企业动态

     近日，2023年国家网络安全宣传周在福州正式开幕。活动期间，奇安信现场展出了前不久发布的安全大模型产品Q-GPT安全机器人，引发了与会嘉宾和媒体的广泛关注。

    有嘉宾对奇安信现场工作人员表示，作为安全运营工程师，每天最重要的工作就是从告警中筛选出真正有威胁的安全事件，做好应急处置，但面对海量告警，每天只能疲于应对，很容易忽略真正的威胁，成为企业安全运营最大的隐患和“漏洞”。

    图 央视新闻聚焦Q-GPT安全机器人

    告警疲劳是最大的安全运营漏洞

    奇安信统计数据显示，一个3000人左右的数字企业，平均每天产生约10万条告警信息，但1名有着丰富实战经验的安全专家，平均每天也只能处置不到500条告警。而一个5人的安全运营小组，每天的告警处置上限也就是2500条，这与10万条的告警总量相去甚远。

    因此，告警疲劳就产生了。

    多数与会嘉宾都对此深有体会，表示正在经历告警疲劳。据国外安全机构近年发布的一项调查报告显示，有超过八成的安全运营团队正在遭受告警疲劳的折磨。随着攻击者手法不断翻新，队伍不断壮大，网络攻击的次数呈现出指数级上升的趋势，告警数量也随之不断增加，告警疲劳现象会更加严重。

    据奇安信现场工作人员总结，产生告警疲劳的原因主要包括以下三个方面。

    第一是告警数量过多，远远超出了安全运营人员的处置上限，系统留存的告警信息还没来得及处理，新的告警便已滚滚而来；据统计，平均每个组织每天会看到超过20万个安全告警，每年仅处理误报就会花费130万美元；

    其二，不同安全运营人员技术水平、经验、精力甚至是情绪等参差不齐，导致告警处置的效率、准确率各不相同，影响整体告警研判效率；

    第三，缺乏足够的安全大数据，为告警提供丰富的上下文关联信息，导致安全运营人员很难在短时间内对告警给出准确的判断，也难以制定有效的告警处置优先级排序，“抓小放大”的情况屡有发生。

    “尽管绝大多数告警与黑客入侵或者内部泄密并没有直接关联，但这并不是绝对的。”奇安信工作人员补充说到，事实上由于采用了精湛的伪装技术，某些高级威胁甚至是APT攻击的初始入侵动作，和其他正常操作并无明显差别，很容易导致安全设备的“误判”，给出低危级别的告警，导致深陷告警疲劳泥淖的安全运营人员“轻视”它的存在。

    尤其是当告警数量足够大的时候，这将会是一个大概率甚至是必然事件。

    由此可见，告警疲劳就是安全运营中最大的漏洞。很多时候并不是安全设备没有发现攻击出现了漏报，而是黑客就在眼皮子底下“溜走了”。

    自动研判，解放安全专家生产力

    “新的人工智能时代的到来，会使得整个安全行业、安全生态会进入到一个新的里程碑的阶段。”奇安信集团副总裁、Q-GPT安全机器人负责人张卓这样表示，Q-GPT安全机器人可以接入各种安全设备的告警，甄选并输出有效、高价值的告警，在依托大模型应用框架协同Q-GPT大模型进行智能研判、智能溯源、智能处置等工作，显著提升客户安全运营效率。

    据奇安信测算，一台Q-GPT安全机器人在安全运营方面的效率，相当于60个中高级的安全专家，假设平均每位安全专家每年的人力成本是30万元，那么一台Q-GPT安全机器人就可以产生2000万元的经济效益。

    奇安信现场工作人员表示，Q-GPT不仅能够肉眼可见的降低安全运营成本，而且可以将安全专家从繁重的日常告警处理工作当中解放出来，让他们能够投入到高级攻击手法的研判、防护等前沿网络安全问题的研究中，这就是生产力的解放。

    在数据训练方面，奇安信拥有业内最大规模的安全专家团队、海量的安全知识数据，以及在历年实战攻防演习中锤炼出来的最强攻击能力、防守能力，而且在预训练数据层面，奇安信具有百万亿级的安全日志、文档、知识库、情报类数据，存储体量达数百PB。海量的安全大数据和丰富的实战经验，为Q-GPT提供了强大的告警研判能力、7×24小时一致的工作效率以及丰富的数据视野。

    “打造安全大模型的技术很重要，但更为重要是必须依赖于高质量的知识数据。”张卓强调，经过高质量的数据训练，奇安信有专家来进行反馈学习，有场景来构建任务化的调整，因此构建出了具有领先性的奇安信安全大数据模型，并开始反哺整个奇安信安全能力。

    为了给与会嘉宾更加直观的感受，工作人员还现场展示了Q-GPT安全机器人强大的智能分析和自动研判能力。某客户安全分析平台收到了海量告警，但安全专家的极限，只能对其中很小比例的重要告警进行分析研判，大多数的告警无暇研判分析，导致大量隐蔽攻击被忽视掉，增加了系统安全风险。通过安全机器人，可以实时、自动为客户研判“全部告警”，将需要响应处置的告警过滤出来，解决日常分析安全工程师的“告警疲劳”、“研判疲劳”问题，避免“漏报”和“误报”。

    对于未来，张卓也显得很有信心。他说，如果再通过一两年的迭代，使得Q-GPT的处理效能再提升三倍的话，那一台机器就能够相当于200名以上的安全专家了，产生的收益是5600多万元，这将是一组震惊和吸引人的数字。

    如是，即便告警规模再扩大一些，告警疲劳“漏洞”也一去不复返了。