數字安全的核心：數據、分析與對抗

時代拋棄你的時候，連聲招呼都不打

“中國式抗疫”和“俄烏戰爭”無疑是當今世界范圍內所討論的焦點問題，然而促使它們成為焦點的決定性因素就是“數字化”。

健康寶、行程碼表面上看是一個手機APP，其實背后隱藏的是電信系統、民政系統、醫療系統、金融系統等一系列重要系統數據的數字化整合。數據的共享和交互使快速、高效的判定風險等級和活動軌跡排查得以實現，加上中國政府的行政執行能力和在疫情防控工作中所獲得的寶貴經驗，使得數字化抗疫成為了我國抵御世界性疫情工作中的有力武器。

俄羅斯與烏克蘭的戰爭，應是人類歷史上第一次全面數字化的戰爭。除了政治與軍事，科技產品、金融系統、互聯網第一次深度參與其中，戰爭同時在線上線下展開，并且高度融合、相互塑造，利用數字化充分將“陸海空天網”五維作戰域整合到一起。

數字時代來了！

數字安全的核心是安全數據、分析能力和對抗經驗

2005年到2020年，我國開啟了以互聯網應用為代表的數字經濟，規模從2.6萬億元增長到39.2萬億元，數字經濟占GDP的比重從14.2%提升至38.6%。2021年我國GDP超114萬億，數字經濟占GDP比重突破40%。“十四五”規劃中提出，2035年數字經濟核心產業比重由7.8%增長到10%，正式轉向由核心科技驅動的數字經濟。

如果說數字產業化（即互聯網應用）是數字經濟上半場的主要驅動力，那么產業數字化（即數字化轉型）就是數字經濟下半場的主要驅動力。然而在數字化轉型的過程中，安全問題必然是邁不過去的一道坎。

2021年世界互聯網大會上，習近平總書記提出要“牢筑數字安全屏障”。2022年全國兩會上，政協委員、360創始人周鴻祎表示“安全行業正在超越傳統網絡安全范疇，升級為數字安全。安全行業要幫助國家突破核心技術障礙，筑牢數字安全屏障”。由此可見，數字安全已經明確為數字時代的國家和社會共識。

數世咨詢認為，數字安全的內涵是以網絡安全為基礎手段、數據安全為核心目的，其已經成為數字經濟健康發展和社會活動穩定保障的重要支撐。數字安全是一個多維度、全方位的問題：

1. 應對數字安全風險的決策制定需要多種數據的融合分析研判作為支撐：數字化使得物理世界與數字世界的邊界逐漸模糊，物理世界在數字世界呈多重映射關系，數字信息的激增使得安全數據多樣化的趨勢逐年走高，加之傳統的安全防護和檢測能力已經不能滿足數字化轉型業務發展的安全需求，我們亟需的是安全風險預測和預防能力。預測是提前感知安全威脅，預防是做出合適的應對措施，而這些核心能力的價值輸出都依靠基礎數據的完備和有效，由此聚合安全數據的重要性不言而喻。
2. 攻防雙方的對抗強度與頻度不斷升級，對安全產品和安全服務人員的核心分析能力提出了更高的要求：隨著安全數據種類的激增，安全分析所涉及和關聯的數據量成指數級增加。在這一大前提下，還要保證安全分析的速度快、安全分析的準確度高，這樣就勢必要求安全分析模型、算法的先進和科學，安全分析人員的專業。
3. 網絡攻擊的核心目標對準了關鍵信息基礎設施和大型網絡、信息重要系統，安全保障需要更加專注并且專業的產品、服務和人員：數字化轉型的主角是數以億計的企業和組織，所謂三百六十行，行行不一樣，每一個行業都有其獨有的業務邏輯和安全特點。針對這些企業和組織的網絡攻擊，目標明確、針對性強、手法多變、工具強大，想要獲得對等的安全對抗與防御能力，就需要有大量的行業知識和攻防實踐，這樣才能根據安全分析的結果，在紛繁復雜的信息里抽絲剝繭，在最短的時間里做出最合適的決策，解決最迫切的問題。

