首頁 > 關于我們 > 安恒動態 > 2024 > 正文

知名車企如何應對網絡安全挑戰？安恒信息AiLPHA來助力

閱讀量：次 文章來源：安恒信息

用戶簡介：歷經近30年的成長，某知名車企已成為一家擁有IT，汽車及新能源三大產業群的新技術民營企業。公司在全國建有數個生產基地，并在全球多國設有分公司或辦事處，現員工總數達數十萬人。

項目背景：其次，有利于提高政府和社會公眾維護國家安全的法律意識。強化責任意識，提高大家維護國家安全的能力。

安全挑戰：與此同時，汽車企業的供應鏈錯綜復雜，隨著車聯網技術的快速普及，網絡攻擊面也在不斷擴大。集團亟需一套能夠全面兼顧整體網絡安全態勢的運營平臺，盤活已有安全設備，以應對日益嚴峻的網絡安全挑戰，保障集團業務信息安全。

安恒信息通過部署5節點的AiLPHA安全分析與管理平臺集群，實現集團互聯網出口、數據中心、核心工廠的全流量監測，及關鍵安全設備日志對接；通過部署AiLPHA 安全編排與協同響應管理平臺實現流程自動化/半自動化，提升運營效率。

本次項目實施，用戶關注的技術實現主要有以下亮點：

技術難點一

如何將運營人員從海量告警中解救出來

本次項目監測網絡節點十余個、web業務系統千余個、主機資產數十萬臺；實時處理日志量超40000EPS，平均每天接入近10億條日志記錄。面對海量告警，安恒信息提出了云地協同-告警清零的閉環方案，該方案囊括了告警優化以及協同處置兩個維度：

告警優化

首先，通過安全運營助手小工具，對用戶的告警質量進行分析，梳理出觸發最多告警模型以及現有最多的告警類型；

針對觸發最多的告警模型，進行模型本身的調優，如開啟告警抑制、優化攻擊鏈、優化ATT&CK等，降低模型產生的告警數量的同時，提升告警質量；

針對現有最多的告警類型，抽樣觀察告警詳情及日志信息，確認是否由因業務引起的誤報，結合白名單，降低告警數量；

其次，針對多源接入的數據，進行歸并場景的設定，根據五元組信息、XFF頭、設備名稱、告警類型等各維度字段進行聚合，將同一類攻擊事件的告警數量壓縮，最大化降低告警數量；

然后，將用戶所關心的告警以場景化的方式聚合，通過事件名稱、攻擊者、受害者、目的端口等字段，將告警聚合成安全事件，從而完成原始日志-原始告警-安全告警-安全事件的三層降噪邏輯，大幅度縮減了現網的告警數量。

通過告警優化方案，用戶現網數據從近10億條日志提取出成20萬條安全告警，聚合、歸并后告警為1W條，最終形成12類用戶關心的安全事件。

協同處置

在告警優化完成后，針對用戶關注事件，安恒信息進行了深度分析，以處置方式維度進行分類，即：攻擊事件告警、感染事件告警、風險預警告警和誤報或忽略告警，針分類的不同，我們采取量身定制的處置方式，如自動封禁、半自動封禁、報表統計、狀態修改等；通過現場配置的19例劇本，最終達成了告警清零的目標。

技術難點二

如何在眾多數據中發現高價值事件

高價值事件往往無法通過普通的規則匹配甚至模型匹配的方式發現，需要在大量的原始日志中提煉觀測，這對運營人員來說無異于大海撈針。針對于此，安恒信息利用AI算法為用戶提供智慧運營的解決方案：

利用Weekly Gaussian Estimation算法歷史比對提取周期波動，長期監控企業官網、供應商合作系統等業務系統的訪問請求趨勢建立訪問行為動態基線，實時發現請求中的異常流量，標注異常點，提取相關日志及訪問關系，為運營人員提供一步到位的溯源取證能力。

利用RPCA-SST算法矩陣重構剔除大幅值噪聲，通過重點監控服務器和終端的DNS請求行為、性能和外傳流量，檢測木馬持續性回連遠控地址和數據泄露的機器行為，標注異常點，提取相關日志及訪問關系，為運營人員提供一步到位的溯源取證能力。

方案價值：

由先前的信息安全孤島進階為統一運營管理模式：

1、由安恒信息駐場工程師配合集團運營團隊在態勢感知平臺實現全集團安全狀態統一監控

2、通過平臺接口聯動安全設備實現安全策略統一下發

3、通過AI算法發現高價值事件

4、通過平臺工單流程實現安全風險的統一跟蹤閉環處理

5、通過平臺SOAR劇本流程實現高危攻擊的自動攔截處置；

方案收益：

大大提高了集團安全運營能力，實現全局安全態勢感知，有效遏制了安全事件的發生，控制了安全風險的擴散，目前已成為該知名車企信息安全建設的核心支撐平臺。

關閉