8月15-16日,作为第四届中国创业创新博览会的重要活动之一,“2019草原云谷大数据安全高峰论坛”在内蒙古乌兰察布市举办。
本次会议由国家信息中心、国家信息技术安全研究中心、中国电子技术标准化研究院、内蒙古大数据发展管理局指导,乌兰察布市人民政府主办,旨在推动乌兰察布大数据安全产业交流与合作,展示乌兰察布市大数据产业最新发展成果。
围绕“草原云谷·绿色数据·安全赋能”主题,中国工程院院士倪光南、中国工程院院士沈昌祥、中国科学院院士王小云、国家信息中心首席工程师李新友、国家信息技术安全研究中心主任俞克群等专家发表了主旨演讲,来自政府、科研单位、行业等的300多人出席了本次会议。
中睿天下副总谢辉受邀出席论坛,并于8月15日发表主题演讲“攻击溯源——大数据时代网络安全的攻与防”。
业界常用4个V(Volume数据体量巨大、Variety数据类型繁多、Value价值密度低、Velocity处理速度快)来概括大数据的特征。沈昌祥院士打了个形象的比喻,“大数据是钻石矿,相当于要从数据废品和垃圾收集处理中挖掘知识和本质规律。”
数据价值密度低:随着安全技防手段越来越丰富,安全设备数量和种类不断增加,汇集的威胁告警越来越多,安全运维人员的压力越来越大。到底哪些数据是有价值的?如何从海量告警中提取有价值的数据呢?
网络安全人才稀缺:以一些地方单位为例,可能没有那么强的技术力量,面临威胁告警看不懂,高级威胁防不住等难题。如何将安全力量相对集中起来,为所有单位提供专业的“人防”呢?
中睿天下从成立至今,一直致力于研究攻击溯源技术,并基于攻击溯源进行威胁监测与取证溯源。在大数据安全方面,中睿天下做了两件事情:
第一,在海量告警中,把最有价值的数据抽取出来,并进行成功研判,先告诉安全人员攻击成功了没有,有成功攻击了先去关注成功攻击,将工作量降到最低。
第二,告诉安全人员,攻击者从1号开始踩点,一直到15号都做了什么,一目了然,通过时间轴的方式展现出来,从而配合其他的安全防护设备进行拦截、响应等其他措施。
通常政府单位从大屏上监测到安全问题,一纸文件下发到地方单位,但地方单位的安全人员未必知道该做什么。而在城市级的中心建设平台,当发现某个地方单位主机有问题可直接发送到大屏幕,同时通过流量端溯源与主机端溯源取证直接提供相关的证据链,地方工作人员依据证据链再查,将应急响应时间从10个小时缩短为1个小时。
在8月16日举办的乌兰察布大数据产业政府企业对接会上,中睿天下副总谢辉再次分享“基于攻击溯源技术的云安全运营防护服务”,介绍“攻击溯源”技术当前应用的情况及成功运营的模式,并推动大数据背景下针对智慧城市的“城市级大数据安全运营服务平台”落地。
当前,伴随“大云物移”等新技术的发展,中睿天下围绕智慧城市、智慧医疗、智慧能源等纵深行业,提供基于“攻击溯源”的网络安全监测及态势感知综合解决方案,并成功探索出“攻击溯源”的六大场景应用,包括:
识别0DAY等未知威胁。基于攻击者视角,将攻击知识转为防御优势,研发基于攻击伤害的威胁发现模型,覆盖上千种攻击手法,有效识别已知/未知威胁。2017年3月struts2漏洞大面积爆发时,在未做任何升级的情况下,睿眼成功检测并告警struts2漏洞利用的未知攻击成功事件。
攻击溯源。智能对攻击状态进行成功研判,帮助安全运维人员分辨并聚焦真正重要的攻击事件,解决海量告警处理的问题。同时对威胁进行溯源分析,详细还原整个攻击过程。
应对勒索病毒。Wannacry爆发期间,事前利用资产督查快速发现网络中开放危险端口的主机,事中监测发现内网发起的SMB漏洞攻击,事后利用 DNS审计监测wanacry的开关域名,快速定位中招主机。
主机溯源处置。当发现主机异常进行应急事件处置时,采用睿眼·终端,可快速识别windows和Linux主机中存在的木马、后门、黑客入侵痕迹等,并溯源分析还原黑客事件,让普通安全人员具备专家水平。
重大活动保障。各种重大活动安全保障期间,配合「睿眼」等强大的威胁检测能力及大数据分析溯源能力,中睿天下提供可管理的威胁检测与响应服务(MDR服务),包括威胁监测、威胁预警、应急响应、取证溯源等。
态势感知平台。引入“开关量”概念,建立起贴近一线生产的安全调度中心,通过一块可视化大屏实现“内外网安全监控”和“安全设备运行状态监控”等,实现整体的统一调度、指挥、联动等。目前,睿云·态势感知平台已在国家电网成功落地应用。
领取专属 10元无门槛券
私享最新 技术干货