复杂的企业环境中,安全运营人员每天需要处理大量的告警,这些告警对应的攻击可能成功,可能失败,也可能是个误报。这不仅令人疲于应对,还可能导致真正的威胁被忽视,尤其是识别极具因隐蔽性和复杂性的APT攻击,已成为安全行业面临的一大难题。
即使嗅到了APT的蛛丝马迹,还要对告警进行进一步分析才能做出处置,这又高度依赖拥有强大知识储备和丰富工作经验的顶级安全专家。而大多数企业缺乏高级安全人才,面对海量告警结果通常是不了了之。
360安全智能体(AI Agent)成功自动捕获APT组织
日前,某金融机构的财务人员收到一封Paypal海外支付邮件,打开附件后发现全篇都是韩文。同一时间,公司安全部运营人员的屏幕前自动生成了一条红色紧急告警,告警提示:“检测到与APT-C-28恶意服务器进行通信”。
- 这个告警是从哪儿来的?
- 告警对应的攻击成功了吗,对企业资产造成了哪些影响?
- 该过程可能还涉及其他威胁吗?
- 该做出哪些处置措施?
这位安全运营人员带着上述问题点开了“详情”,不到一分钟,一份密密麻麻的分析报告,包含研判结果、智能解读、攻击链路图、受害者资产分析、攻击者分析、处置建议……尽收眼前,悬着的心终于放下,按照指示对这次威胁进行了处置。
以上是一起发生在某金融机构的一起真实案例。360介绍称,这是全球首次系统在无人类专家介入下,智能化捕获APT攻击,而这一切都要归功于一个特殊的AI Agent——360安全智能体。
在上面的事件中,无需借助人类专家就实现APT捕获发现,是一个基于360安全智脑大模型的智能体(AI Agent)系统——360安全智能体,它融入了秒级响应的云端安全分析能力、万亿大数据、威胁情报响应、全球最强实战攻防专家经验。
那么,这次攻击发生的同时,360安全智能体究竟做了什么?
精准识别告警
在财务人员点开邮件并打开带毒附件的同时,360安全智能体就凭借探针矩阵识别出了可疑样本,随即计算、检索和关联,模拟安全专家进行类人化深度分析,将海量告警快速“去噪”,顺利筛选出这条紧急告警,然后立即通过本地安全大脑通知用户。
攻击溯源
同时,360安全智能体自动调用威胁溯源引擎,依托集成了360十多年攻防对抗经验的知识云,模拟安全专家对已有的关联事件进行分析,迅速追溯到最初的攻击点是一份伪装成账单(paypal)的钓鱼邮件,用户可以一目了然知道问题出在哪里。
绘制攻击链
锁定了攻击源头,360安全智能体开始全面梳理此次攻击全过程,通过自动调用攻击链路分析引擎,结合攻防知识图谱将攻击过程中使用的各种技战术,子节点进行串联,从而展示出完整的攻击链路,效果不输资深分析专家绘制的攻击链路图。
该攻击链显示攻击者使用了模版注入技术,投放带宏病毒的恶意文件,运行后释放恶意样本,将窃密模块注册为一个系统服务,收集系统敏感数据,并通过网络渗出数据。
攻击研判
悉数掌握了攻击过程,那么来者究竟何人?360安全智能体先将整个攻击过程中涉及的技战术、威胁情报等建立威胁模型,经过与360多年高级威胁狩猎积累的海量情报进行特征对比,发现该条攻击条目与360智能体威胁模型中的APT-C-28相似度99%,遂得出此次研判结果:攻击者为APT-C-28。
受害者资产分析
随即,360安全智能体调用资产分析引擎,对这家公司所有受害者资产进行分析,结果显示:除了触发告警的财务人员电脑,DNS服务器、WEB服务器等均已失陷。根据报告提示,安全运营人员第一时间对这些重点资产进行了处理,最大程度降低了公司财产损失。
至此,一次由360安全智能体自动化执行的APT猎杀行动完成。
智能化安全专家 开启智能主义新纪元
数字时代,网络攻击表现行为复杂多变,使用传统人工规则分析方式将存在很多局限,AI技术是解决此类问题的重要手段。360安全智能体以大语言模型为大脑驱动,具有目标理解、逻辑推理、效果评估、知识记忆等能力,支持连接、配置、驱动、协同各类安全工具产品,能够显著提升单个产品和系统整体的安全能力,使安全运营效率最大化。
360安全专家介绍,360安全智能体已经突破了自动化威胁狩猎、自动化安全运营等场景的各难点步骤。它就像隐形的“大白”,如果说安全运营有100个步骤,安全分析平台完成80个,剩下20个难点,如告警研判、攻击链路绘制、威胁情报比对、受害者资产分析、攻击者归属分析、溯源、安全报告生成等,这些都高度依赖安全运营人员的技术和经验,现在360安全智能体能够自动化完成。
用户只负责设定目标、提供资源和监督结果,360安全智能体自动完成任务拆分、工具选择和进度控制等,然后把执行结果返回给用户。这意味着,一个安全人员只要用好安全智能体,就能展现出专家水平。
360表示,360安全智能体的出现,不仅是一次技术革新,更是在AI大模型时代下的一次行业突破,标志着安全行业从传统的能力主义步入了智能主义的新纪元,这种转变不仅体现在技术层面的飞跃,更在于对数字安全理念的深刻重塑。它代表了安全技术与人工智能大模型结合的新高峰,为数字安全领域带来了前所未有的智能化能力。
未来,随着AI技术的不断进步,我们有理由相信,智能主义将为安全行业带来更广阔的发展空间,为全球数字安全提供更为坚实的保障。