年關將至

各行各業都開啟了“沖業績”模式

黑客們也不例外

往往企圖在年終

開展承上啟下的“收尾”工作

防范網絡風險

協同式威脅研判與感知至關重要

看小天如何出招～

最近一年多來，哪些重大安全事件讓你印象深刻？

希臘教育部

遭受該國歷史上最嚴重的網絡攻擊

導致高中考試中斷和延遲

英國王室

官方網站遭受分布式 DDoS攻擊

導致“Royal.uk”網站無法訪問大約90 分鐘

德國漢莎航空

遭受DDoS攻擊

導致200架航班停飛，數千名乘客被滯留

以上事件，均有隱蔽性高、危害性大的特點。數字化時代，網絡結構持續動態變化，高級持續性威脅不斷升級。盡管人工智能給全球網絡安全防御提供了新的視角，但AI武器化亦給網絡安全形勢帶來了火上澆油的重要影響。

網絡環境復雜多變，威脅事件爆發前，攻擊者的攻擊行為線索往往隱藏在海量的安全日志中，管理人員很難察覺。雖然企業希望在網絡防護中變得更加主動和具有預測性，但在海量安全事件中，目前企業的威脅分析仍存有以下困境。

1、日志數據體量龐大，無法高效研判。

企業安全檢測設備產生大量的檢測日志，這些日志中是否存在真實的安全攻擊事件，通常需要經驗豐富的安全運營人員逐條去研判分析，缺乏自動化手段，效率低下。

2、研判分析工具單一，缺少人機交互。

安全攻擊事件的證據線索會涉及到網絡流量、終端行為、威脅情報、主機漏洞等多種數據，當缺乏完善的研判分析工具時，企業安全運營人員則難以輕松地從數據中提煉出證據線索，更無法高效判斷證據線索的真實性與有效性。

3、攻擊過程復雜，難以還原事件全貌。

安全攻擊事件的發生過程往往由多個環節構成，需要反復研判分析取證，沒有可視化的綜合分析工具輔助，難以快速還原事件發生全過程。

針對以上問題，天融信積極探索協同式威脅研判最佳實踐，以多維分析技術為支撐，通過AI與人機結合，分三步實現安全攻擊事件真偽的高效研判，可幫助客戶解決數據治理、關聯分析、威脅研判、智能建模等業務問題。

第一步：通過AI技術，將來源可信度、規則可信度、IP可信度、威脅情報的命中情況與黑白名單命中情況進行自動分析，形成安全攻擊事件的初步可信度。

第二步：提供終端分析、關聯分析、流量分析等多種研判分析工具給安全運營人員，對初步可信度較高的安全攻擊事件自動提取研判線索，再由安全運營人員進行人工確認給出準確可信度。

第三步：通過協同式研判工具生成研判記錄，根據研判記錄生成攻擊過程圖。

天融信協同式威脅研判最佳實踐特點

○ 自動研判

在安全攻擊事件研判過程中，先根據可信度指標體系自動給出初步可信度，再根據初步可信度完成自動研判，提升研判效率。

○ 關聯線索

多種研判分析工具協同，可以自動提取安全攻擊事件研判線索，安全運營人員無需從外部系統進行線索的取證，研判線索可按需關聯展示。

○ 協同分析

無法自動研判的安全事件可結合人工進行協同式研判，協同系統自動關聯研判線索與人工的取證給出準確研判結果。

○ 研判記錄

實時記錄自動研判與協同式研判過程，根據研判工具記錄、標記的線索證據，生成研判記錄與研判報告。

○ 事件還原

根據研判過程生成攻擊路徑，通過攻擊過程圖還原安全攻擊事件攻擊過程，為攻擊事件深度分析提供依據。

據《IDC FutureScape：2024年中國中小企業數字化發展十大預測》報告，網絡犯罪越來越頻繁，形式越來越復雜，使得中小企業愈發不能忽視其威脅。到2025年，至少35%的中小企業積極采取措施來降低風險，以應對針對中小企業的網絡安全攻擊。未來，天融信將繼續深耕技術創新，不斷在威脅分析方面尋求更大突破，實力護航企業安全運營與數字化轉型！