能打才是硬道理!真刀真枪下,奇安信天眼能否扛得住实战化考验?
最近,“浑元形意太极门”掌门人马保国火了,原因是他和一位50岁的民间格斗爱好者进行了擂台对战,结果30秒被3次击倒+KO,当场昏迷,场面令人揪心。从马保国到被徐晓东KO的雷雷,神乎其神的“太极大师”们,在真拳实腿的实战面前变得不堪一击,甚至成了笑料。可见,在真实对抗中,唯有实战,才是检验战斗力的唯一标准,各个领域都是如此,其中也包括看不见硝烟的虚拟战场---网络空间世界。
近年来,实战化成为网络安全行业最火的词语。“网络安全讲一百遍不如打一遍”,只有频繁、高对抗性的组织实战攻防演练,才能历练出可靠有效的网络安全防御体系。
5月18日,奇安信对外发布了针对实战化威胁,特别是高级威胁的检测、分析、溯源响应的一体化解决方案天眼新版本,旨在打造一款实战化利器,适应不断演化、瞬息万变的新型攻击和高级威胁。“天眼从诞生之初,就和实战这两个字紧密的捆绑在一起。可以说是从实战中而来,到实战中去。”奇安信天眼事业部总负责人张卓这样表示。
天眼:因需求而生守护安全公司的安全安全公司也会担心自己的网络安全么?这是一个有趣的问题。“2013年,FireEye公司发布了一份APT报告,当时给了我们很大的震撼。”张卓说到,“我们没想到,攻击可以持续这么久,隐藏这么深,并且破坏力这么大。
万一公司哪一天被攻击了,海量用户数据被‘拖库’,我们自己都可能还蒙在鼓里,这是一件多么严重的事情。”张卓表示,当时也尝试了一些办法,但很遗憾,在当时的技术情况下,IDS这类设备根本起不到太大作用,不论是误报还是漏报率都太高了。
“所以,我们就想做这样一款产品,来解决威胁检测。”在这样的背景下,天眼实验室就在公司内部低调成立了,其目标是独立开发一款基于大数据和人工智能技术的威胁检测工具,确保公司业务和数据不受APT攻击,避免网络入侵和数据泄露。一家做安全的公司,也需要一套实战化的企业级安全防护产品,让自己既当守护者,又当“被守护者”。
发现海莲花天眼立首功“天眼项目开始之后,第一件事情,就是挖掘研究公司积累了多年的海量安全大数据。我们知道这些数据像一个埋藏在深处的巨大宝藏,非常有价值,却不知道该如何用,天眼出来,恰好可以派上用场。”张卓表示。
经过无明确目标的分析和探索,天眼有了惊天的发现!“我们发现了一个持续多年、有组织有目标、长期潜伏、极其隐蔽的高级攻击行为,我们将其命名为OceanLotus。”张卓回忆当年发现海莲花的过程,依然掩盖不住内心的兴奋。
2015年5月,天眼实验室正式发布了OceanLotusAPT报告,这是国内一份针对APT攻击发现和分析的专业报告。报告显示,2012年4月起,有境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。这个重大发现,迅速震动了整个网络安全界,引起相关部门的高度重视。
“如果没有海量、长期的数据积累,像海莲花这样的APT攻击行为是无法被发现的”。张卓表示。“如果脱离时间维度,用传统安全防护判定规则,海莲花只是一些间断性的普通攻击。
但得益于互联网公司的技术和大数据优势,我们通过深度数据挖掘和追溯,发现海莲花组织的攻击周期之长、攻击目标之明确、攻击技术之复杂、社工手段之精准,都说明该组织绝非一般的民间黑客组织,而很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织。”海莲花的发现,让天眼一战成名。
它揭露的APT攻击形式,给传统防御理念带来极大挑战,直接加快了奇安信“数据驱动安全”理念的落地。与此同时,基于大数据的未知威胁感知系统“天眼”第一代正式发布。这标志着天眼正式走出实验室,走向产品化,全面迈入市场。
基于“数据驱动安全”这一前瞻性的技术理念,天眼大幅超前于传统安全的“老三件”,是一款不折不扣的跨时代创新产品。奇安信总裁吴云坤在天眼新版发布会这样表示,“2014年我加入奇安信,天眼是我带的第一个产品,对我而言,也是把传统安全技术与互联网理念结合的标志性产品,对天眼这个品牌我非常有感情。天眼这个品牌和奇安信的安全技术创新一直紧密相关,是‘数据驱动安全’的开山之作。”多项创新技术加持天眼在持续迭代中迈向实战正所谓没有金刚钻,不揽瓷器活。
