2019年11月7日，騰訊Techo開(kāi)發(fā)者大會(huì)在京舉辦，云安全技術(shù)與應(yīng)用分論壇上，來(lái)自騰訊安全平臺(tái)部的安全策略專家聶利權(quán)分享了對(duì)企業(yè)安全運(yùn)營(yíng)現(xiàn)狀的思考，并介紹了騰訊安全治理平臺(tái)通過(guò)智能威脅研判，助力網(wǎng)絡(luò)安全運(yùn)營(yíng)提效的探索和實(shí)踐。

圖：騰訊安全平臺(tái)部安全策略專家 聶利權(quán)

企業(yè)安全運(yùn)營(yíng)效能難題：威脅感知與運(yùn)營(yíng)處置

產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代，近幾年各行各業(yè)都在不斷升級(jí)自己的信息基礎(chǔ)設(shè)施，傳統(tǒng)企業(yè)對(duì)安全的投入也日益增加。而在黑客手法持續(xù)升級(jí)和業(yè)務(wù)發(fā)展效益至上的背景下，企業(yè)也面臨著安全運(yùn)營(yíng)效能與運(yùn)維成本的難題。

“傳統(tǒng)安全策略難以平衡覆蓋率，和準(zhǔn)確率和告警量過(guò)大導(dǎo)致運(yùn)營(yíng)效率低下的問(wèn)題尤為突出。”聶利權(quán)提到，在企業(yè)日常安全運(yùn)營(yíng)，尤其是大型重點(diǎn)活動(dòng)安全保障期間，“寧肯錯(cuò)殺，不可漏過(guò)”的防護(hù)策略逐漸成為常態(tài)，容易對(duì)業(yè)務(wù)造成誤傷。另外，重保時(shí)期系統(tǒng)平臺(tái)可能在短時(shí)間內(nèi)涌現(xiàn)大量安全告警，為此企業(yè)通常需要花費(fèi)大量安全運(yùn)維成本來(lái)進(jìn)行響應(yīng)處置。

針對(duì)企業(yè)安全運(yùn)營(yíng)的兩大難題，騰訊安全治理平臺(tái)(以下簡(jiǎn)稱“天幕”)基于自研實(shí)時(shí)全流量分析平臺(tái)及內(nèi)部沉淀的海量告警樣本，訓(xùn)練部署了智能威脅研判引擎，從“智能感知”和“智能運(yùn)營(yíng)”兩方面入手，借助深度學(xué)習(xí)、異常檢測(cè)以及無(wú)監(jiān)督聚類等方法，輔助企業(yè)整體提升安全運(yùn)營(yíng)效能，真正實(shí)現(xiàn)降本增效。

智能感知：自動(dòng)捕獲細(xì)微異常行為，協(xié)助業(yè)務(wù)及時(shí)止損

高級(jí)攻擊手法往往缺乏顯著的黑特征，傳統(tǒng)攻擊檢測(cè)方案對(duì)此類惡意行為難以識(shí)別和防御，或僅能針對(duì)特定服務(wù)作風(fēng)險(xiǎn)特征適配。而騰訊天幕基于海量且多維的威脅樣本庫(kù)，結(jié)合無(wú)監(jiān)督異常檢測(cè)算法，有效增強(qiáng)了對(duì)細(xì)微行為異常的感知能力。

“正常的用戶總是相似的，而異常的用戶各有各的異常。”據(jù)聶利權(quán)介紹，通過(guò)AI算法的深度應(yīng)用，天幕智能威脅研判引擎把細(xì)微的訪問(wèn)行為聚類在一起，從而顯現(xiàn)和放大攻擊者的作惡意圖。此外，借助實(shí)時(shí)和離線結(jié)合的多維深度學(xué)習(xí)模型，平臺(tái)能夠從零散的弱威脅告警中關(guān)聯(lián)挖掘出高階安全事件，如識(shí)別異常流量中的Web攻擊變種繞過(guò)等，從而發(fā)現(xiàn)潛在高風(fēng)險(xiǎn)行為。

基于智能感知能力，天幕在某客戶的版權(quán)內(nèi)容盜版、多源低頻密碼暴破等實(shí)踐案例上都第一時(shí)間捕獲了作惡者的異常行為，成功幫助客戶業(yè)務(wù)及時(shí)止損，并獲得客戶致謝。

智能運(yùn)營(yíng)：AI自動(dòng)化聚類處置，幫助企業(yè)提效創(chuàng)益

在智能運(yùn)營(yíng)方面，聶利權(quán)認(rèn)為，有效的威脅運(yùn)營(yíng)是企業(yè)安全防護(hù)的關(guān)鍵一環(huán)。當(dāng)前企業(yè)每日安全告警中大約有98%的無(wú)效告警，對(duì)無(wú)效告警或低價(jià)值威脅告警的人力投入，是對(duì)企業(yè)運(yùn)維成本的巨大虛耗。而傳統(tǒng)的告警歸并方案，對(duì)于關(guān)鍵字段存在持續(xù)變換的參數(shù)值時(shí)無(wú)能為力，且隨著威脅檢測(cè)策略的增多，歸并規(guī)則的維護(hù)成本也不斷增加。

為更好地解決當(dāng)前相似告警重復(fù)判斷的問(wèn)題，天幕通過(guò)智能聚類算法將相似告警聚合，不但能達(dá)到遠(yuǎn)優(yōu)于傳統(tǒng)方案的歸并效果，還能有效挖掘出同類攻擊者行為，便于更高層的安全事件抽象和分析。

當(dāng)前，天幕已結(jié)合AI+可視化技術(shù)升級(jí)了產(chǎn)品形態(tài)，提供威脅等級(jí)區(qū)分、批量告警一鍵處置等功能，便于運(yùn)維人員高效開(kāi)展威脅處置工作。此外，天幕將核心威脅管控能力API化，支持第三方檢測(cè)設(shè)備協(xié)同聯(lián)動(dòng)，能夠在企業(yè)網(wǎng)絡(luò)架構(gòu)中與已有安全產(chǎn)品無(wú)縫銜接，整體提升企業(yè)的安全運(yùn)營(yíng)效率，幫助客戶節(jié)流增效。

騰訊安全AI深度應(yīng)用，為企業(yè)智能化運(yùn)營(yíng)“打輔助”

安全運(yùn)營(yíng)的科技化、精細(xì)化、智能化升級(jí)已成為行業(yè)共識(shí)。作為騰訊原生安全的底層基礎(chǔ)架構(gòu)，天幕的自研智能威脅研判能力，已經(jīng)深度應(yīng)用在泛金融、汽車、泛互聯(lián)網(wǎng)等的企業(yè)網(wǎng)絡(luò)安全架構(gòu)中，持續(xù)輸出智能化的網(wǎng)絡(luò)數(shù)據(jù)實(shí)時(shí)分析和阻斷能力，為外部客戶和內(nèi)部自研業(yè)務(wù)提供日常運(yùn)營(yíng)及重點(diǎn)保障安全服務(wù)。騰訊天幕將持續(xù)打磨和升級(jí)安全AI能力，為企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)提效打好輔助，繼續(xù)攜手合作伙伴共建產(chǎn)業(yè)互聯(lián)網(wǎng)安全生態(tài)。