年关将至
各行各业都开启了“冲业绩”模式
黑客们也不例外
往往企图在年终
开展承上启下的“收尾”工作
防范网络风险
协同式威胁研判与感知至关重要
看小天如何出招~
最近一年多来,哪些重大安全事件让你印象深刻?
希腊教育部
遭受该国历史上最严重的网络攻击
导致高中考试中断和延迟
英国王室
官方网站遭受分布式 ddos攻击
导致“royal.uk”网站无法访问大约90 分钟
德国汉莎航空
遭受ddos攻击
导致200架航班停飞,数千名乘客被滞留
以上事件,均有隐蔽性高、危害性大的特点。数字化时代,网络结构持续动态变化,高级持续性威胁不断升级。尽管人工智能给全球网络安全防御提供了新的视角,但ai武器化亦给网络安全形势带来了火上浇油的重要影响。
网络环境复杂多变,威胁事件爆发前,攻击者的攻击行为线索往往隐藏在海量的安全日志中,管理人员很难察觉。虽然企业希望在网络防护中变得更加主动和具有预测性,但在海量安全事件中,目前企业的威胁分析仍存有以下困境。
1、日志数据体量庞大,无法高效研判。
企业安全检测设备产生大量的检测日志,这些日志中是否存在真实的安全攻击事件,通常需要经验丰富的安全运营人员逐条去研判分析,缺乏自动化手段,效率低下。
2、研判分析工具单一,缺少人机交互。
安全攻击事件的证据线索会涉及到网络流量、终端行为、威胁情报、主机漏洞等多种数据,当缺乏完善的研判分析工具时,企业安全运营人员则难以轻松地从数据中提炼出证据线索,更无法高效判断证据线索的真实性与有效性。
3、攻击过程复杂,难以还原事件全貌。
安全攻击事件的发生过程往往由多个环节构成,需要反复研判分析取证,没有可视化的综合分析工具辅助,难以快速还原事件发生全过程。
针对以上问题,天融信积极探索协同式威胁研判最佳实践,以多维分析技术为支撑,通过ai与人机结合,分三步实现安全攻击事件真伪的高效研判,可帮助客户解决数据治理、关联分析、威胁研判、智能建模等业务问题。
第一步:通过ai技术,将来源可信度、规则可信度、ip可信度、威胁情报的命中情况与黑白名单命中情况进行自动分析,形成安全攻击事件的初步可信度。
第二步:提供终端分析、关联分析、流量分析等多种研判分析工具给安全运营人员,对初步可信度较高的安全攻击事件自动提取研判线索,再由安全运营人员进行人工确认给出准确可信度。
第三步:通过协同式研判工具生成研判记录,根据研判记录生成攻击过程图。
天融信协同式威胁研判最佳实践特点
○ 自动研判
在安全攻击事件研判过程中,先根据可信度指标体系自动给出初步可信度,再根据初步可信度完成自动研判,提升研判效率。
○ 关联线索
多种研判分析工具协同,可以自动提取安全攻击事件研判线索,安全运营人员无需从外部系统进行线索的取证,研判线索可按需关联展示。
○ 协同分析
无法自动研判的安全事件可结合人工进行协同式研判,协同系统自动关联研判线索与人工的取证给出准确研判结果。
○ 研判记录
实时记录自动研判与协同式研判过程,根据研判工具记录、标记的线索证据,生成研判记录与研判报告。
○ 事件还原
根据研判过程生成攻击路径,通过攻击过程图还原安全攻击事件攻击过程,为攻击事件深度分析提供依据。
据《idc futurescape:2024年中国中小企业数字化发展十大预测》报告,网络犯罪越来越频繁,形式越来越复杂,使得中小企业愈发不能忽视其威胁。到2025年,至少35%的中小企业积极采取措施来降低风险,以应对针对中小企业的网络安全攻击。未来,天融信将继续深耕技术创新,不断在威胁分析方面寻求更大突破,实力护航企业安全运营与数字化转型!