天眼之所以能在业内第一个发现海莲花APT攻击,客户数量从0快速增长到上千家,除了理念领先之外,最核心的还是自身技术的不断创新和持续迭代。据介绍,天眼具备四方面核心能力,分别是精准的基于成功的攻击检测能力、业内最强的网络攻防和漏洞的响应能力、业内最先进的安全大数据威胁分析能力和业内最先进的APT攻击威胁情报能力。这些能力的背后,是天眼诸多独创技术的支撑。
首先在攻击检测方面,天眼采用了入侵检测双向匹配技术,它基于双向会话WebIDS检测引擎,标记攻击成功的告警事件,产生精准告警事件。大大降低了无效报警数量,让管理人员可以集中应对有效的告警事件。
其次在安全技术方面,天眼在沙箱技术上进行了升级,从操作系统层升级到CPU指令层级。所谓沙箱,其原理是把可疑文件放在一个虚拟环境里运行,从而检测异常行为,然而随着攻击手法的翻新,更狡猾的沙箱逃逸情况开始出现。天眼在升级过程中,在沙箱中加入了CPU指令层级的细粒度检测能力,让沙箱逃逸无所遁形。
此外,天眼还强化了场景化分析能力,以及人工智能的深度学习等。其中包括对行为建模和统计分析,机器学习技术实现智能判别等,形成行为模型,及时发现新场景下的攻击行为。时至今日,天眼已经从最初单一的威胁情报检测产品,发展出文件沙盒分析,全流量分析,场景化安全分析,全包存储取证等安全组件,到如今拥有新一代安全感知系统、邮件威胁感知系统、安全DNS系统、内网欺骗诱捕系统等多个产品,以及实战化威胁运营平台、实战化指挥平台等整合体系。联姻安服天眼一年深入120多场攻防实战对抗武器最大的威力,不在于武器本身,更在于使用的人。
青釭剑在赵云手里,可以削铁如泥、所向披靡,但在夏侯恩手里,就成了华而不实的摆设。同样,网络安全的产品技术再好,如果使用者能力不匹配,其威力同样发挥不出来。“天眼在走向实战化的过程中,最具有里程碑意义的事件,就是2018年,天眼与安全服务体系进行了整合,内部我们将这次调整戏称为这是天眼与安服的联姻。此举可以说让天眼如虎添翼,以最快的速度,天眼渗入到了一个又一个政企客户一线攻防对抗的现场,产品的实战化水平和易用性迅速迈上大台阶。
”张卓表示。据悉,奇安信拥有国内规模最大的网络安全服务团队,参与了APEC、G20、全国两会、一带一路、纪念抗战胜利70周年阅兵、十九大、上合峰会等国家重大活动网络安保工作,是同行业里参与重保次数最多、配备人力最多的企业,屡获国家相关部门和客户的认可及感谢。同时,奇安信是北京2022年冬奥会和冬残奥会官方网络安全服务赞助商。
奇安信安服团队的强大实力,给天眼实战化打下最坚实的基础。“好武器,用起来才是关键!而好不好用,一线人员说了算!”张卓表示,“天眼打开了威胁感知这个新品类市场之后,很快出现了很多跟随者和模仿者。
但从一线实操人员的反馈来看,没用和难用是客户最大的槽点,具体表现在看不懂、没结果、速度慢,等等。”张卓认为,要解决这个问题,唯有深入一线,下潜到实战现场,才能解决问题的本质。
和规模庞大的安服团队联姻,让天眼具备了得天独厚的优势。据介绍,在2019年攻防演习过程中,天眼深入到120多个攻防对抗的战场,采集需求三百多条,切实的来提升天眼产品能力,并规划出实战化威胁运营平台、邮件威胁检测系统等满足实战攻防场景的产品和组件。天眼和安服的联姻,效果也是立竿见影。在2019数博会上,奇安信“天眼+安服”安全运营服务荣获领先科技成果奖,在很大程度上体现了业内对“天眼+安服”的安全运营模式的认可。
展望:经受炮火洗礼的新天眼将成实战化利器“我没有想到天眼今天是如此的强大!”回忆天眼数年来的发展,奇安信集团董事长齐向东表示,“今天,天眼守护着遍布全国的上千家政企客户的网络系统。在政企客户的重要实战攻防演练以及十九大、一带一路、两会等网络安全专项保障行动中,天眼帮助安全专家累计监测攻击行为30余万次,发现漏洞利用行为上千起,成为了名副其实的攻防利器。”经过了数百次实战场景的炮火洗礼,近期发布的新天眼,在威胁检测能力,分析溯源能力,响应处置能力等方面都得到了全方位提升。
尤其是在易用性方面,天眼通过多达50多次的原型设计并和数千一线人员进行互动,收集易用性意见再进行优化,使得整个天眼产品的交互和易用性,得到了前所未有的提高。正如张卓所说的,魔高一尺,道高一丈,网络攻防技术在对抗中不停演进,从而驱动产品及技术不断迭代与发展。在2020年攻防演练不断强化的背景之下,攻防技术驱动下的新天眼,一定会是实战化的一款利器。
版权文章,未经授权禁止转载。详情见转载须知。
本文关键词:能打,才是,硬,道理,威九国际,真刀真枪,下,奇,安信,天眼
本文来源:威九国际-www.reynoldsandrowe.com