首頁 > 關于我們 > 安恒動態(tài) > 2024 > 正文

知名車企如何應對網絡安全挑戰(zhàn)？安恒信息AiLPHA來助力

閱讀量：次 文章來源：安恒信息

用戶簡介：歷經近30年的成長，某知名車企已成為一家擁有IT，汽車及新能源三大產業(yè)群的新技術民營企業(yè)。公司在全國建有數(shù)個生產基地，并在全球多國設有分公司或辦事處，現(xiàn)員工總數(shù)達數(shù)十萬人。

項目背景：其次，有利于提高政府和社會公眾維護國家安全的法律意識。強化責任意識，提高大家維護國家安全的能力。

安全挑戰(zhàn)：與此同時，汽車企業(yè)的供應鏈錯綜復雜，隨著車聯(lián)網技術的快速普及，網絡攻擊面也在不斷擴大。集團亟需一套能夠全面兼顧整體網絡安全態(tài)勢的運營平臺，盤活已有安全設備，以應對日益嚴峻的網絡安全挑戰(zhàn)，保障集團業(yè)務信息安全。

安恒信息通過部署5節(jié)點的AiLPHA安全分析與管理平臺集群，實現(xiàn)集團互聯(lián)網出口、數(shù)據(jù)中心、核心工廠的全流量監(jiān)測，及關鍵安全設備日志對接；通過部署AiLPHA 安全編排與協(xié)同響應管理平臺實現(xiàn)流程自動化/半自動化，提升運營效率。

本次項目實施，用戶關注的技術實現(xiàn)主要有以下亮點：

技術難點一

如何將運營人員從海量告警中解救出來

本次項目監(jiān)測網絡節(jié)點十余個、web業(yè)務系統(tǒng)千余個、主機資產數(shù)十萬臺；實時處理日志量超40000EPS，平均每天接入近10億條日志記錄。面對海量告警，安恒信息提出了云地協(xié)同-告警清零的閉環(huán)方案，該方案囊括了告警優(yōu)化以及協(xié)同處置兩個維度：

告警優(yōu)化

首先，通過安全運營助手小工具，對用戶的告警質量進行分析，梳理出觸發(fā)最多告警模型以及現(xiàn)有最多的告警類型；

針對觸發(fā)最多的告警模型，進行模型本身的調優(yōu)，如開啟告警抑制、優(yōu)化攻擊鏈、優(yōu)化ATT&CK等，降低模型產生的告警數(shù)量的同時，提升告警質量；

針對現(xiàn)有最多的告警類型，抽樣觀察告警詳情及日志信息，確認是否由因業(yè)務引起的誤報，結合白名單，降低告警數(shù)量；

其次，針對多源接入的數(shù)據(jù)，進行歸并場景的設定，根據(jù)五元組信息、XFF頭、設備名稱、告警類型等各維度字段進行聚合，將同一類攻擊事件的告警數(shù)量壓縮，最大化降低告警數(shù)量；

然后，將用戶所關心的告警以場景化的方式聚合，通過事件名稱、攻擊者、受害者、目的端口等字段，將告警聚合成安全事件，從而完成原始日志-原始告警-安全告警-安全事件的三層降噪邏輯，大幅度縮減了現(xiàn)網的告警數(shù)量。

通過告警優(yōu)化方案，用戶現(xiàn)網數(shù)據(jù)從近10億條日志提取出成20萬條安全告警，聚合、歸并后告警為1W條，最終形成12類用戶關心的安全事件。

協(xié)同處置

在告警優(yōu)化完成后，針對用戶關注事件，安恒信息進行了深度分析，以處置方式維度進行分類，即：攻擊事件告警、感染事件告警、風險預警告警和誤報或忽略告警，針分類的不同，我們采取量身定制的處置方式，如自動封禁、半自動封禁、報表統(tǒng)計、狀態(tài)修改等；通過現(xiàn)場配置的19例劇本，最終達成了告警清零的目標。

技術難點二

如何在眾多數(shù)據(jù)中發(fā)現(xiàn)高價值事件

高價值事件往往無法通過普通的規(guī)則匹配甚至模型匹配的方式發(fā)現(xiàn)，需要在大量的原始日志中提煉觀測，這對運營人員來說無異于大海撈針。針對于此，安恒信息利用AI算法為用戶提供智慧運營的解決方案：

利用Weekly Gaussian Estimation算法歷史比對提取周期波動，長期監(jiān)控企業(yè)官網、供應商合作系統(tǒng)等業(yè)務系統(tǒng)的訪問請求趨勢建立訪問行為動態(tài)基線，實時發(fā)現(xiàn)請求中的異常流量，標注異常點，提取相關日志及訪問關系，為運營人員提供一步到位的溯源取證能力。