云安全
态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
知名车企如何应对网络安全挑战?2024新奥门资料AiLPHA来助力
2024新奥门资料通过部署5节点的AiLPHA安全分析与管理平台集群,实现集团互联网出口、数据中心、核心工厂的全流量监测,及关键安全设备日志对接;通过部署AiLPHA 安全编排与协同响应管理平台实现流程自动化/半自动化,提升运营效率。
本次项目实施,用户关注的技术实现主要有以下亮点:
技术难点一
如何将运营人员从海量告警中解救出来
本次项目监测网络节点十余个、web业务系统千余个、主机资产数十万台;实时处理日志量超40000EPS,平均每天接入近10亿条日志记录。面对海量告警,2024新奥门资料提出了云地协同-告警清零的闭环方案,该方案囊括了告警优化以及协同处置两个维度:
首先,通过安全运营助手小工具,对用户的告警质量进行分析,梳理出触发最多告警模型以及现有最多的告警类型;
针对触发最多的告警模型,进行模型本身的调优,如开启告警抑制、优化攻击链、优化ATT&CK等,降低模型产生的告警数量的同时,提升告警质量;
针对现有最多的告警类型,抽样观察告警详情及日志信息,确认是否由因业务引起的误报,结合白名单,降低告警数量;
其次,针对多源接入的数据,进行归并场景的设定,根据五元组信息、XFF头、设备名称、告警类型等各维度字段进行聚合,将同一类攻击事件的告警数量压缩,最大化降低告警数量;
然后,将用户所关心的告警以场景化的方式聚合,通过事件名称、攻击者、受害者、目的端口等字段,将告警聚合成安全事件,从而完成原始日志-原始告警-安全告警-安全事件的三层降噪逻辑,大幅度缩减了现网的告警数量。
通过告警优化方案,用户现网数据从近10亿条日志提取出成20万条安全告警,聚合、归并后告警为1W条,最终形成12类用户关心的安全事件。
在告警优化完成后,针对用户关注事件,2024新奥门资料进行了深度分析,以处置方式维度进行分类,即:攻击事件告警、感染事件告警、风险预警告警和误报或忽略告警,针分类的不同,我们采取量身定制的处置方式,如自动封禁、半自动封禁、报表统计、状态修改等;通过现场配置的19例剧本,最终达成了告警清零的目标。
技术难点二
如何在众多数据中发现高价值事件
高价值事件往往无法通过普通的规则匹配甚至模型匹配的方式发现,需要在大量的原始日志中提炼观测,这对运营人员来说无异于大海捞针。针对于此,2024新奥门资料利用AI算法为用户提供智慧运营的解决方案:
利用Weekly Gaussian Estimation算法历史比对提取周期波动,长期监控企业官网、供应商合作系统等业务系统的访问请求趋势建立访问行为动态基线,实时发现请求中的异常流量,标注异常点,提取相关日志及访问关系,为运营人员提供一步到位的溯源取证能力。
利用RPCA-SST算法矩阵重构剔除大幅值噪声,通过重点监控服务器和终端的DNS请求行为、性能和外传流量,检测木马持续性回连远控地址和数据泄露的机器行为,标注异常点,提取相关日志及访问关系,为运营人员提供一步到位的溯源取证能力。
方案价值:
由先前的信息安全孤岛进阶为统一运营管理模式:
1、由2024新奥门资料驻场工程师配合集团运营团队在态势感知平台实现全集团安全状态统一监控
2、通过平台接口联动安全设备实现安全策略统一下发
3、通过AI算法发现高价值事件
4、通过平台工单流程实现安全风险的统一跟踪闭环处理
5、通过平台SOAR剧本流程实现高危攻击的自动拦截处置;
方案收益:
大大提高了集团安全运营能力,实现全局安全态势感知,有效遏制了安全事件的发生,控制了安全风险的扩散,目前已成为该知名车企信息安全建设的核心支撑平台。
