5月20日，在北京網(wǎng)絡(luò)安全大會(huì)BCS系列活動(dòng)-冬奧網(wǎng)絡(luò)安全“零事故”宣傳周的首日“中國(guó)模式”峰會(huì)上，奇安信發(fā)布了全新的態(tài)勢(shì)感知研判系統(tǒng)。

這是奇安信首次公開(kāi)分享北京冬奧會(huì)“零事故”經(jīng)驗(yàn)，也是態(tài)勢(shì)感知研判系統(tǒng)的公開(kāi)發(fā)布。發(fā)布會(huì)上，奇安信集團(tuán)態(tài)勢(shì)感知首席研判專家、冬奧網(wǎng)絡(luò)安全“零事故”宣講團(tuán)專家趙晉龍，就研判系統(tǒng)如何為冬奧網(wǎng)絡(luò)安全保障和政企客戶網(wǎng)絡(luò)安全保障工作中提供快準(zhǔn)穩(wěn)的態(tài)勢(shì)感知研判服務(wù)，和如何全面提升態(tài)勢(shì)感知研判水平做了詳細(xì)的分析和解讀。

在冬奧保障期間，系統(tǒng)為冬奧網(wǎng)絡(luò)攻擊提供了高效、精確、有序的研判，極大提升了研判效率與水平。該系統(tǒng)發(fā)布后，將助力政企機(jī)構(gòu)的網(wǎng)絡(luò)安全防御，實(shí)現(xiàn)態(tài)勢(shì)感知研判水平的快速躍升。

面對(duì)攻擊隨意發(fā)生的現(xiàn)狀，從海量數(shù)據(jù)之中找到存在高威脅可能的威脅主體，是該系統(tǒng)能夠做到掌控既遂、未遂的安全事件的關(guān)鍵。

看清是治理的第一步。趙晉龍表示，網(wǎng)絡(luò)安全告警的本質(zhì)是存在一個(gè)明確的威脅主體懷著一定的意圖，對(duì)一個(gè)網(wǎng)絡(luò)系統(tǒng)發(fā)起各種手段的攻擊嘗試所引發(fā)的現(xiàn)象。研判系統(tǒng)就是要將存在高威脅可能的威脅主體從海量的威脅告警中判斷出來(lái)，因此，如何評(píng)估“高威脅可能”是研判工作的重中之重。

趙晉龍介紹，新的研判系統(tǒng)通過(guò)對(duì)基礎(chǔ)設(shè)施、攻擊能力與攻擊目的進(jìn)行分析的基礎(chǔ)分析框架，根據(jù)攻擊者歷史上展現(xiàn)的攻擊手段、攻擊頻度、掌握基礎(chǔ)設(shè)施數(shù)量等多維度數(shù)據(jù)對(duì)其能力進(jìn)行評(píng)估，將高威脅可能的主體從海量報(bào)警中找出，對(duì)既遂的安全事件進(jìn)行有效應(yīng)急處置，并針對(duì)高風(fēng)險(xiǎn)的未遂安全事件采取針對(duì)性防御和分析措施，進(jìn)而全面提升面對(duì)海量報(bào)警時(shí)的分析研判能力與水平。

在北京冬奧保障過(guò)程中，研判系統(tǒng)為攻擊研判提供了快、準(zhǔn)、穩(wěn)的有效支撐。面對(duì)冬奧期間平均每分鐘4400次、共計(jì)3.8億次的網(wǎng)絡(luò)攻擊，如果沒(méi)有強(qiáng)大的分析研判體系，這樣海量的攻擊會(huì)讓有限的資源淹沒(méi)在處理無(wú)效告警之中。

在開(kāi)幕式前，得益于白澤平臺(tái)數(shù)年來(lái)積累的過(guò)億量級(jí)的攻擊者庫(kù)，系統(tǒng)僅使用了1個(gè)人天，就把全部存量攻擊來(lái)源IP完成了分級(jí)和分類。從數(shù)以千萬(wàn)計(jì)的攻擊中，快速篩查掉不需要關(guān)注的攻擊主體，并確定了15個(gè)高價(jià)值的攻擊者。

在冬奧保障期間，借助于系統(tǒng)的高效研判能力，每天研判增量攻擊者只需要1個(gè)工時(shí)。整個(gè)冬奧期間，共計(jì)研判IP地址超過(guò)5000個(gè)，調(diào)查近千攻擊者組織，100%覆蓋冬奧期間所有發(fā)起過(guò)攻擊的攻擊者。經(jīng)過(guò)對(duì)其過(guò)往的調(diào)查和總結(jié)，標(biāo)記高價(jià)值攻擊者和組織50余個(gè)，涉及APT、黑帽子、白帽子等，同時(shí)預(yù)先發(fā)現(xiàn)了境外APT組織的攻擊試探，并成功實(shí)現(xiàn)反制和預(yù)防，真正實(shí)現(xiàn)了高效、精確、有序的態(tài)勢(shì)感知研判分析。

關(guān)鍵詞： 網(wǎng)絡(luò)安全