5月20日,在北京網絡安全大會BCS系列活動-冬奧網絡安全“零事故”宣傳周的首日“中國模式”峰會上,奇安信發布了全新的態勢感知研判系統。
這是奇安信首次公開分享北京冬奧會“零事故”經驗,也是態勢感知研判系統的公開發布。發布會上,奇安信集團態勢感知首席研判專家、冬奧網絡安全“零事故”宣講團專家趙晉龍,就研判系統如何為冬奧網絡安全保障和政企客戶網絡安全保障工作中提供快準穩的態勢感知研判服務,和如何全面提升態勢感知研判水平做了詳細的分析和解讀。
在冬奧保障期間,系統為冬奧網絡攻擊提供了高效、精確、有序的研判,極大提升了研判效率與水平。該系統發布后,將助力政企機構的網絡安全防御,實現態勢感知研判水平的快速躍升。
面對攻擊隨意發生的現狀,從海量數據之中找到存在高威脅可能的威脅主體,是該系統能夠做到掌控既遂、未遂的安全事件的關鍵。
看清是治理的第一步。趙晉龍表示,網絡安全告警的本質是存在一個明確的威脅主體懷著一定的意圖,對一個網絡系統發起各種手段的攻擊嘗試所引發的現象。研判系統就是要將存在高威脅可能的威脅主體從海量的威脅告警中判斷出來,因此,如何評估“高威脅可能”是研判工作的重中之重。
趙晉龍介紹,新的研判系統通過對基礎設施、攻擊能力與攻擊目的進行分析的基礎分析框架,根據攻擊者歷史上展現的攻擊手段、攻擊頻度、掌握基礎設施數量等多維度數據對其能力進行評估,將高威脅可能的主體從海量報警中找出,對既遂的安全事件進行有效應急處置,并針對高風險的未遂安全事件采取針對性防御和分析措施,進而全面提升面對海量報警時的分析研判能力與水平。
在北京冬奧保障過程中,研判系統為攻擊研判提供了快、準、穩的有效支撐。面對冬奧期間平均每分鐘4400次、共計3.8億次的網絡攻擊,如果沒有強大的分析研判體系,這樣海量的攻擊會讓有限的資源淹沒在處理無效告警之中。
在開幕式前,得益于白澤平臺數年來積累的過億量級的攻擊者庫,系統僅使用了1個人天,就把全部存量攻擊來源IP完成了分級和分類。從數以千萬計的攻擊中,快速篩查掉不需要關注的攻擊主體,并確定了15個高價值的攻擊者。
在冬奧保障期間,借助于系統的高效研判能力,每天研判增量攻擊者只需要1個工時。整個冬奧期間,共計研判IP地址超過5000個,調查近千攻擊者組織,100%覆蓋冬奧期間所有發起過攻擊的攻擊者。經過對其過往的調查和總結,標記高價值攻擊者和組織50余個,涉及APT、黑帽子、白帽子等,同時預先發現了境外APT組織的攻擊試探,并成功實現反制和預防,真正實現了高效、精確、有序的態勢感知研判分析。
