隨著信息化建設的推進，數據資產所承載的價值越來越高，安全運營成為重中之重。安全運營是將人、技術、流程三者進行有機結合的過程，通過明確人員職責分工、構建可重復操作流程、發現及響應網絡安全風險和威脅，不斷完善技術手段來迭代提升企業的安全防護水平。當前安全運營中面臨的一個難點問題是APT攻擊破壞性很大，但攻擊痕跡隱蔽，難以盡早發現和防御。

2020年6月，iOS郵件客戶端爆出遠程代碼執行漏洞，已經被在野利用長達兩年。用戶只需在郵件下載過程中，就能觸發漏洞攻擊獲取iPhone數據。

2020年12月，SolarWinds公司旗下的網絡監控軟件遭黑客植入惡意代碼。APT組織通過獲得網絡管理員的最高管理權限，獲得長期的內部訪問權限，從而長期控制目標、竊取核心數據。

經過對APT攻擊的深入分析，天融信發現其難以被發現的主要原因有兩點：一是攻擊者通常利用0Day漏洞和從未被披露的攻擊工具/網絡資源，導致防護體系無法通過現有威脅庫或規則庫識別攻擊行為；二是攻擊者攻陷內網跳板節點并接入到目標網絡后，為了長久隱蔽自身會極盡可能的模仿跳板節點正常行為，并在內網中橫向移動悄悄收集信息，等待時機成熟后才擴大攻擊效果以達成目標。

圍繞APT攻擊的特點，天融信在安全運營中以大數據技術為基礎，引入AI分析算法，構建了一套能夠靈活建模的智能化安全數據中臺。

天融信智能化安全數據中臺從終端、網絡流量、業務系統三個監測點實時抓取用戶及實體行為數據，輔以蜜罐主動防御信息及資產、人員、賬號等基礎企業信息進行用戶及實體畫像等三大能力，勾勒員工及設備行為輪廓，發現異常用戶及實體的內網失陷事件，最終挖出潛伏在內網的高級威脅。

多源異構海量數據采集計算能力

通過SYSLOG、FTP、數據庫表、消息總線、API等豐富的數據接口方式，匯聚全網設備、操作系統以及業務系統的日志數據；采用大數據分布式并行計算技術，靈活快速擴展數據存儲計算能力，實現TB量級數據存儲計算。

基于AI算法的強大安全建模能力

基于時序分析、回歸、分類、聚類等多類AI算法，圍繞攻擊分析、內網失陷、數據泄露、業務異常、訪問異常等各類應用場景提供分析模型，并支持用戶自定義模型，從而針對DGA域名發現、隱蔽隧道檢測、惡意URL自動識別等典型應用場景實現更高準確度和良好應用效果。

全面用戶實體行為畫像能力

全面關聯分析用戶實體行為數據及輔助信息，從行為輪廓、威脅事件、通聯關系、基線異常、威脅關聯等多個維度進行全方位用戶畫像，支持安全人員快速從畫像中發現異常。

目前，天融信智能化安全數據中臺已在政府、公安、金融、運營商等多個組織和行業中落地應用，幫助了多家單位及企業實現內網威脅識別與防護。在今后的網絡安全建設中，天融信將基于AI技術與海量用戶共筑網絡安全堡壘，共建網絡安全強國。