2021年3月11日，《中華人民共和國國民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》正式發(fā)布，其中“加快數(shù)字化發(fā)展，建設(shè)數(shù)字中國”章節(jié)中里明確提出 “加強(qiáng)網(wǎng)絡(luò)安全保護(hù)，加強(qiáng)網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)，提升網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)、監(jiān)測(cè)預(yù)警、應(yīng)急指揮、攻擊溯源能力”等內(nèi)容，再次凸顯出國家對(duì)網(wǎng)絡(luò)安全的重視程度，必將加速網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的建設(shè)進(jìn)程。在政策大趨勢(shì)下，各行業(yè)的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施建設(shè)已經(jīng)不再局限于安全產(chǎn)品的簡(jiǎn)單堆疊，而更加關(guān)注如何通過安全運(yùn)營(yíng)提升整體安全防護(hù)能力。

在安全運(yùn)營(yíng)中需要在安全事件發(fā)生后對(duì)其進(jìn)行細(xì)粒度的追蹤溯源分析，以此來應(yīng)對(duì)四大安全靈魂拷問：誰攻進(jìn)來過？干了什么？使用哪條路徑？失陷的核心原因是什么？為解決這些問題，天融信安全運(yùn)營(yíng)方案從失陷分析、威脅畫像、檢索分析、資產(chǎn)畫像、外聯(lián)分析、橫向移動(dòng)等多維度提供追蹤溯源分析能力，為客戶構(gòu)建一套從攻擊者、攻擊過程到被攻擊者的高效分析取證平臺(tái)。

拷問1：誰攻進(jìn)來過？

Q：一旦發(fā)生攻擊行為，確定攻擊者一般是定損止損快速恢復(fù)業(yè)務(wù)之后的第二反應(yīng)?？墒窃诰W(wǎng)絡(luò)攻擊行為中“人海茫?！?，找到人或者組織談何容易。

A：天融信安全運(yùn)營(yíng)方案利用失陷分析確定出失陷資產(chǎn)及失陷資產(chǎn)外聯(lián)的互聯(lián)網(wǎng)對(duì)象后，通過威脅畫像可將各資產(chǎn)、日志、流量、情報(bào)等數(shù)據(jù)進(jìn)行有效整合分析，從攻擊鏈、攻擊端口、攻擊資產(chǎn)、攻擊內(nèi)聯(lián)行為、威脅情報(bào)標(biāo)記、黑白名單標(biāo)記等不同維度進(jìn)行攻擊源安全摸底，展示攻擊者行為輪廓，快速甄別出對(duì)企業(yè)及組織網(wǎng)絡(luò)有威脅的攻擊源及攻擊源危險(xiǎn)程度。

拷問2：干了什么？

Q：確認(rèn)攻擊事件后，如何利用技術(shù)手段摸清攻擊者或者是攻擊組織的攻擊行為，防止損失進(jìn)一步擴(kuò)大，是緊接著要考慮的第二個(gè)問題。

A：天融信安全運(yùn)營(yíng)方案圍繞攻擊源，檢索分析并提供多維條件檢索能力，給出攻擊源在網(wǎng)絡(luò)中的行為日志、攻擊日志、通聯(lián)關(guān)系、活動(dòng)類型、關(guān)注目標(biāo)，實(shí)現(xiàn)原始日詳細(xì)信息查看，留存下載攻擊行為的原始PCAP文件，預(yù)覽攻擊者進(jìn)入到網(wǎng)絡(luò)中做過哪些“壞事”。

拷問3：使用哪條路徑？

Q：圈定“人”和“地”，還原攻擊者的攻擊手法以及攻擊思路，才是防患于未然的首要之道。這個(gè)過程比分析更難，需要綜合利用多種技術(shù)手段進(jìn)行細(xì)粒度分析。

A：天融信安全運(yùn)營(yíng)方案通過對(duì)失陷資產(chǎn)進(jìn)行資產(chǎn)畫像、外聯(lián)分析、橫向移動(dòng)分析，掌握資產(chǎn)失陷前后的通聯(lián)關(guān)系、攻擊行為，完整回溯整個(gè)攻擊的發(fā)生傳播路徑，輔助客戶識(shí)別攻擊路徑及加固路徑中存在的薄弱點(diǎn)，避免攻擊路徑未來被再次利用。

拷問4：失陷的核心原因是什么？

Q：復(fù)盤，不是事無巨細(xì)的羅列，而是需要確認(rèn)事件發(fā)生的核心原因。在網(wǎng)絡(luò)攻防戰(zhàn)中，復(fù)盤是上一次安全事件的必要結(jié)尾，同時(shí)也是下一次安全事件的最好準(zhǔn)備。

A：天融信安全運(yùn)營(yíng)方案以資產(chǎn)畫像了解資產(chǎn)的存在的脆弱性、常用端口、訪問IP、部署的業(yè)務(wù)、活躍時(shí)間、活躍主體、以及流量分布和外聯(lián)行為等，從中找出異常點(diǎn)，進(jìn)而挖掘出攻擊者攻陷資產(chǎn)的核心原因。

目前，天融信安全運(yùn)營(yíng)方案已在稅務(wù)、公安、運(yùn)營(yíng)商、海關(guān)、金融等多個(gè)行業(yè)幫助客戶開展了事件調(diào)查分析研判，加速了安全問題分析過程。未來，天融信將繼續(xù)秉承開放、創(chuàng)新的研發(fā)理念持續(xù)深耕追蹤溯源技術(shù)領(lǐng)域，進(jìn)一步提升安全運(yùn)營(yíng)中效率，促進(jìn)網(wǎng)絡(luò)安全防護(hù)能力的長(zhǎng)效提升。