亞信安全童寧:網絡威脅態勢不斷復雜精進 安全防護技術需持續升級
11月8日~9日,2017國際反病毒大會在天津召開,亞信安全作為協辦單位,與來自全球多個國家、政府相關部門、協會和企業的網絡信息安全和反病毒領域頂級專家匯聚一堂。本次大會以“萬物互聯背景下反病毒的新挑戰”主題,針對當前突出的網絡安全熱點問題,及前沿技術和發展趨勢進行了深入研討。亞信網絡安全產業技術研究院副院長童寧在主題演講中以WannaCry勒索蠕蟲事件為例,分析了如何通過態勢感知、人工智能、機器學習、惡意威脅發現與分析等前沿網絡安全技術,抵御日益精進的網絡安全威脅。
網絡威脅呈不斷復雜化、精進化趨勢發展
今年5月份,爆發了席卷全球的WannaCry勒索蠕蟲病毒事件,黑客組織利用Shadow Brokers泄漏的最新NSA黑客工具和漏洞代碼,制作了迅速蔓延的勒索蠕蟲病毒,給全球各行各業造成了廣泛的危害,引發了全球范圍內的恐慌。WannaCry事件折射的是網絡安全威脅不斷復雜化、精進化的趨勢。亞信安全調查顯示,新病毒誕生的平均時間已經縮短至1.7秒,從2015年到2016年勒索軟件家族成長率高達752%,未知威脅所引起的成功入侵所占比例高達90%,對防病毒技術能力提升提出了非常緊迫的要求。
【亞信網絡安全產業技術研究院副院長童寧】
童寧表示:“黑客會針對常用安全防護軟件對惡意軟件進行免殺處理,傳統通過云端威脅情報來進行防護的安全產品無法及時發現這些新的未知威脅,這導致了安全威脅的迅速蔓延。在WannaCry事件中,大部分網絡安全解決方案之所以沒有對威脅及時響應,主要是因為病毒利用了未被公開披露的遠程漏洞利用工具,逃脫了安全防線的監控,而且會持續產生新的變種,超過了傳統威脅情報的反應能力。”
新興技術驅動與防護體系變革
童寧分析稱,要防范未知的網絡安全威脅,首先要做到的就是領先攻擊者一步,對未知威脅進行敏銳識別與快速響應。而要從海量的數據中提取真正的威脅樣本數據,會對人力、IT資源造成沉重的壓力。在此背景下,機器學習技術應運而生,即通過威脅樣本的DNA進行特征匹配,并通過模擬真實的環境來判斷樣本是否真的對企業網絡構成威脅。在WannaCry事件中,亞信安全成功的在沒有病毒碼之前,通過機器學習技術發現了WannaCry勒索蠕蟲病毒的可疑行為。
針對未知威脅的發現、分析和處理,疑似惡意威脅發現與分析技術將扮演重要作用。童寧指出:疑似惡意威脅發現技術可分析100種以上的網絡協議與應用程序,偵測多種威脅,并真實呈現威脅攻擊的階段性信息,讓管理者可以針對不同階段的攻擊采取適當的應變措施;疑似惡意威脅分析技術涵蓋了定制化沙箱、多重分析引擎、全球威脅情報等能力,能夠提升針對企業的定向威脅偵測能力,并對多種文件類型與URL提供全面的威脅偵測。
此外,童寧還分析了調查取證技術在亞信安全處置WannaCry事件中的應用。首先要滿足安全調查取證的要求,需要通過本地的網絡取證設備、終端取證設備和沙箱分析設備獲取所有安全事件記錄,匯總到大數據調查取證中心;同時通過云端威脅情報回路共享全球的安全事件,也輸送到大數據調查取證中心,進行統一地關聯分析,形成完整的取證鏈條。在WannaCry事件中,亞信安全通過調查取證,繪制了病毒從漏洞入口-蠕蟲感染-本地勒索行為-內網傳播的完整鏈條,幫助安全人員清晰的了解安全事態。
中國工程院院士沈昌祥在與亞信安全工作人員的交流過程中,對亞信安全成功防御WannaCry勒索蠕蟲的能力表示認可,并特別指出:“從WannaCry事件中可以看到,風險是無處不在的,也是‘堵’不完的,所以我們要建立科學的網絡安全觀,更要掌握前沿安全技術,比如中國在可信計算領域的創新發展,要建立可信的免疫計算模式與結構,形成主動免疫的云計算安全。”
借助前沿網絡安全技術,打造清朗的網絡空間
借助前沿的網絡安全技術,亞信安全已經建設了本地威脅情報中心,通過本地威脅情報智能聯動防護體系來實現本地疑似威脅自動上報、威脅情報實時更新、疑似威脅自動分析與反饋,實現從“事件響應”到“持續響應”的轉換,有效應對威脅回溯和威脅預測的挑戰。亞信安全力圖通過人工智能、機器學習、惡意威脅發現與分析、新一代態勢感知等前沿網絡安全技術,抵御日益精進的網絡安全威脅,全力打造清朗的網絡空間。
