唐威:情报驱动的威胁感知

信息化观察网
张倩
中共中央网络安全和信息化领导小组成立,体现了中国最高层全面深化改革、加强顶层设计的意志,显示出在保障网络安全、维护国家利益、推动信息化发展的决心。习近平同志「 419」讲话,开启网络安全战略规划全新时代,...

中共中央网络安全和信息化领导小组成立,体现了中国最高层全面深化改革、加强顶层设计的意志,显示出在保障网络安全、维护国家利益、推动信息化发展的决心。习近平同志「 419」讲话,开启网络安全战略规划全新时代,为我国今后的网络安全事业发展提供了非常大的指导意义。《网络安全法》发布和施行,网络安全有法可依,从根本上填补了我国网络安全相关法律的空白,为网络强国战略提供制度保障。当前我国网络安全事业的开展,上升到了前所未有的高度。

但网络安全威胁却从未远离。新型攻击层出不穷,APT攻击、勒索病毒、挖矿病毒等威胁着网络安全,现在我国国内网络安全趋势已经逐步由以前偏向于个人,在逐步的转向由个人到企业。

瑞星网安副总裁唐威

态势感知是一种基于环境的、动态地、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,实现安全能力的落地。要想防住威胁,必须要感知到威胁。首先要具备衡量态势感知的核心能力,通过数据的采集、处理、存储到完整性、全面性、准确性,通过统计、趋势、预测进行数据分析,再进行可视化态势感知。

当前,网络安全事件呈现出多、误、杂、孤的特点。大量的安全设备产生大量的安全事件,安全评估工作无法准确入手,有价值的信息被淹没。入侵检测、异常分析等安全产品产生大量的误报,难以准确分辨,影响评估结果。不同的设备厂商、不同的产品界面、不同的安全事件,无法集中管理,无法统一分析。孤立的安全事件,无法准确还原攻击线索,无法理解深层次的攻击意图。

而当前常用的关联分析的手段多是基于统计、规则和学习。通过常见的统计手段,对一到两个维度进行分析。例如基于时间和病毒爆发次数的趋势分析、基于资产的威胁爆发统计等。但存在着维度少、关系简单的缺点。根据安全专家的历史经验,利用统计分析算法、复杂表达式对不同来源、类型的数据进行关联性分析。相比基于统计的分析技术来讲,维度更多。缺点是维度有限,只能覆盖一定的场景,而用户往往缺乏编写规则的能力。基于大数据、机器学习和人工智能等技术对多种类型、多种维度的数据进行分析处理。缺点是误报较大,难以本地应用。

通过威胁情报来驱动安全威胁的分析和响应,结合大数据分析、机器学习等技术,对不同来源、不同维度的安全事件和流量日志进行全面深入的分析。

情报分析本质上是一个推理过程,情报信息天然就是关联的,通过追根溯源发现威胁。可以说,追踪溯源是网络安全的最后一道防线。通过大数据分析发现 APT攻击、流量异常等高级威胁,弥补单点检测对于未知威胁防护的滞后性缺陷。评估威胁对企业 IT 设施和信息资产造成的影响范围和严重程度,评估威胁造成的损失。清除威胁遗留的木马后门程序,恢复正常的 IT 业务,以此建立更理想的安全防线。分析安全防线被攻破的根源,找到木桶中最短的一块木板,对问题进行针对性的修补,进一步提升整体防护能力。

威胁情报不是水晶球,但它确实能预知一些东西。

瑞星在恶意代码领域数十年的耕耘,建设了覆盖全球的威胁情报网络,用户覆盖大量企业级用户,具备超强的情报获取和感知能力。本地情报中心根据企业级用户的特点,内置了针对流行病毒、APT攻击、爆发性病毒等威胁情报规则。威胁情报规则覆盖病毒文件,可疑域名、IP、URL等信息,能够检测病毒木马、恶意站点、木马通信通道、木马下载地址、漏洞攻击等威胁。

全天候全方位感知网络安全态势,利用威胁情报进行潜在威胁的预警,通过情报共享机制向下进行风险通报,防范于未然,扼杀于萌芽。借助情报信誉库进行已知未知行为的检测网络、终端、云全面联动,构建立体防御体系。事件分析、趋势分析、资产分析,了解威胁来龙去脉,评估损失。全流量溯源,发现威胁源头。情报监测,实时感知威胁态势。针对威胁情报提供的处置建议,结合分析结果,帮助用户进行决策,制定处置方案。

THEEND