年關(guān)將至

各行各業(yè)都開(kāi)啟了“沖業(yè)績(jī)”模式

黑客們也不例外

往往企圖在年終

開(kāi)展承上啟下的“收尾”工作

防范網(wǎng)絡(luò)風(fēng)險(xiǎn)

協(xié)同式威脅研判與感知至關(guān)重要

看小天如何出招～

最近一年多來(lái)，哪些重大安全事件讓你印象深刻？

希臘教育部

遭受該國(guó)歷史上最嚴(yán)重的網(wǎng)絡(luò)攻擊

導(dǎo)致高中考試中斷和延遲

英國(guó)王室

官方網(wǎng)站遭受分布式 DDoS攻擊

導(dǎo)致“Royal.uk”網(wǎng)站無(wú)法訪問(wèn)大約90 分鐘

德國(guó)漢莎航空

遭受DDoS攻擊

導(dǎo)致200架航班停飛，數(shù)千名乘客被滯留

以上事件，均有隱蔽性高、危害性大的特點(diǎn)。數(shù)字化時(shí)代，網(wǎng)絡(luò)結(jié)構(gòu)持續(xù)動(dòng)態(tài)變化，高級(jí)持續(xù)性威脅不斷升級(jí)。盡管人工智能給全球網(wǎng)絡(luò)安全防御提供了新的視角，但AI武器化亦給網(wǎng)絡(luò)安全形勢(shì)帶來(lái)了火上澆油的重要影響。

網(wǎng)絡(luò)環(huán)境復(fù)雜多變，威脅事件爆發(fā)前，攻擊者的攻擊行為線索往往隱藏在海量的安全日志中，管理人員很難察覺(jué)。雖然企業(yè)希望在網(wǎng)絡(luò)防護(hù)中變得更加主動(dòng)和具有預(yù)測(cè)性，但在海量安全事件中，目前企業(yè)的威脅分析仍存有以下困境。

1、日志數(shù)據(jù)體量龐大，無(wú)法高效研判。

企業(yè)安全檢測(cè)設(shè)備產(chǎn)生大量的檢測(cè)日志，這些日志中是否存在真實(shí)的安全攻擊事件，通常需要經(jīng)驗(yàn)豐富的安全運(yùn)營(yíng)人員逐條去研判分析，缺乏自動(dòng)化手段，效率低下。

2、研判分析工具單一，缺少人機(jī)交互。

安全攻擊事件的證據(jù)線索會(huì)涉及到網(wǎng)絡(luò)流量、終端行為、威脅情報(bào)、主機(jī)漏洞等多種數(shù)據(jù)，當(dāng)缺乏完善的研判分析工具時(shí)，企業(yè)安全運(yùn)營(yíng)人員則難以輕松地從數(shù)據(jù)中提煉出證據(jù)線索，更無(wú)法高效判斷證據(jù)線索的真實(shí)性與有效性。

3、攻擊過(guò)程復(fù)雜，難以還原事件全貌。

安全攻擊事件的發(fā)生過(guò)程往往由多個(gè)環(huán)節(jié)構(gòu)成，需要反復(fù)研判分析取證，沒(méi)有可視化的綜合分析工具輔助，難以快速還原事件發(fā)生全過(guò)程。

針對(duì)以上問(wèn)題，天融信積極探索協(xié)同式威脅研判最佳實(shí)踐，以多維分析技術(shù)為支撐，通過(guò)AI與人機(jī)結(jié)合，分三步實(shí)現(xiàn)安全攻擊事件真?zhèn)蔚母咝а信校蓭椭蛻艚鉀Q數(shù)據(jù)治理、關(guān)聯(lián)分析、威脅研判、智能建模等業(yè)務(wù)問(wèn)題。

第一步：通過(guò)AI技術(shù)，將來(lái)源可信度、規(guī)則可信度、IP可信度、威脅情報(bào)的命中情況與黑白名單命中情況進(jìn)行自動(dòng)分析，形成安全攻擊事件的初步可信度。

第二步：提供終端分析、關(guān)聯(lián)分析、流量分析等多種研判分析工具給安全運(yùn)營(yíng)人員，對(duì)初步可信度較高的安全攻擊事件自動(dòng)提取研判線索，再由安全運(yùn)營(yíng)人員進(jìn)行人工確認(rèn)給出準(zhǔn)確可信度。

第三步：通過(guò)協(xié)同式研判工具生成研判記錄，根據(jù)研判記錄生成攻擊過(guò)程圖。

天融信協(xié)同式威脅研判最佳實(shí)踐特點(diǎn)

○ 自動(dòng)研判

在安全攻擊事件研判過(guò)程中，先根據(jù)可信度指標(biāo)體系自動(dòng)給出初步可信度，再根據(jù)初步可信度完成自動(dòng)研判，提升研判效率。

○ 關(guān)聯(lián)線索

多種研判分析工具協(xié)同，可以自動(dòng)提取安全攻擊事件研判線索，安全運(yùn)營(yíng)人員無(wú)需從外部系統(tǒng)進(jìn)行線索的取證，研判線索可按需關(guān)聯(lián)展示。

○ 協(xié)同分析

無(wú)法自動(dòng)研判的安全事件可結(jié)合人工進(jìn)行協(xié)同式研判，協(xié)同系統(tǒng)自動(dòng)關(guān)聯(lián)研判線索與人工的取證給出準(zhǔn)確研判結(jié)果。

○ 研判記錄

實(shí)時(shí)記錄自動(dòng)研判與協(xié)同式研判過(guò)程，根據(jù)研判工具記錄、標(biāo)記的線索證據(jù)，生成研判記錄與研判報(bào)告。

○ 事件還原

根據(jù)研判過(guò)程生成攻擊路徑，通過(guò)攻擊過(guò)程圖還原安全攻擊事件攻擊過(guò)程，為攻擊事件深度分析提供依據(jù)。

據(jù)《IDC FutureScape：2024年中國(guó)中小企業(yè)數(shù)字化發(fā)展十大預(yù)測(cè)》報(bào)告，網(wǎng)絡(luò)犯罪越來(lái)越頻繁，形式越來(lái)越復(fù)雜，使得中小企業(yè)愈發(fā)不能忽視其威脅。到2025年，至少35%的中小企業(yè)積極采取措施來(lái)降低風(fēng)險(xiǎn)，以應(yīng)對(duì)針對(duì)中小企業(yè)的網(wǎng)絡(luò)安全攻擊。未來(lái)，天融信將繼續(xù)深耕技術(shù)創(chuàng)新，不斷在威脅分析方面尋求更大突破，實(shí)力護(hù)航企業(yè)安全運(yùn)營(yíng)與數(shù)字化轉(zhuǎn)型！