年關(guān)將至

各行各業(yè)都開啟了“沖業(yè)績(jī)”模式

黑客們也不例外

往往企圖在年終

開展承上啟下的“收尾”工作

防范網(wǎng)絡(luò)風(fēng)險(xiǎn)

協(xié)同式威脅研判與感知至關(guān)重要

看小天如何出招～

最近一年多來，哪些重大安全事件讓你印象深刻？

希臘教育部

遭受該國(guó)歷史上最嚴(yán)重的網(wǎng)絡(luò)攻擊

導(dǎo)致高中考試中斷和延遲

英國(guó)王室

官方網(wǎng)站遭受分布式 DDoS攻擊

導(dǎo)致“Royal.uk”網(wǎng)站無法訪問大約90 分鐘

德國(guó)漢莎航空

遭受DDoS攻擊

導(dǎo)致200架航班停飛，數(shù)千名乘客被滯留

以上事件，均有隱蔽性高、危害性大的特點(diǎn)。數(shù)字化時(shí)代，網(wǎng)絡(luò)結(jié)構(gòu)持續(xù)動(dòng)態(tài)變化，高級(jí)持續(xù)性威脅不斷升級(jí)。盡管人工智能給全球網(wǎng)絡(luò)安全防御提供了新的視角，但AI武器化亦給網(wǎng)絡(luò)安全形勢(shì)帶來了火上澆油的重要影響。

網(wǎng)絡(luò)環(huán)境復(fù)雜多變，威脅事件爆發(fā)前，攻擊者的攻擊行為線索往往隱藏在海量的安全日志中，管理人員很難察覺。雖然企業(yè)希望在網(wǎng)絡(luò)防護(hù)中變得更加主動(dòng)和具有預(yù)測(cè)性，但在海量安全事件中，目前企業(yè)的威脅分析仍存有以下困境。

1、日志數(shù)據(jù)體量龐大，無法高效研判。

企業(yè)安全檢測(cè)設(shè)備產(chǎn)生大量的檢測(cè)日志，這些日志中是否存在真實(shí)的安全攻擊事件，通常需要經(jīng)驗(yàn)豐富的安全運(yùn)營(yíng)人員逐條去研判分析，缺乏自動(dòng)化手段，效率低下。

2、研判分析工具單一，缺少人機(jī)交互。

安全攻擊事件的證據(jù)線索會(huì)涉及到網(wǎng)絡(luò)流量、終端行為、威脅情報(bào)、主機(jī)漏洞等多種數(shù)據(jù)，當(dāng)缺乏完善的研判分析工具時(shí)，企業(yè)安全運(yùn)營(yíng)人員則難以輕松地從數(shù)據(jù)中提煉出證據(jù)線索，更無法高效判斷證據(jù)線索的真實(shí)性與有效性。

3、攻擊過程復(fù)雜，難以還原事件全貌。

安全攻擊事件的發(fā)生過程往往由多個(gè)環(huán)節(jié)構(gòu)成，需要反復(fù)研判分析取證，沒有可視化的綜合分析工具輔助，難以快速還原事件發(fā)生全過程。

針對(duì)以上問題，天融信積極探索協(xié)同式威脅研判最佳實(shí)踐，以多維分析技術(shù)為支撐，通過AI與人機(jī)結(jié)合，分三步實(shí)現(xiàn)安全攻擊事件真?zhèn)蔚母咝а信?，可幫助客戶解決數(shù)據(jù)治理、關(guān)聯(lián)分析、威脅研判、智能建模等業(yè)務(wù)問題。

第一步：通過AI技術(shù)，將來源可信度、規(guī)則可信度、IP可信度、威脅情報(bào)的命中情況與黑白名單命中情況進(jìn)行自動(dòng)分析，形成安全攻擊事件的初步可信度。

第二步：提供終端分析、關(guān)聯(lián)分析、流量分析等多種研判分析工具給安全運(yùn)營(yíng)人員，對(duì)初步可信度較高的安全攻擊事件自動(dòng)提取研判線索，再由安全運(yùn)營(yíng)人員進(jìn)行人工確認(rèn)給出準(zhǔn)確可信度。

第三步：通過協(xié)同式研判工具生成研判記錄，根據(jù)研判記錄生成攻擊過程圖。

天融信協(xié)同式威脅研判最佳實(shí)踐特點(diǎn)

○ 自動(dòng)研判

在安全攻擊事件研判過程中，先根據(jù)可信度指標(biāo)體系自動(dòng)給出初步可信度，再根據(jù)初步可信度完成自動(dòng)研判，提升研判效率。

○ 關(guān)聯(lián)線索

多種研判分析工具協(xié)同，可以自動(dòng)提取安全攻擊事件研判線索，安全運(yùn)營(yíng)人員無需從外部系統(tǒng)進(jìn)行線索的取證，研判線索可按需關(guān)聯(lián)展示。

○ 協(xié)同分析

無法自動(dòng)研判的安全事件可結(jié)合人工進(jìn)行協(xié)同式研判，協(xié)同系統(tǒng)自動(dòng)關(guān)聯(lián)研判線索與人工的取證給出準(zhǔn)確研判結(jié)果。

○ 研判記錄

實(shí)時(shí)記錄自動(dòng)研判與協(xié)同式研判過程，根據(jù)研判工具記錄、標(biāo)記的線索證據(jù)，生成研判記錄與研判報(bào)告。

○ 事件還原

根據(jù)研判過程生成攻擊路徑，通過攻擊過程圖還原安全攻擊事件攻擊過程，為攻擊事件深度分析提供依據(jù)。

據(jù)《IDC FutureScape：2024年中國(guó)中小企業(yè)數(shù)字化發(fā)展十大預(yù)測(cè)》報(bào)告，網(wǎng)絡(luò)犯罪越來越頻繁，形式越來越復(fù)雜，使得中小企業(yè)愈發(fā)不能忽視其威脅。到2025年，至少35%的中小企業(yè)積極采取措施來降低風(fēng)險(xiǎn)，以應(yīng)對(duì)針對(duì)中小企業(yè)的網(wǎng)絡(luò)安全攻擊。未來，天融信將繼續(xù)深耕技術(shù)創(chuàng)新，不斷在威脅分析方面尋求更大突破，實(shí)力護(hù)航企業(yè)安全運(yùn)營(yíng)與數(shù)字化轉(zhuǎn)型！