簡而言之，數字時代的網絡空間安全核心是：

• 安全數據
• 分析能力
• 對抗經驗

安全能力通過安全運營實現，安全運營的基礎是「安全智力樞紐」

對于數字時代的網絡安全產業來說，提供給用戶基礎安全產品、服務，搭建安全系統、體系，只是安全保障的一個過程。為了更好的解決用戶的安全問題，網絡安全體系建設的目的應該是構建完整、高效的安全運營業務。

安全運營是一個龐大的范疇，涉及安全過程控制、安全風險分析、人員風險管控、業務連續性管理等等。但工欲善其事、必先利其器，安全運營的基礎應該是擁有一個將安全數據、攻防能力和對抗經驗融會貫通的平臺，來進行統一的安全數據的收集、分析，安全能力的聯通和安全控制的實現。

我們這里所說的平臺，并不是國內市場上主流銷售的態勢感知。目前市場上的態勢感知更準確的說法應該是“安全企業自有產品的統一管理平臺”。因為這些平臺普遍只能對接自家安全設備數據，并且在發現問題后也不能很好的聯動相關設備進行聯防聯控。

我們這里所說的平臺，可以理解為「安全智力樞紐」，因為它必須滿足用戶在安全思考和決策上的真正需求。評價標準就是：

• 誰能匯聚最多的信息（安全數據）
• 誰能看到最多的風險（分析能力）
• 誰能解決最多的問題（對抗經驗

上面三點換句話說就是安全連接的多樣性，分析能力的高準度和高效能，安全專家在對抗過程中積累的經驗。它的核心任務不是用強大的肌肉去抵御敵人的正面進攻，而是通過對情報的分析，結合對抗的經驗，利用智力去解決戰略決策和戰術執行的問題。

我們究竟需要怎樣的「安全智力樞紐」

在企業網絡安全體系化建設的過程中，用戶采購了大量的網絡安全產品，可是每個安全產品都在各自為戰，使管理變得異常復雜，割裂了相互的可見性，限制了整體應對威脅的能力。

雖然一些有先見的用戶試圖尋找一些聯通安全產品的變通方案，可以統一的管理設備并能做到數據匯聚與呈現，但是這種對結果的簡單羅列與聚合，只能從表達層面整體的呈現問題，而非在思維層面全局的考慮與分析，更不能做到設備之間的協同、方案之間的協同、決策步調之間的協同、戰略思考之間的協同。

這種在認知層面缺少全局風險視野、在思維層面缺少統一匯聚分析、在執行層面缺少相互協同的安全產品，已經不適合安全威脅不斷演進的數字時代。所以，用戶需要建設一套可以“思考”的整合能力本地化平臺。

平臺需要擁有整個互聯網的安全數據，將全量、各類威脅情報聚合。一方面可依托安全專家的對抗經驗擴展用戶安全運營的思路，讓“別人發生的事，別人踩過的坑”一切盡收眼底。另一方面可以提供統一的威脅情報賦能接口，解決用戶為不同的網絡安全產品重復訂閱同樣的威脅情報等重復投資的問題。

平臺需要將各個設備的安全數據聚合，使數據融合貫通。依托專業性的安全大數據處理模型進行多維度、高量級的大數據分析，將安全威脅從海量數據中剝離，解決孤島問題。

平臺需要聯通所有的網絡安全分析引擎，依托數據聚合后的優勢，各類安全分析引擎可以交互所有產品發現的各類風險數據，進行統一的安全運算分析，解決統一思考問題。

平臺需要在擁有本地能力的同時，在數據更新、能力提升時，可云端同步、實時更新，或者通過離線或“擺渡”方式滿足部分用戶的特殊安全需求。

「安全智力樞紐」應該成為安全產業的最大公約數

想要實現以上的目標，單單靠幾家安全企業是難以成功的，更不可能由一家安全企業實現。網絡安全產業應該轉變思維方式，摒棄零和思維，充分發揮自家的能力優勢，共同為用戶構建一套可落地、易使用、能力強的網絡安全保障體系，而「安全智力樞紐」就是這個體系的基礎。

