回顧2022年，全球有組織的攻擊事件仍然頻發(fā)，每月都會(huì)有重大事件被披露。未知威脅持續(xù)加劇，影響著全球眾多國(guó)家，同時(shí)涉及金融、政府等多個(gè)行業(yè)。

據(jù)悉，披露的重大攻擊事件皆為有組織攻擊團(tuán)伙經(jīng)過(guò)一定的籌劃而發(fā)起，其中不乏高級(jí)可持續(xù)威脅組織的身影，例如Lapsus$，奇幻熊等。他們通常采用隱蔽性攻擊手法和未披露0Day漏洞，潛伏期高達(dá)數(shù)月甚至更長(zhǎng)時(shí)間，選擇在目標(biāo)關(guān)鍵時(shí)刻發(fā)作，其威脅性極高，基于簽名檢測(cè)、威脅情報(bào)等單一機(jī)制往往難以長(zhǎng)期、全面捕捉。

攻擊團(tuán)伙畫(huà)像圖

針對(duì)此類(lèi)安全問(wèn)題，天融信推出面向威脅狩獵的大數(shù)據(jù)分析方案，以威脅狩獵為核心思路、大數(shù)據(jù)分析為基礎(chǔ)，構(gòu)建數(shù)據(jù)中臺(tái)，結(jié)合豐富的分析模型及多方情報(bào)信息，對(duì)海量數(shù)據(jù)進(jìn)行多維度智能關(guān)聯(lián)分析，持續(xù)捕捉網(wǎng)絡(luò)異常，挖掘潛在威脅團(tuán)伙，助力客戶(hù)有效應(yīng)對(duì)數(shù)據(jù)中臺(tái)構(gòu)建、未知威脅識(shí)別、威脅狩獵等新的應(yīng)用場(chǎng)景。

匯聚多元數(shù)據(jù)，建立安全數(shù)據(jù)中臺(tái)

方案對(duì)接網(wǎng)絡(luò)、安全、業(yè)務(wù)系統(tǒng)、終端服務(wù)器等多種類(lèi)型設(shè)備，建立數(shù)據(jù)中臺(tái)并完成多元的數(shù)據(jù)采集、匯聚以及清洗轉(zhuǎn)換，通過(guò)非編程方式橫向擴(kuò)展對(duì)接設(shè)備類(lèi)型，采用多種大數(shù)據(jù)組件實(shí)現(xiàn)海量數(shù)據(jù)并行存儲(chǔ)計(jì)算，提供友好交互式界面進(jìn)行數(shù)據(jù)ETL處理。同時(shí)，開(kāi)放接口還可將中臺(tái)的數(shù)據(jù)根據(jù)其它平臺(tái)的需要，實(shí)現(xiàn)多種方式數(shù)據(jù)共享。

積累分析模型，實(shí)現(xiàn)未知威脅感知

針對(duì)未知威脅發(fā)現(xiàn)問(wèn)題，方案將安全服務(wù)專(zhuān)家分析經(jīng)驗(yàn)進(jìn)行固化，建立面向未知威脅的安全數(shù)據(jù)分析模型，挖掘隱藏在海量數(shù)據(jù)背后的未知威脅線索。針對(duì)不同的分析場(chǎng)景提供三種分析引擎，關(guān)聯(lián)分析引擎通過(guò)數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系來(lái)發(fā)現(xiàn)威脅、行為分析引擎依據(jù)歷史行為基線發(fā)現(xiàn)當(dāng)前數(shù)據(jù)的異常行為、深度分析引擎使用特定的AI算法來(lái)檢測(cè)和識(shí)別未知威脅，三種引擎全面覆蓋不同類(lèi)型分析場(chǎng)景，讓入侵者無(wú)處遁形。

持續(xù)威脅狩獵，分析跟蹤攻擊團(tuán)伙

方案通過(guò)IOC、安全事件、調(diào)查任務(wù)實(shí)現(xiàn)對(duì)攻擊團(tuán)伙的基礎(chǔ)信息分析，預(yù)置豐富的攻擊團(tuán)伙信息，根據(jù)安全事件自動(dòng)進(jìn)行歸類(lèi)統(tǒng)計(jì)，及時(shí)發(fā)現(xiàn)團(tuán)伙活躍度情況。通過(guò)團(tuán)伙深度分析引擎，分析團(tuán)伙技術(shù)特長(zhǎng)、追蹤攻擊源分布、掌握受害者分布、識(shí)別攻擊時(shí)間段分布、挖掘關(guān)系數(shù)量等信息，從而實(shí)現(xiàn)對(duì)攻擊團(tuán)伙的全面分析。

TOPSEC

目前天融信面向威脅狩獵的大數(shù)據(jù)分析方案已經(jīng)應(yīng)用于政府、衛(wèi)生、能源、交通等多個(gè)行業(yè)，助力客戶(hù)極大提升海量安全數(shù)據(jù)采集、存儲(chǔ)、分析等能力，深度發(fā)揮安全數(shù)據(jù)價(jià)值。未來(lái)，天融信將繼續(xù)秉承開(kāi)放、創(chuàng)新的研發(fā)理念持續(xù)深耕大數(shù)據(jù)分析領(lǐng)域，為客戶(hù)持續(xù)提供靈活方便的分析工具、完善的安全服務(wù)。