2021年3月11日，《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》正式發布，其中“加快數字化發展，建設數字中國”章節中里明確提出 “加強網絡安全保護，加強網絡安全基礎設施建設，提升網絡安全威脅發現、監測預警、應急指揮、攻擊溯源能力”等內容，再次凸顯出國家對網絡安全的重視程度，必將加速網絡安全基礎設施的建設進程。在政策大趨勢下，各行業的網絡安全基礎設施建設已經不再局限于安全產品的簡單堆疊，而更加關注如何通過安全運營提升整體安全防護能力。

在安全運營中需要在安全事件發生后對其進行細粒度的追蹤溯源分析，以此來應對四大安全靈魂拷問：誰攻進來過？干了什么？使用哪條路徑？失陷的核心原因是什么？為解決這些問題，天融信安全運營方案從失陷分析、威脅畫像、檢索分析、資產畫像、外聯分析、橫向移動等多維度提供追蹤溯源分析能力，為客戶構建一套從攻擊者、攻擊過程到被攻擊者的高效分析取證平臺。

拷問1：誰攻進來過？

Q：一旦發生攻擊行為，確定攻擊者一般是定損止損快速恢復業務之后的第二反應。可是在網絡攻擊行為中“人海茫茫”，找到人或者組織談何容易。

A：天融信安全運營方案利用失陷分析確定出失陷資產及失陷資產外聯的互聯網對象后，通過威脅畫像可將各資產、日志、流量、情報等數據進行有效整合分析，從攻擊鏈、攻擊端口、攻擊資產、攻擊內聯行為、威脅情報標記、黑白名單標記等不同維度進行攻擊源安全摸底，展示攻擊者行為輪廓，快速甄別出對企業及組織網絡有威脅的攻擊源及攻擊源危險程度。

拷問2：干了什么？

Q：確認攻擊事件后，如何利用技術手段摸清攻擊者或者是攻擊組織的攻擊行為，防止損失進一步擴大，是緊接著要考慮的第二個問題。

A：天融信安全運營方案圍繞攻擊源，檢索分析并提供多維條件檢索能力，給出攻擊源在網絡中的行為日志、攻擊日志、通聯關系、活動類型、關注目標，實現原始日詳細信息查看，留存下載攻擊行為的原始PCAP文件，預覽攻擊者進入到網絡中做過哪些“壞事”。

拷問3：使用哪條路徑？

Q：圈定“人”和“地”，還原攻擊者的攻擊手法以及攻擊思路，才是防患于未然的首要之道。這個過程比分析更難，需要綜合利用多種技術手段進行細粒度分析。

A：天融信安全運營方案通過對失陷資產進行資產畫像、外聯分析、橫向移動分析，掌握資產失陷前后的通聯關系、攻擊行為，完整回溯整個攻擊的發生傳播路徑，輔助客戶識別攻擊路徑及加固路徑中存在的薄弱點，避免攻擊路徑未來被再次利用。

拷問4：失陷的核心原因是什么？

Q：復盤，不是事無巨細的羅列，而是需要確認事件發生的核心原因。在網絡攻防戰中，復盤是上一次安全事件的必要結尾，同時也是下一次安全事件的最好準備。

A：天融信安全運營方案以資產畫像了解資產的存在的脆弱性、常用端口、訪問IP、部署的業務、活躍時間、活躍主體、以及流量分布和外聯行為等，從中找出異常點，進而挖掘出攻擊者攻陷資產的核心原因。

目前，天融信安全運營方案已在稅務、公安、運營商、海關、金融等多個行業幫助客戶開展了事件調查分析研判，加速了安全問題分析過程。未來，天融信將繼續秉承開放、創新的研發理念持續深耕追蹤溯源技術領域，進一步提升安全運營中效率，促進網絡安全防護能力的長效提升。