日前,2019中国国际大数据产业博览会在贵阳正式开幕。为展现全球大数据领域最新领先科技成果,体现大数据影响力和创新力量,作为数博会的重头戏之一,2019“数博发布”之领先科技成果也正式对外发布,奇安信“天眼+安服”安全运营服务成功荣获领先科技成果奖。
近年来,互联网安全漏洞持续爆发,复杂的业务系统持续面临安全漏洞带来的安全风险;同时,攻击威胁逐渐升级,由个人威胁、小团队攻击走向组织化、国家化,政企用户面临着“黑产集团”和敌对破坏势力的双重安全威胁。
为了有效应对政企客户面临的安全威胁,特别是高级持续性威胁(以下简称为APT),奇安信融合自身的优势资源,推出了“天眼+安服”的安全运营服务,通过本地部署“天眼新一代威胁感知系统”检测网络中的各类安全威胁,再结合专家级的安全分析服务,为政企客户提供优质体验的安全运营服务,从传统的“交付产品”,进化为“交付运营”,为用户提供好用、管用的实际效果。
当前,国内大部分用户和友商,针对安全威胁监控,主要采用单纯部署IDS的方式,然而,这样的方法弊端明显:
一方面,IDS作为有着十年历史的传统检测技术,有着明显的缺陷,如:基于单向会话检测机制,无法对每一次攻击的成功与否进行精确判定;无网络流量日志存留机制,不能以攻击链的视角展示整个攻击的过程,无法进行溯源;更不能检测APT攻击。
另一方面IDS、全流量分析设备作为专业安全工具,对使用者的要求很高:既需要拥有网络、协议分析的扎实知识,也需要具有丰富的攻防经验。这些高能力要求,无论是厂商的售后服务人员,还是政企客户的安全运维人员,通常都是不具备的。这就如同医疗领域的CT设备,非专业人员是难以物尽其用的。
奇安信“天眼+安服”的运营模式,就是为解决这些弊端,而采用的创新解决方案。首先,采用天眼全流量分析设备作为替代IDS的深度威胁检测工具,其原理不仅包括IDS特征规则检测,更包括威胁情报检测、文件威胁鉴定检测、网络流量机器学习行为检测;而且,不同于IDS只对流量片段进行存储的方式,天眼基于全流量日志存储,可以对所有的攻击行为进行追踪、溯源,在历次实战攻防演习中,发挥了突出的威胁检测效果。其次,奇安信“天眼+安服”的运营模式,可以帮助政企客户解决专业威胁分析的难题,真正做到人机结合、物尽其用。
奇安信这一创新的运营模式,在国外前沿网络安全技术领域,已经被验证是一种非常成功的模式。2013 年12 月,国外威胁检测厂商FireEye 以10 亿美元收购了端点安全产品和安全应急响应管理解决方案提供商Mandiant,FireEye的全流量检测产品和Mandiant的安全服务结合,创建了一个满足企业实时检测、威胁情报和对安全事件做出迅速反应的安全运营体系。
三年来,奇安信拥有了丰富的政企信息网络安全大数据资源和强大的威胁情报体系,拥有业内领先的自主研发的天眼新一代威胁感知系统,拥有数百人的安全服务专家队伍,在形态、组合和实际效果上与“FireEye+Mandiant”的组合旗鼓相当。
奇安信威胁情报中心是国内第一个公开的安全威胁情报平台。中心将为用户提供安全预警信息,并在安全防护和响应过程中为用户识别是否为已知安全威胁。威胁情报中心汇集了国内最丰富的安全威胁情报数据源,通过这些数据,用户能够快速了解面临的外部威胁和安全事件,提高安全运营的整体效率。
天眼新一代威胁感知系统是一款集成奇安信安全能力的高级威胁检测、溯源与响应的产品,在流量还原、高级威胁发现、态势感知三个层面利用了多种检测技术建立起一套针对高级威胁进行发现、分析、响应、溯源、取证的一体化的解决方案,可以帮助用户快速感知整体安全威胁。
为了推进自动化分析技术的发展,并对未知威胁做最终定性和跟踪,奇安信拥有一支近百人的庞大安全分析团队,该团队技术能力覆盖了操作系统、逆向、漏洞挖掘、渗透等安全的各个技术领域,该团队成员的经验为云端分析系统的运行提供了宝贵输入,奇安信的安全专家团队解决了威胁情报在客户侧落地的问题,可为企业提供及时有效的安全服务。
目前,“天眼+安服”的安全运营模式已在政府、金融、能源、教育等行业的诸多政企客户当中应用,并得到了客户的广泛认可。在未来1-2年,随着各种新型攻击的持续发生,该模式将成为政企客户高级威胁防护的主流。
据了解,奇安信已连续三年入选数博会领先科技成果。2017年,奇安信的新一代智慧防火墙凭借“会思考的防火墙”特性入选十大黑科技;2018年,奇安信天眼新一代威胁感知系统凭借大数据和人工智能技术在威胁检测中的成功应用获评全球十大黑科技。2019年,奇安信天眼+安服安全运营服务、网络空间安全态势感知双双荣获2019“数博发布”领先科技成果奖。