导致攻击行为数量激增。同时,攻击者还利用AI模拟更加真实的登录、浏览行为,以绕过安全防护验证,给传统安全防护手段带来了严峻挑战。
此外,邮件内容二维码“藏毒”、未知威胁攻击和有针对性的高级威胁APT攻击等安全威胁趋势愈演愈烈。不仅如此,为了获得更高的收益,网络犯罪集团继续扩大攻击目标的范围。例如,在OT领域,网络犯罪分子把矛头更频繁地指向制造业以外的行业,已瞄准医疗保健、公用事业、金融、石油和天然气以及运输等行业。
随着网络犯罪行业的不断演进,Fortinet预测 2024 年及未来将呈现出一些全新的攻击趋势。全球各地的安全团队需对此保持高度警惕。首先是攻击将会更加激进和更具破坏性;其次是零日漏洞将越来越多的被交易,这将带来更加广泛的破坏;还有AI等技术会让木马传播更快,造成企业内部威胁持续上升。
安全运营面临前所未有挑战
随着网络攻击模式的不断变化和攻击面的扩大,安全运营面临着前所未有的挑战。根据国际权威分析机构ESG的调查报告,半数以上的组织反馈,相较于两年前,安全运营变得更加困难。勒索、欺诈等危害事件频发,企业遭受的损失不仅包括高昂的赎金和生产损失,还有名誉损害的风险。
行业内众所周知,企业安全团队经常被警报淹没,也很难及时正确识别、调查和补救关键威胁。结果可能是导致企业高风险的安全态势,不但容易遭受初始入侵,威胁停留时间更长,最终发生数据泄露的机率也更高。简而言之,“告警疲劳”、“人员技能短缺”、“产品设备环境复杂”等已成为企业普遍面临的难题。
据Fortinet研究发现,由于缺乏专家人员、分析师负担过重、威胁调查不足,导致产生严重网络安全后果的风险增加,2022 年企业平均需要 16 到 207 天才能检测到潜藏的以及实施中的企业中的威胁,50% 的组织受到勒索软件的影响,52% 的专业人士报告说,当今的安全运营比几年前更难。
SecOps结合GenAI
准确与速度的平衡之道
数字化进程中,攻击低门槛、智能化、自动化和复杂化的趋势,已经让网络安全攻守之势严重失衡。在这个背景下,SecOps与生成式人工智能(GenAI)的结合为企业安全运营提供了新的解决之道。
Gartner预测“到 2028 年,威胁检测和事件响应中的GenAI应用将从人工智能实施占比的 5% 上升到 70%,主要起到辅助作用而不是取代员工。同时,由于 GenAI技术的广泛采用网络安全技能差距将会缩小,从而消除 50% 的入门级网络安全职位对专业教育的需求。”
简而言之,GenAI能够为分析师提供即时的网络安全情报和最佳实践,在无缝嵌入到 SecOps 产品工作流程中时,可以借助上下文感知能力提供更加准确且可直接操作的信息,并指导、简化和自动化安全分析师的活动,帮助分析师做出最佳决策、快速响应威胁并节省复杂任务的时间。
建立在AI和自动化上的SecOps
因此,一个好的SecOps安全运营平台应该能做到结合AI与自动化的技术,同时整合不同的平台与设备,以应对不断变化的攻击模式,进行快速的响应。Fortinet SecOps正是建立在AI和自动化基础上的网络安全运营平台,旨在加速发现和应对网络入侵的时间。
作为一个整合的安全运营平台,它包含各类具备AI检测能力且跨攻击面的设备,各设备通过Fortinet Security Fabric安全架构集成,形成数据共享与响应联动。同时以FortiSOAR为核心,通过自动化编排构建集中式的分析和响应平台。
FortiSOAR可以直接从FortiSIEM/FortiAnalyzer或其它日志平台获取告警信息,在出现告警的情况下,FortiSOAR利用威胁情报和与其它设备的交互来丰富告警信息,确定其风险以及真实性。
在分析调查过程中,FortiSOAR可以编排不同的调查行为,比如自动获取和提交样本到沙箱分析,从EDR或SIEM平台查询日志,搜寻其它设备类似的风险。一旦对威胁进行充分的分析,就可以采取补救措施,如生成通知、工单,或者自动化操作(如端点隔离或防火墙策略更新)。
FortiAI:Fortinet SecOps的智能引擎
Fortinet SecOps的人工智能引擎源于FortiAI。作为基于 GenAI 的新型安全助手,它使用自然语言和生成式 AI 来指导、简化和自动化安全分析师活动,并无缝集成到 FortiSIEM 和 FortiSOAR 等 SecOps 产品的用户体验中,以帮助优化威胁调查和响应、SIEM 查询、SOAR 剧本创建等。在 FortiAI 的帮助下,安全团队可以做出更迅速和明智的决策、快速响应威胁并节省复杂任务的时间。
FortiAI能够自动分析威胁事件并发出警报,在秒级生成事件摘要以及背景和潜在影响的基础上,告知网络安全分析师恶意软件特征、攻击者群体概况和所使用的策略,并通过建议特定的威胁补救措施、自动化手册和威胁搜寻指标,以及创建可立即付诸实施的 FortiSOAR 自动化脚本来帮助分析师快速响应威胁。
Fortinet一直提倡Security Fabric体系,它致力于构建平台化的解决能力,而非单点设备的安全能力。Fortinet有着开放的生态,广泛与第三方厂商深度集成,FortiSOAR当前已预制集成产品种类550+,可以基于企业组织现有网络产品,方便快捷地构建安全运营平台。除先进技术外,Fortinet 还引入了一套增强型 FortiGuard 专家服务,包括 SOC 即服务,以简化SecOps流程,提升安全人员技能和工作效率。
高效闭环 安全运营
总结来说,Fortinet SecOps作为针对安全事件进行高效闭环的安全运营平台解决方案,能够为企业组织带来“自动化警报分类和处理”、“最大限度地减少对多工具的依赖性”、“减少分析师负担”等优势,使得企业网络安全运营操作更加标准化和自动化,提高企业对攻击的响应速度。
在数字经济时代,数据安全和网络安全的重要性不言而喻。面对不断变化的攻击模式、扩大的攻击面以及日益复杂的安全事件,企业需要采用先进的安全运营平台来保障自身的数据安全和网络安全。Fortinet SecOps安全运营平台以其结合AI与自动化技术、整合不同的平台与设备、数据共享与响应联动等特点,为企业提供了一GHz速度运行的安全运营系统,优化了整个SOC的响应速度和准确性。