唐威:情報驅(qū)動的威脅感知

信息化觀察網(wǎng)
張倩
中共中央網(wǎng)絡安全和信息化領導小組成立,體現(xiàn)了中國最高層全面深化改革、加強頂層設計的意志,顯示出在保障網(wǎng)絡安全、維護國家利益、推動信息化發(fā)展的決心。習近平同志「 419」講話,開啟網(wǎng)絡安全戰(zhàn)略規(guī)劃全新時代,...

中共中央網(wǎng)絡安全和信息化領導小組成立,體現(xiàn)了中國最高層全面深化改革、加強頂層設計的意志,顯示出在保障網(wǎng)絡安全、維護國家利益、推動信息化發(fā)展的決心。習近平同志「 419」講話,開啟網(wǎng)絡安全戰(zhàn)略規(guī)劃全新時代,為我國今后的網(wǎng)絡安全事業(yè)發(fā)展提供了非常大的指導意義。《網(wǎng)絡安全法》發(fā)布和施行,網(wǎng)絡安全有法可依,從根本上填補了我國網(wǎng)絡安全相關法律的空白,為網(wǎng)絡強國戰(zhàn)略提供制度保障。當前我國網(wǎng)絡安全事業(yè)的開展,上升到了前所未有的高度。

但網(wǎng)絡安全威脅卻從未遠離。新型攻擊層出不窮,APT攻擊、勒索病毒、挖礦病毒等威脅著網(wǎng)絡安全,現(xiàn)在我國國內(nèi)網(wǎng)絡安全趨勢已經(jīng)逐步由以前偏向于個人,在逐步的轉(zhuǎn)向由個人到企業(yè)。

瑞星網(wǎng)安副總裁唐威

態(tài)勢感知是一種基于環(huán)境的、動態(tài)地、整體地洞悉安全風險的能力,是以安全大數(shù)據(jù)為基礎,從全局視角提升對安全威脅的發(fā)現(xiàn)識別、理解分析、響應處置能力的一種方式,實現(xiàn)安全能力的落地。要想防住威脅,必須要感知到威脅。首先要具備衡量態(tài)勢感知的核心能力,通過數(shù)據(jù)的采集、處理、存儲到完整性、全面性、準確性,通過統(tǒng)計、趨勢、預測進行數(shù)據(jù)分析,再進行可視化態(tài)勢感知。

當前,網(wǎng)絡安全事件呈現(xiàn)出多、誤、雜、孤的特點。大量的安全設備產(chǎn)生大量的安全事件,安全評估工作無法準確入手,有價值的信息被淹沒。入侵檢測、異常分析等安全產(chǎn)品產(chǎn)生大量的誤報,難以準確分辨,影響評估結果。不同的設備廠商、不同的產(chǎn)品界面、不同的安全事件,無法集中管理,無法統(tǒng)一分析。孤立的安全事件,無法準確還原攻擊線索,無法理解深層次的攻擊意圖。

而當前常用的關聯(lián)分析的手段多是基于統(tǒng)計、規(guī)則和學習。通過常見的統(tǒng)計手段,對一到兩個維度進行分析。例如基于時間和病毒爆發(fā)次數(shù)的趨勢分析、基于資產(chǎn)的威脅爆發(fā)統(tǒng)計等。但存在著維度少、關系簡單的缺點。根據(jù)安全專家的歷史經(jīng)驗,利用統(tǒng)計分析算法、復雜表達式對不同來源、類型的數(shù)據(jù)進行關聯(lián)性分析。相比基于統(tǒng)計的分析技術來講,維度更多。缺點是維度有限,只能覆蓋一定的場景,而用戶往往缺乏編寫規(guī)則的能力?;诖髷?shù)據(jù)、機器學習和人工智能等技術對多種類型、多種維度的數(shù)據(jù)進行分析處理。缺點是誤報較大,難以本地應用。

通過威脅情報來驅(qū)動安全威脅的分析和響應,結合大數(shù)據(jù)分析、機器學習等技術,對不同來源、不同維度的安全事件和流量日志進行全面深入的分析。

情報分析本質(zhì)上是一個推理過程,情報信息天然就是關聯(lián)的,通過追根溯源發(fā)現(xiàn)威脅。可以說,追蹤溯源是網(wǎng)絡安全的最后一道防線。通過大數(shù)據(jù)分析發(fā)現(xiàn) APT攻擊、流量異常等高級威脅,彌補單點檢測對于未知威脅防護的滯后性缺陷。評估威脅對企業(yè) IT 設施和信息資產(chǎn)造成的影響范圍和嚴重程度,評估威脅造成的損失。清除威脅遺留的木馬后門程序,恢復正常的 IT 業(yè)務,以此建立更理想的安全防線。分析安全防線被攻破的根源,找到木桶中最短的一塊木板,對問題進行針對性的修補,進一步提升整體防護能力。

威脅情報不是水晶球,但它確實能預知一些東西。

瑞星在惡意代碼領域數(shù)十年的耕耘,建設了覆蓋全球的威脅情報網(wǎng)絡,用戶覆蓋大量企業(yè)級用戶,具備超強的情報獲取和感知能力。本地情報中心根據(jù)企業(yè)級用戶的特點,內(nèi)置了針對流行病毒、APT攻擊、爆發(fā)性病毒等威脅情報規(guī)則。威脅情報規(guī)則覆蓋病毒文件,可疑域名、IP、URL等信息,能夠檢測病毒木馬、惡意站點、木馬通信通道、木馬下載地址、漏洞攻擊等威脅。

全天候全方位感知網(wǎng)絡安全態(tài)勢,利用威脅情報進行潛在威脅的預警,通過情報共享機制向下進行風險通報,防范于未然,扼殺于萌芽。借助情報信譽庫進行已知未知行為的檢測網(wǎng)絡、終端、云全面聯(lián)動,構建立體防御體系。事件分析、趨勢分析、資產(chǎn)分析,了解威脅來龍去脈,評估損失。全流量溯源,發(fā)現(xiàn)威脅源頭。情報監(jiān)測,實時感知威脅態(tài)勢。針對威脅情報提供的處置建議,結合分析結果,幫助用戶進行決策,制定處置方案。

THEEND

本月熱門