|
前言
昨天��,“老周話安全”為大家解讀了大安全時代的網(wǎng)絡(luò)安全現(xiàn)狀�����,指出網(wǎng)絡(luò)空間的安全問題已不再是從單純的信息安全���,已經(jīng)擴展到國家安全、國防安全����、關(guān)鍵基礎(chǔ)設(shè)施安全、社會安全��、經(jīng)濟安全和個人安全��。我們已經(jīng)進入“大安全”時代���,而APT(高級持續(xù)性威脅)攻擊是大安全時代的最大威脅。今天���,“老周話安全”將為你解讀應(yīng)對APT攻擊的破局之策�����。
在大安全時代下應(yīng)對APT攻擊����,“看見”是關(guān)鍵,最可怕的是“別人來了你不知道����,別人走了你也不知道,干了什么也不知道�����,留下了什么你更不知道”�。沒有攻不進的系統(tǒng),只有不努力的黑客���。如果我們不能解決看見網(wǎng)絡(luò)攻擊的問題�,堆砌再多的安全產(chǎn)品�,也如同打仗沒有雷達,有再多的導(dǎo)彈也看不到別人的隱身飛機在哪里��。這樣的話談何溯源?談何反制�����?談何響應(yīng)��?所以�����,看見APT攻擊是1�����,其余都是0��,只有看見了�����,其余才能發(fā)揮作用�。
那么如何實現(xiàn)“看見”呢?需要三個必要條件:安全大數(shù)據(jù)是看見的基礎(chǔ)���;威脅情報和知識庫幫助在大數(shù)據(jù)中篩選�����;高級別攻防專家起決定性作用�����。
一
安全大數(shù)據(jù)是看見的基礎(chǔ)
單一���、局部數(shù)據(jù)只能反映碎片化痕跡,無法還原整個攻擊過程�,只有把所有的碎片數(shù)據(jù)統(tǒng)一起來,才能看到攻擊的來龍去脈����。企業(yè)和個人的設(shè)備在一張網(wǎng)里,只有企業(yè)的數(shù)據(jù)是不夠的�����,網(wǎng)絡(luò)攻擊鏈條無法繞開“個人”�,事實表明,大部分線索都是從“個人”這里先找到的����,必須擁有全網(wǎng)大數(shù)據(jù)�����。
二
威脅情報和知識庫幫助篩選
面對浩如煙海的大數(shù)據(jù)�����,如何把所有攻擊行為數(shù)據(jù)記錄下來��,如何區(qū)分正常行為與惡意行為�?這就需要用到人工智能��。360的人工智能技術(shù)起步較早�����,2010年時��,人工智能尚未興起����,但360已經(jīng)應(yīng)用了機器學(xué)習(xí)技術(shù),首創(chuàng)了360QVM人工智能引擎�����。 但是,人工智能不是萬能的�����。人工智能篩選惡意行為的前提是知識庫��。唯有通過知識庫標(biāo)記問題數(shù)據(jù)��,才能訓(xùn)練人工智能技術(shù)���。 知識庫包含惡意樣本、攻擊行為和模型等��。目前360積累匯集了230億惡意樣本����。今天,其他國家網(wǎng)軍制作的攻擊軟件也不是“從石頭里蹦出來的孫猴子”����,它一定參考了很多成熟的惡意代碼技術(shù)。所以����,通過知識庫驅(qū)動的人工智能就能發(fā)現(xiàn)這些攻擊行為��。
三
高級別攻防專家起決定性作用
網(wǎng)絡(luò)攻擊的本質(zhì)是人與人的對抗�。當(dāng)利用大數(shù)據(jù)�����、知識庫篩選出可疑的入侵線索以后���,靠任何自動化的軟件自動甄別��、阻斷是不可能的�,需要通過專家快速響應(yīng)�、深度分析,才能夠發(fā)現(xiàn)和定位攻擊����,及時阻斷、止損及溯源��。 目前��,360擁有超200人的安全精英團隊����,超3000人的安全專家團隊�����,17支攻防專家團隊�����,12個安全研究中心����。這不是一夜之間積累的�,而是通過十幾年在安全行業(yè)不斷積累����、招募、培養(yǎng)才形成的�����。
這三點就是360網(wǎng)絡(luò)安全大腦的核心資源����。
在網(wǎng)絡(luò)空間中��, 安全大腦的角色相當(dāng)于現(xiàn)代戰(zhàn)爭的雷達�, 是能“看見”APT攻擊��、威脅的眼睛�����。
|
