隨著信息化建設(shè)的推進(jìn)，數(shù)據(jù)資產(chǎn)所承載的價值越來越高，安全運(yùn)營成為重中之重。安全運(yùn)營是將人、技術(shù)、流程三者進(jìn)行有機(jī)結(jié)合的過程，通過明確人員職責(zé)分工、構(gòu)建可重復(fù)操作流程、發(fā)現(xiàn)及響應(yīng)網(wǎng)絡(luò)安全風(fēng)險和威脅，不斷完善技術(shù)手段來迭代提升企業(yè)的安全防護(hù)水平。當(dāng)前安全運(yùn)營中面臨的一個難點問題是APT攻擊破壞性很大，但攻擊痕跡隱蔽，難以盡早發(fā)現(xiàn)和防御。

2020年6月，iOS郵件客戶端爆出遠(yuǎn)程代碼執(zhí)行漏洞，已經(jīng)被在野利用長達(dá)兩年。用戶只需在郵件下載過程中，就能觸發(fā)漏洞攻擊獲取iPhone數(shù)據(jù)。

2020年12月，SolarWinds公司旗下的網(wǎng)絡(luò)監(jiān)控軟件遭黑客植入惡意代碼。APT組織通過獲得網(wǎng)絡(luò)管理員的最高管理權(quán)限，獲得長期的內(nèi)部訪問權(quán)限，從而長期控制目標(biāo)、竊取核心數(shù)據(jù)。

經(jīng)過對APT攻擊的深入分析，天融信發(fā)現(xiàn)其難以被發(fā)現(xiàn)的主要原因有兩點：一是攻擊者通常利用0Day漏洞和從未被披露的攻擊工具/網(wǎng)絡(luò)資源，導(dǎo)致防護(hù)體系無法通過現(xiàn)有威脅庫或規(guī)則庫識別攻擊行為；二是攻擊者攻陷內(nèi)網(wǎng)跳板節(jié)點并接入到目標(biāo)網(wǎng)絡(luò)后，為了長久隱蔽自身會極盡可能的模仿跳板節(jié)點正常行為，并在內(nèi)網(wǎng)中橫向移動悄悄收集信息，等待時機(jī)成熟后才擴(kuò)大攻擊效果以達(dá)成目標(biāo)。

圍繞APT攻擊的特點，天融信在安全運(yùn)營中以大數(shù)據(jù)技術(shù)為基礎(chǔ)，引入AI分析算法，構(gòu)建了一套能夠靈活建模的智能化安全數(shù)據(jù)中臺。

天融信智能化安全數(shù)據(jù)中臺從終端、網(wǎng)絡(luò)流量、業(yè)務(wù)系統(tǒng)三個監(jiān)測點實時抓取用戶及實體行為數(shù)據(jù)，輔以蜜罐主動防御信息及資產(chǎn)、人員、賬號等基礎(chǔ)企業(yè)信息進(jìn)行用戶及實體畫像等三大能力，勾勒員工及設(shè)備行為輪廓，發(fā)現(xiàn)異常用戶及實體的內(nèi)網(wǎng)失陷事件，最終挖出潛伏在內(nèi)網(wǎng)的高級威脅。

多源異構(gòu)海量數(shù)據(jù)采集計算能力

通過SYSLOG、FTP、數(shù)據(jù)庫表、消息總線、API等豐富的數(shù)據(jù)接口方式，匯聚全網(wǎng)設(shè)備、操作系統(tǒng)以及業(yè)務(wù)系統(tǒng)的日志數(shù)據(jù)；采用大數(shù)據(jù)分布式并行計算技術(shù)，靈活快速擴(kuò)展數(shù)據(jù)存儲計算能力，實現(xiàn)TB量級數(shù)據(jù)存儲計算。

基于AI算法的強(qiáng)大安全建模能力

基于時序分析、回歸、分類、聚類等多類AI算法，圍繞攻擊分析、內(nèi)網(wǎng)失陷、數(shù)據(jù)泄露、業(yè)務(wù)異常、訪問異常等各類應(yīng)用場景提供分析模型，并支持用戶自定義模型，從而針對DGA域名發(fā)現(xiàn)、隱蔽隧道檢測、惡意URL自動識別等典型應(yīng)用場景實現(xiàn)更高準(zhǔn)確度和良好應(yīng)用效果。

全面用戶實體行為畫像能力

全面關(guān)聯(lián)分析用戶實體行為數(shù)據(jù)及輔助信息，從行為輪廓、威脅事件、通聯(lián)關(guān)系、基線異常、威脅關(guān)聯(lián)等多個維度進(jìn)行全方位用戶畫像，支持安全人員快速從畫像中發(fā)現(xiàn)異常。

目前，天融信智能化安全數(shù)據(jù)中臺已在政府、公安、金融、運(yùn)營商等多個組織和行業(yè)中落地應(yīng)用，幫助了多家單位及企業(yè)實現(xiàn)內(nèi)網(wǎng)威脅識別與防護(hù)。在今后的網(wǎng)絡(luò)安全建設(shè)中，天融信將基于AI技術(shù)與海量用戶共筑網(wǎng)絡(luò)安全堡壘，共建網(wǎng)絡(luò)安全強(qiáng)國。