Building Security That Speaks Human: The Design Philosophy Behind Panguard Chat

告警疲勞問題

平均安全監控工具每天產生上百個告警。每個告警是技術產物:IP 位址、規則 ID、嚴重度、時間戳、封包 payload。對有訓練分析師的安全營運中心,這些告警是調查的原料。

對沒安全背景的新創創辦人,是雜訊。

這是安全工具的根本設計問題。工具由安全工程師為安全工程師而建。它們假設讀告警的人知道 CVE-2024-38856 是什麼意思、反向 shell 長什麼樣、從 185.220.101.34 來的失敗 SSH 認證該怎麼處理。

多數人不知道。對於沒有專職安全團隊的 99% 企業,這代表他們的監控工具實際上沒用。告警觸發,沒人懂,什麼都沒改變。

Panguard Chat 做法

我們圍繞一個原則設計 Panguard Chat:安全該說人話。

Panguard Guard 偵測到威脅時,Chat 把偵測翻譯成白話解釋。不是技術告警的簡化版。是為從未讀過 CVE 的人寫的真實解釋。

傳統告警長這樣:

[CRITICAL] Sigma Rule S1021 matched
Source: 185.220.101.34:44821
Target: 10.0.1.5:22
Action: SSH brute force detected
Attempts: 847 in 120s
Status: Blocked by fail2ban

Panguard Chat 送到你 Slack 的長這樣:

有人試圖闖入你的 server,2 分鐘內
猜密碼 847 次。

已自動擋下。不用採取行動。

攻擊來自俄羅斯一個已知惡意 IP。
此 IP 已加入你的永久擋名單。

同一事件。完全不同體驗。第一個需要安全專業才能解讀。第二個任何人都看得懂。

對話式安全

Chat 不只是通知通道。是對話介面。你可以用自然語言問追蹤問題:

「這 IP 之前攻擊過我們嗎?」Chat 查詢你的事件歷史並用摘要回答。

「我還該擔心什麼?」Chat 對你目前安全姿態跑風險評估並標出主要顧慮。

「昨天發生什麼?」Chat 產生覆蓋所有事件、解決、任何建議行動的每日安全簡報。

在你已經在的地方

安全告警需要在人們工作的地方抵達。不是他們一週看一次的儀表板。不是他們快速瀏覽並封存的 email。在他們整天開著的傳訊 app。

Panguard Chat 整合 Slack 和 Telegram。每個平台得到原生格式 — Slack 的 rich embed、Telegram 的 markdown。體驗對每個平台都原生,不像 bot 倒原始文字。

預設多語言

安全是全球的。你的團隊可能在台北、server 在維吉尼亞、客戶到處。Panguard Chat 說你團隊說的語言。告警、解釋、對話回應有英文、繁體中文、日文版本,計畫更多語言。

在美國 server 偵測到的威脅可以為你的台北工程團隊產生中文告警。沒有翻譯層、沒有手動設定。系統偵測團隊語言偏好並適應。

設計哲學

Panguard Chat 的每個設計決策都回到一個問題:沒有安全訓練的人會懂嗎?如果答案是不,我們重寫直到是。沒人懂的安全保護不了任何人。