360政企安全最新發布的核心安全大腦就積極的向前邁進了一步，核心安全大腦將自身安全能力完全與安全產業共享，不僅可以圍繞自身生態構建較為完整的安全保障體系，還可以作為其他安全產品的補充，提供大數據分析和威脅情報的能力。

核心安全大腦主要提供三種能力，分別是安全數據、分析能力和對抗經驗：

• 通用的安全大數據平臺，可以為不同品牌的安全產品提供數據運算與分析能力。
• 各種專業安全分析引擎，可以把專業的分析能力通過配置組合的方式賦能特定的安全產品，實現靈活組合、相互補充、協同聯動，從多個維度指導安全設備發現、防護高級別網絡威脅，提升自身網絡安全能力。
• 云端數據關聯與分析能力，將海量安全大數據與全球高級別攻擊對手持續十余年的網絡實戰對抗經驗、多維度全景攻防知識庫等數據及能力下沉。

它的核心優勢如下：

1. 最全的安全大數據積累并落地：擁有十七年積累的2EB海量安全大數據(其中包括總量180+億惡意網址、5萬億+存活網址、樣本文件300億+、700億+DNS解析記錄等)，通過與全球高級別攻擊對手持續十余年的網絡實戰對抗，形成了攻防對抗知識庫、APT組織知識庫、漏洞知識庫、病毒庫等多維度全景安全知識庫，這些數據會策略性的下沉至核心安全大腦，形成客戶本地側的“思維中樞”。
2. 效率最高的大數據分析技術：專門為安全業務設計的，在流量、資產、進程、網絡、內核行為等各個安全子領域定義了標準的數據結構和數據模型。內置的安全數據分析算子比業界主流平臺多10倍，并支持高速對接 Hadoop/Spark生態組件進行二次算法或編程式分析。自研的運營商級別的流式實時分析引擎，每秒處理事件性能超過100萬，且能實現跨多數據中心統一分析。通過三層索引、列式數據壓縮和概率文本索引技術，即使在 PB 級數據規模下，都能超出各類開源產品的15倍以上，而在實際部署上，運行這些功能，只需要同類平臺的1/6機器配置。
3. 全景攻防知識框架：建立在360對抗網絡攻擊的實戰分析并保持更新擴充的基礎上，將網絡攻擊技戰術、攻擊工具及攻擊者組織等信息，用規則和知識的方式提供給客戶。通過十余年累積，已經擁有APT排查規則數百條、TTP技戰術規則近千條、沙箱檢測規則數千條、還原殺傷鏈檢測規則數萬條，黑白名單250億左右，同時擁有50個知名APT組織的攻擊信息。
4. 全景攻防知識框架下的數據標準化：為了克服各類數據口徑不一致的問題而導致APP擴展周期長、效果不穩定的弊端，核心大腦提供靈活且智能的數據標準管理模型，包括1000余個屬性標準定義，預置70多個品牌180多種設備接入規則。該模型不僅根據數據源用途約束了必要字段、可選字段等來保證場景有效性，而且還通過4種對象的定義來實現智能推薦，極大程度上降低了數據接入的難度并提升效率。
5. 開放標準及生態聯動：第三方安全廠商可以基于核心安全大腦統一標準API開發聯動接口，實現與各個廠商、各種型號的安全設備的協同聯動，共同防御。配合終端設備聯動，如與終端安全產品聯動進行進程隔離，進程終止，文件隔離，文件恢復，注冊表清理，啟動項管理，主機端口封禁，主機服務禁用等；配合網關設備聯動，如與WAF, 防火墻, IPS, IDS，等聯動進行封堵，隔離等；配合檢測類系統聯動，如與沙箱聯動，確認動態確定文件是否為惡意文件；配合第三方情報系統聯動，支持對IP, 域名，文件等情報檢測。

從以上信息不難看出，核心安全大腦的志向是成為我國網絡安全產業的最大公約數，攜手安全產業共同完善網絡空間安全協同防御體系。進而引發更多政府機構和企業對數字安全的重視、觀念的轉變，參與到共同投入、共同建設、共同發展中來，最終協同產業、社會、國家共同夯實數字化的底座，為數字文明時代保駕護航。