5月26日,2019数博会领先科技成果奖正式揭晓,奇安信集团研发的网络空间安全态势感知、应急处置及攻防对抗技术研发及产业化斩获了本届数博会的新产品奖,引起了业界对奇安信网络空间安全态势感知平台和新一代网络安全体系的广泛关注。
网络空间安全的神经中枢
信息技术广泛应用和网络空间兴起发展,极大促进了经济社会繁荣进步,同时也带来了新的安全风险和挑战。自动化、分布式、隐蔽性强的网络攻击已经成为主流,依赖传统防御体系很难应对。万物互联时代的到来,使得来自网络空间的攻击能够直接威胁到物理世界的安全。
为了捍卫网络空间国家安全,奇安信集团于2017年推出了网络空间安全威胁态势感知和应急处置技术及平台系列产品,针对关键信息基础设施安全防护的协同作战与联动调度平台,帮助网络安全保障部门和关键信息基础设施责任单位实时监测、感知威胁态势,及时处置网络安全风险。
该平台利用多源异构数据融合、深度学习、可视化分析等多种大数据智能分析方法,实现了针对不同时间、空间、行业和威胁类别等的多维度、全天候、全方位的网络安全威胁检测、监测和预警,形成了具备大数据安全协同联动能力的网络安全威胁态势感知和应急处置体系,为网络空间安全保障提供了神经中枢。
最具价值的优质大数据资源
作为态势感知平台的核心,大数据能力成为“兵家必争”的核心能力。但是,大数据也并不是越多越好,过量的无效数据反而会带来繁重的数据清洗工作和无效告警,严重干扰态势感知平台的运行效率。对于政企机构网络安全而言,只有B端的大数据才能感知B端的网络安全态势。奇安信集团拥有超过4000万政企网络终端,已经形成了国内规模最大的政企网络安全大数据,这些数据资源已经成为最具价值的企业级网络安全大数据资源。
同时,随着政企机构数据量井喷式的增长,高并发流量与海量日志的处理成为态势感知平台建设的一项重大难题,传统安全厂商很难做到针对企业全方位、全要素、全链条数据采集及融合,包括终端、网络、设备、人、资产等多方面的流量数据和日志数据。
为此,奇安信集团开发了安全大数据高效存取技术,率先将搜索引擎技术应用到大流量的安全日志数据检索系统中,并自主研发了海量安全日志数据检索系统,创新式的将人工智能技术应用到大数据存储管理系统中。
并且,奇安信集团还开发了针对海量异构安全数据的OPL(对象、属性、关系)融合分析技术,形成了一套高效的网络安全态势可视化分析展示方案,提升了我国针对大规模网络安全事件的综合应急响应速度,为多次国家重大安保活动提供强有力的支持。
威胁情报协同联动
与此同时,奇安信集团首次提出云(云端)地(本地)结合的网络安全威胁检测技术,将奇安信威胁情报中心与网络空间安全态势感知平台进行联动,解决了因知识匮乏而导致的未知威胁发现问题。
第一,基于可机读威胁情报起步:及时发现失陷主机是防范重大损失实际发生的关键,IOC情报依赖DNS日志或者上网行为日志进行检测分析,并且提供攻击类型、团伙、攻击方式、危害以及处置建议等上下文信息,结合企业内部数据,辅助安全人员完成对威胁的检测、分析、研判和处置。其主要过程是,奇安信威胁情报中心将威胁情报下发到系统中后,与检测到的特定事件或者异常行为进行关联分析和数据挖掘,结合规则关联引擎+人工智能引擎+虚拟执行检测引擎的多引擎检测架构,从而快速对事件定性,并且锁定失陷主机、远控木马或者其他潜在的威胁。
第二,通过TTP情报(攻击者的战术、技术和攻击过程),进一步增强异常分析能力:TTP情报(战术、技术、攻击过程)是提供给安全分析师及安全运营者使用的情报,关注于恶意软件、漏洞、攻击事件,着重分析其目的、危害、机制、影响范围以及检测防范机制。分析师可以快速了解攻击者的技战术特点,增强对威胁的研判和狩猎能力。
“知”“行”合一 平战结合
奇安信网络空间安全态势感知平台可以为客户在网络安全防护及风险感知上构建知行合一的能力体系。
所谓“知”是指“知己”、“知彼”、“知威胁”。知己就是要了解自身的网络资产和保护对象,特别是关键信息基础设施的基本情况。通常情况政企机构缺乏手段,对于自身的状况不够了解,网络安全也就无从谈起。奇安信可以帮助客户掌握自身有多少资产,有多少在线设备,IP地址等等,并且能够掌资产的脆弱性。
“知彼”就是要了解对手,知道哪些对手在向自己发起攻击,发起的攻击的时间、目标以及频次等相关信息。而“知威胁”则是对具体安全事件的详细体现。奇安信集团利用大数据的智能研判技术,引入机器学习能力,对海量告警进行自动化的初步研判、归并等操作,同时结合人工运营的方式对安全事的严重程度以及级别进行最终确认,最后触发相应通报处置流程。
“行”则是在“知”的基础上,精准、及时的响应能力,主要分为平时和战时两个场景。平时更多的是日常安全运营体系的建设和安全防护能力的不断修补与进化;战时主要是指重大活动安保和重大事件应急等场景,主要目的是“快、准、稳”的解决突发性问题。
截至目前,奇安信集团已完成了 全国两会、“2019第三届世界智能大会”、“亚洲文明对话大会”、“一带一路”国际合作高峰论坛、“2019中国北京世界园艺博览会”、“贵阳大数据博览会、“青岛上合峰会”、“中非合作论坛”、“永恒之蓝”勒索病毒的应急处置等重保活动和重大网络安全事件应急响应处置,得到了网络安全主管部门、各省市网络安全保障单位和重要行业、企业的高度认可和褒奖。
