5月20日，在北京網(wǎng)絡(luò)安全大會BCS系列活動-冬奧網(wǎng)絡(luò)安全“零事故”宣傳周的首日“中國模式”峰會上，奇安信發(fā)布了全新的態(tài)勢感知研判系統(tǒng)。

　　這是奇安信首次公開分享北京冬奧會“零事故”經(jīng)驗，也是態(tài)勢感知研判系統(tǒng)的公開發(fā)布。發(fā)布會上，奇安信集團態(tài)勢感知首席研判專家、冬奧網(wǎng)絡(luò)安全“零事故”宣講團專家趙晉龍，就研判系統(tǒng)如何為冬奧網(wǎng)絡(luò)安全保障和政企客戶網(wǎng)絡(luò)安全保障工作中提供快準(zhǔn)穩(wěn)的態(tài)勢感知研判服務(wù)，和如何全面提升態(tài)勢感知研判水平做了詳細(xì)的分析和解讀。

　　在冬奧保障期間，系統(tǒng)為冬奧網(wǎng)絡(luò)攻擊提供了高效、精確、有序的研判，極大提升了研判效率與水平。該系統(tǒng)發(fā)布后，將助力政企機構(gòu)的網(wǎng)絡(luò)安全防御，實現(xiàn)態(tài)勢感知研判水平的快速躍升。

　　面對攻擊隨意發(fā)生的現(xiàn)狀，從海量數(shù)據(jù)之中找到存在高威脅可能的威脅主體，是該系統(tǒng)能夠做到掌控既遂、未遂的安全事件的關(guān)鍵。

　　看清是治理的第一步。趙晉龍表示，網(wǎng)絡(luò)安全告警的本質(zhì)是存在一個明確的威脅主體懷著一定的意圖，對一個網(wǎng)絡(luò)系統(tǒng)發(fā)起各種手段的攻擊嘗試所引發(fā)的現(xiàn)象。研判系統(tǒng)就是要將存在高威脅可能的威脅主體從海量的威脅告警中判斷出來，因此，如何評估“高威脅可能”是研判工作的重中之重。

　　趙晉龍介紹，新的研判系統(tǒng)通過對基礎(chǔ)設(shè)施、攻擊能力與攻擊目的進(jìn)行分析的基礎(chǔ)分析框架，根據(jù)攻擊者歷史上展現(xiàn)的攻擊手段、攻擊頻度、掌握基礎(chǔ)設(shè)施數(shù)量等多維度數(shù)據(jù)對其能力進(jìn)行評估，將高威脅可能的主體從海量報警中找出，對既遂的安全事件進(jìn)行有效應(yīng)急處置，并針對高風(fēng)險的未遂安全事件采取針對性防御和分析措施，進(jìn)而全面提升面對海量報警時的分析研判能力與水平。

　　在北京冬奧保障過程中，研判系統(tǒng)為攻擊研判提供了快、準(zhǔn)、穩(wěn)的有效支撐。面對冬奧期間平均每分鐘4400次、共計3.8億次的網(wǎng)絡(luò)攻擊，如果沒有強大的分析研判體系，這樣海量的攻擊會讓有限的資源淹沒在處理無效告警之中。

　　在開幕式前，得益于白澤平臺數(shù)年來積累的過億量級的攻擊者庫，系統(tǒng)僅使用了1個人天，就把全部存量攻擊來源IP完成了分級和分類。從數(shù)以千萬計的攻擊中，快速篩查掉不需要關(guān)注的攻擊主體，并確定了15個高價值的攻擊者。

　　在冬奧保障期間，借助于系統(tǒng)的高效研判能力，每天研判增量攻擊者只需要1個工時。整個冬奧期間，共計研判IP地址超過5000個，調(diào)查近千攻擊者組織，100%覆蓋冬奧期間所有發(fā)起過攻擊的攻擊者。經(jīng)過對其過往的調(diào)查和總結(jié)，標(biāo)記高價值攻擊者和組織50余個，涉及APT、黑帽子、白帽子等，同時預(yù)先發(fā)現(xiàn)了境外APT組織的攻擊試探，并成功實現(xiàn)反制和預(yù)防，真正實現(xiàn)了高效、精確、有序的態(tài)勢感知研判分析。

   【免責(zé)聲明】本文僅代表第三方觀點，不代表和訊網(wǎng)立場。投資者據(jù)此操作，風(fēng)險請自擔(dān)。