亞信網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院副院長(zhǎng)童寧
童寧表示:“黑客會(huì)針對(duì)常用安全防護(hù)軟件對(duì)惡意軟件進(jìn)行免殺處理�,傳統(tǒng)通過云端威脅情報(bào)來進(jìn)行防護(hù)的安全產(chǎn)品無法及時(shí)發(fā)現(xiàn)這些新的未知威脅,這導(dǎo)致了安全威脅的迅速蔓延���。在WannaCry事件中,大部分網(wǎng)絡(luò)安全解決方案之所以沒有對(duì)威脅及時(shí)響應(yīng)�,主要是因?yàn)椴《纠昧宋幢还_披露的遠(yuǎn)程漏洞利用工具,逃脫了安全防線的監(jiān)控�,而且會(huì)持續(xù)產(chǎn)生新的變種,超過了傳統(tǒng)威脅情報(bào)的反應(yīng)能力�。”
新興技術(shù)驅(qū)動(dòng)與防護(hù)體系變革
童寧分析稱���,要防范未知的網(wǎng)絡(luò)安全威脅�����,首先要做到的就是領(lǐng)先攻擊者一步���,對(duì)未知威脅進(jìn)行敏銳識(shí)別與快速響應(yīng)。而要從海量的數(shù)據(jù)中提取真正的威脅樣本數(shù)據(jù)�����,會(huì)對(duì)人力�、IT資源造成沉重的壓力。在此背景下�,機(jī)器學(xué)習(xí)技術(shù)應(yīng)運(yùn)而生���,即通過威脅樣本的DNA進(jìn)行特征匹配,并通過模擬真實(shí)的環(huán)境來判斷樣本是否真的對(duì)企業(yè)網(wǎng)絡(luò)構(gòu)成威脅���。在WannaCry事件中�����,亞信安全成功的在沒有病毒碼之前���,通過機(jī)器學(xué)習(xí)技術(shù)發(fā)現(xiàn)了WannaCry勒索蠕蟲病毒的可疑行為。
針對(duì)未知威脅的發(fā)現(xiàn)��、分析和處理�����,疑似惡意威脅發(fā)現(xiàn)與分析技術(shù)將扮演重要作用����。童寧指出:疑似惡意威脅發(fā)現(xiàn)技術(shù)可分析100種以上的網(wǎng)絡(luò)協(xié)議與應(yīng)用程序,偵測(cè)多種威脅��,并真實(shí)呈現(xiàn)威脅攻擊的階段性信息,讓管理者可以針對(duì)不同階段的攻擊采取適當(dāng)?shù)膽?yīng)變措施��;疑似惡意威脅分析技術(shù)涵蓋了定制化沙箱���、多重分析引擎、全球威脅情報(bào)等能力�,能夠提升針對(duì)企業(yè)的定向威脅偵測(cè)能力,并對(duì)多種文件類型與URL提供全面的威脅偵測(cè)���。
此外�,童寧還分析了調(diào)查取證技術(shù)在亞信安全處置WannaCry事件中的應(yīng)用�����。首先要滿足安全調(diào)查取證的要求�,需要通過本地的網(wǎng)絡(luò)取證設(shè)備、終端取證設(shè)備和沙箱分析設(shè)備獲取所有安全事件記錄����,匯總到大數(shù)據(jù)調(diào)查取證中心;同時(shí)通過云端威脅情報(bào)回路共享全球的安全事件��,也輸送到大數(shù)據(jù)調(diào)查取證中心��,進(jìn)行統(tǒng)一地關(guān)聯(lián)分析,形成完整的取證鏈條���。在WannaCry事件中���,亞信安全通過調(diào)查取證,繪制了病毒從漏洞入口-蠕蟲感染-本地勒索行為-內(nèi)網(wǎng)傳播的完整鏈條�����,幫助安全人員清晰的了解安全事態(tài)�����。
中國(guó)工程院院士沈昌祥在與亞信安全工作人員的交流過程中����,對(duì)亞信安全成功防御WannaCry勒索蠕蟲的能力表示認(rèn)可,并特別指出:“從WannaCry事件中可以看到����,風(fēng)險(xiǎn)是無處不在的,也是‘堵’不完的���,所以我們要建立科學(xué)的網(wǎng)絡(luò)安全觀���,更要掌握前沿安全技術(shù)�����,比如中國(guó)在可信計(jì)算領(lǐng)域的創(chuàng)新發(fā)展�����,要建立可信的免疫計(jì)算模式與結(jié)構(gòu),形成主動(dòng)免疫的云計(jì)算安全����。”
借助前沿網(wǎng)絡(luò)安全技術(shù)��,打造清朗的網(wǎng)絡(luò)空間
借助前沿的網(wǎng)絡(luò)安全技術(shù)�,亞信安全已經(jīng)建設(shè)了本地威脅情報(bào)中心,通過本地威脅情報(bào)智能聯(lián)動(dòng)防護(hù)體系來實(shí)現(xiàn)本地疑似威脅自動(dòng)上報(bào)�、威脅情報(bào)實(shí)時(shí)更新、疑似威脅自動(dòng)分析與反饋�����,實(shí)現(xiàn)從“事件響應(yīng)”到“持續(xù)響應(yīng)”的轉(zhuǎn)換���,有效應(yīng)對(duì)威脅回溯和威脅預(yù)測(cè)的挑戰(zhàn)�。亞信安全力圖通過人工智能、機(jī)器學(xué)習(xí)����、惡意威脅發(fā)現(xiàn)與分析、新一代態(tài)勢(shì)感知等前沿網(wǎng)絡(luò)安全技術(shù)�����,抵御日益精進(jìn)的網(wǎng)絡(luò)安全威脅�����,全力打造清朗的網(wǎng)絡(luò)空間�����。
