前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >360用AI agent正面刚APT了!

360用AI agent正面刚APT了!

作者头像
FB客服
发布2024-01-26 14:03:33
2220
发布2024-01-26 14:03:33
举报
文章被收录于专栏:FreeBuf

这不是演习

在某金融机构财务部的一个安静角落,一位财务人员收到一封Paypal海外支付邮件,随手打开附件发现全篇都是韩文。

几乎就在同一时间,公司安全部某运营人员的屏幕前自动生成了一条红色紧急告警,告警名称赫然写着“检测到与APT-C-28恶意服务器进行通信”,这让他瞬时心跳加速!

-这个告警是从哪儿来的?

-告警对应的攻击成功了吗,对企业资产造成了哪些影响?

-该过程可能还涉及其他威胁吗?

-该做出哪些处置措施?

这位安全运营人员带着满脑子问题点开了“详情”,不到一分钟,一份密密麻麻的分析报告,包含研判结果、智能解读、攻击链路图、受害者资产分析、攻击者分析、处置建议……尽收眼前,悬着的心终于放下,接下来按照指示进行处置就好。

这是全球首次系统在无人类专家介入下,智能化捕获APT攻击,而这一切都要归功于一个特殊的AI Agent——360安全智能体。

360安全智能体(AI Agent),一分钟智能化猎杀APT

复杂的企业环境中,安全运营人员每天需要处理大量的告警,这些告警对应的攻击可能成功,可能失败,也可能是个误报。这不仅令人疲于应对,还可能导致真正的威胁被忽视,尤其是识别极具因隐蔽性和复杂性的APT攻击,已成为安全行业面临的一大难题。即使嗅到了APT的蛛丝马迹,还要对告警进行进一步分析才能做出处置,这又高度依赖拥有强大知识储备和丰富工作经验的顶级安全专家。而大多数企业缺乏高级安全人才,面对海量告警结果通常是不了了之。

在上面的事件中,无需借助人类专家就实现APT完美猎杀的“大杀器”,是一个基于360安全智脑大模型的智能体(AI Agent)系统——360安全智能体,它融入了秒级响应的云端安全分析能力、万亿大数据、威胁情报响应、全球最强实战攻防专家经验。

那么,这次攻击发生的同时,360安全智能体究竟做了什么?才能让一次APT攻击的来龙去脉在1分钟内原形毕露。

精准识别告警

在财务人员点开邮件并打开带毒附件的同时,360安全智能体就凭借独有的超越内核级探针矩阵识别出了可疑样本,随即计算、检索和关联,模拟安全专家进行类人化深度分析,将海量告警快速“去噪”,顺利筛选出这条紧急告警,然后立即通过本地安全大脑通知用户。

攻击溯源

同时,360安全智能体自动调用威胁溯源引擎,依托集成了360十多年攻防对抗经验的知识云,模拟安全专家对已有的关联事件进行分析,迅速追溯到最初的攻击点是一份伪装成账单(paypal)的钓鱼邮件,用户可以一目了然知道问题出在哪里。

绘制攻击链

锁定了攻击源头,360安全智能体开始全面梳理此次攻击全过程,通过自动调用攻击链路分析引擎,结合攻防知识图谱将攻击过程中使用的各种技战术,子节点进行串联,从而展示出完整的攻击链路,效果不输资深分析专家绘制的攻击链路图

该攻击链显示攻击者使用了模版注入技术,投放带宏病毒的恶意文件,运行后释放恶意样本,将窃密模块注册为一个系统服务,收集系统敏感数据,并通过网络渗出数据。

攻击研判

悉数掌握了攻击过程,那么来者究竟何人?360安全智能体先将整个攻击过程中涉及的技战术、威胁情报等建立威胁模型,经过与360多年高级威胁狩猎积累的海量情报进行特征对比,发现该条攻击条目与360智能体威胁模型中的APT-C-28相似度99%,遂得出此次研判结果:攻击者为APT-C-28。

受害者资产分析

随即,360安全智能体调用资产分析引擎,对这家公司所有受害者资产进行分析,结果显示:除了触发告警的财务人员电脑,DNS服务器、WEB服务器等均已失陷。根据报告提示,安全运营人员第一时间对这些重点资产进行了处理,最大程度降低了公司财产损失。

至此,一次由360安全智能体自动化执行的APT猎杀行动完成。

智能化安全专家,开启智能主义新纪元

数字时代,网络攻击表现行为复杂多变,使用传统人工规则分析方式将存在很多局限,AI技术是解决此类问题的重要手段。360安全智能体以大语言模型为大脑驱动,具有目标理解、逻辑推理、效果评估、知识记忆等能力,支持连接、配置、驱动、协同各类安全工具产品,能够显著提升单个产品和系统整体的安全能力,使安全运营效率最大化。

目前,360安全智能体已经突破了自动化威胁狩猎、自动化安全运营等场景的各难点步骤。它就像隐形的“大白”,如果说安全运营有100个步骤,安全分析平台完成80个,剩下20个难点,如告警研判、攻击链路绘制、威胁情报比对、受害者资产分析、攻击者归属分析、溯源、安全报告生成等,这些都高度依赖安全运营人员的技术和经验,现在360安全智能体全部帮你自动完成了。用户只负责设定目标、提供资源和监督结果,360安全智能体自动完成任务拆分、工具选择和进度控制等,然后把执行结果返回给用户。这意味着,一个资质平平的安全人员只要用好安全智能体,就能展现出高超的专家水平。

写在最后

360安全智能体的出现,不仅是一次技术革新,更是在AI大模型时代下的一次行业突破,标志着安全行业从传统的能力主义步入了智能主义的新纪元,这种转变不仅体现在技术层面的飞跃,更在于对数字安全理念的深刻重塑。它代表了安全技术与人工智能大模型结合的新高峰,为数字安全领域带来了前所未有的智能化能力。

未来,随着AI技术的不断进步,我们有理由相信,智能主义将为安全行业带来更广阔的发展空间,为全球数字安全提供更为坚实的保障。

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2024-01-25,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
云服务器
云服务器(Cloud Virtual Machine,CVM)提供安全可靠的弹性计算服务。 您可以实时扩展或缩减计算资源,适应变化的业务需求,并只需按实际使用的资源计费。使用 CVM 可以极大降低您的软硬件采购成本,简化 IT 运维工作。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档