随着信息化建设的推进,数据资产所承载的价值越来越高,安全运营成为重中之重。安全运营是将人、技术、流程三者进行有机结合的过程,通过明确人员职责分工、构建可重复操作流程、发现及响应网络安全风险和威胁,不断完善技术手段来迭代提升企业的安全防护水平。当前安全运营中面临的一个难点问题是apt攻击破坏性很大,但攻击痕迹隐蔽,难以尽早发现和防御。
2020年6月,ios邮件客户端爆出远程代码执行漏洞,已经被在野利用长达两年。用户只需在邮件下载过程中,就能触发漏洞攻击获取iphone数据。
2020年12月,solarwinds公司旗下的网络监控软件遭黑客植入恶意代码。apt组织通过获得网络管理员的最高管理权限,获得长期的内部访问权限,从而长期控制目标、窃取核心数据。
经过对apt攻击的深入分析,天融信发现其难以被发现的主要原因有两点:一是攻击者通常利用0day漏洞和从未被披露的攻击工具/网络资源,导致防护体系无法通过现有威胁库或规则库识别攻击行为;二是攻击者攻陷内网跳板节点并接入到目标网络后,为了长久隐蔽自身会极尽可能的模仿跳板节点正常行为,并在内网中横向移动悄悄收集信息,等待时机成熟后才扩大攻击效果以达成目标。
围绕apt攻击的特点,天融信在安全运营中以大数据技术为基础,引入ai分析算法,构建了一套能够灵活建模的智能化安全数据中台。
天融信智能化安全数据中台从终端、网络流量、业务系统三个监测点实时抓取用户及实体行为数据,辅以蜜罐主动防御信息及资产、人员、账号等基础企业信息进行用户及实体画像等三大能力,勾勒员工及设备行为轮廓,发现异常用户及实体的内网失陷事件,最终挖出潜伏在内网的高级威胁。
多源异构海量数据采集计算能力
通过syslog、ftp、数据库表、消息总线、api等丰富的数据接口方式,汇聚全网设备、操作系统以及业务系统的日志数据;采用大数据分布式并行计算技术,灵活快速扩展数据存储计算能力,实现tb量级数据存储计算。
基于ai算法的强大安全建模能力
基于时序分析、回归、分类、聚类等多类ai算法,围绕攻击分析、内网失陷、数据泄露、业务异常、访问异常等各类应用场景提供分析模型,并支持用户自定义模型,从而针对dga域名发现、隐蔽隧道检测、恶意url自动识别等典型应用场景实现更高准确度和良好应用效果。
全面用户实体行为画像能力
全面关联分析用户实体行为数据及辅助信息,从行为轮廓、威胁事件、通联关系、基线异常、威胁关联等多个维度进行全方位用户画像,支持安全人员快速从画像中发现异常。
目前,天融信智能化安全数据中台已在政府、公安、金融、运营商等多个组织和行业中落地应用,帮助了多家单位及企业实现内网威胁识别与防护。在今后的网络安全建设中,天融信将基于ai技术与海量用户共筑网络安全堡垒,共建网络安全强国。
- 关键词标签:
- 天融信 apt攻击 安全运营