撕下APT的虚伪面具，发现安全运营守护之道

天融信 2022-05-08

随着信息化建设的推进，数据资产所承载的价值越来越高，安全运营成为重中之重。安全运营是将人、技术、流程三者进行有机结合的过程，通过明确人员职责分工、构建可重复操作流程、发现及响应网络安全风险和威胁，不断完善技术手段来迭代提升企业的安全防护水平。当前安全运营中面临的一个难点问题是APT攻击破坏性很大，但攻击痕迹隐蔽，难以尽早发现和防御。

2020年6月，iOS邮件客户端爆出远程代码执行漏洞，已经被在野利用长达两年。用户只需在邮件下载过程中，就能触发漏洞攻击获取iPhone数据。

2020年12月，SolarWinds公司旗下的网络监控软件遭黑客植入恶意代码。APT组织通过获得网络管理员的最高管理权限，获得长期的内部访问权限，从而长期控制目标、窃取核心数据。

经过对APT攻击的深入分析，天融信发现其难以被发现的主要原因有两点：一是攻击者通常利用0Day漏洞和从未被披露的攻击工具/网络资源，导致防护体系无法通过现有威胁库或规则库识别攻击行为；二是攻击者攻陷内网跳板节点并接入到目标网络后，为了长久隐蔽自身会极尽可能的模仿跳板节点正常行为，并在内网中横向移动悄悄收集信息，等待时机成熟后才扩大攻击效果以达成目标。

围绕APT攻击的特点，天融信在安全运营中以大数据技术为基础，引入AI分析算法，构建了一套能够灵活建模的智能化安全数据中台。

天融信智能化安全数据中台从终端、网络流量、业务系统三个监测点实时抓取用户及实体行为数据，辅以蜜罐主动防御信息及资产、人员、账号等基础企业信息进行用户及实体画像等三大能力，勾勒员工及设备行为轮廓，发现异常用户及实体的内网失陷事件，最终挖出潜伏在内网的高级威胁。

多源异构海量数据采集计算能力

通过SYSLOG、FTP、数据库表、消息总线、API等丰富的数据接口方式，汇聚全网设备、操作系统以及业务系统的日志数据；采用大数据分布式并行计算技术，灵活快速扩展数据存储计算能力，实现TB量级数据存储计算。

基于AI算法的强大安全建模能力

基于时序分析、回归、分类、聚类等多类AI算法，围绕攻击分析、内网失陷、数据泄露、业务异常、访问异常等各类应用场景提供分析模型，并支持用户自定义模型，从而针对DGA域名发现、隐蔽隧道检测、恶意URL自动识别等典型应用场景实现更高准确度和良好应用效果。

全面用户实体行为画像能力

全面关联分析用户实体行为数据及辅助信息，从行为轮廓、威胁事件、通联关系、基线异常、威胁关联等多个维度进行全方位用户画像，支持安全人员快速从画像中发现异常。

目前，天融信智能化安全数据中台已在政府、公安、金融、运营商等多个组织和行业中落地应用，帮助了多家单位及企业实现内网威胁识别与防护。在今后的网络安全建设中，天融信将基于AI技术与海量用户共筑网络安全堡垒，共建网络安全强国。

· 相关阅读 ·

让你的资产学会”分身术“02

天融信2020大数据发展之路