最近,“浑元形意太极门”掌门人马保国火了,原因是他和一位50岁的民间格斗爱好者进行了擂台对战,结果30秒被3次击倒+KO,当场昏迷,场面令人揪心。
从马保国到被徐晓东KO的雷雷,神乎其神的“太极大师”们,在真拳实腿的实战面前变得不堪一击,甚至成了笑料。可见,在真实对抗中,唯有实战,才是检验战斗力的唯一标准,各个领域都是如此,其中也包括看不见硝烟的虚拟战场---网络空间世界。
近年来,实战化成为网络安全行业最火的词语。“网络安全讲一百遍不如打一遍”,只有频繁、高对抗性的组织实战攻防演练,才能历练出可靠有效的网络安全防御体系。
5月18日,奇安信对外发布了针对实战化威胁,特别是高级威胁的检测、分析、溯源响应的一体化解决方案天眼新版本,旨在打造一款实战化利器,适应不断演化、瞬息万变的新型攻击和高级威胁。
“天眼从诞生之初,就和实战这两个字紧密的捆绑在一起。可以说是从实战中而来,到实战中去。”奇安信天眼事业部总负责人张卓这样表示。
天眼:因需求而生 守护安全公司的安全
安全公司也会担心自己的网络安全么?这是一个有趣的问题。
“2013年,FireEye公司发布了一份APT报告,当时给了我们很大的震撼。” 张卓说到,“我们没想到,攻击可以持续这么久,隐藏这么深,并且破坏力这么大。万一公司哪一天被攻击了,海量用户数据被‘拖库’,我们自己都可能还蒙在鼓里,这是一件多么严重的事情。”
张卓表示,当时也尝试了一些办法,但很遗憾,在当时的技术情况下,IDS这类设备根本起不到太大作用,不论是误报还是漏报率都太高了。“所以,我们就想做这样一款产品,来解决威胁检测。”
在这样的背景下,天眼实验室就在公司内部低调成立了,其目标是独立开发一款基于大数据和人工智能技术的威胁检测工具,确保公司业务和数据不受APT攻击,避免网络入侵和数据泄露。
一家做安全的公司,也需要一套实战化的企业级安全防护产品,让自己既当守护者,又当“被守护者”。
发现海莲花 天眼立首功
“天眼项目开始之后,第一件事情,就是挖掘研究公司积累了多年的海量安全大数据。我们知道这些数据像一个埋藏在深处的巨大宝藏,非常有价值,却不知道该如何用,天眼出来,恰好可以派上用场。” 张卓表示。
经过无明确目标的分析和探索,天眼有了惊天的发现!“我们发现了一个持续多年、有组织有目标、长期潜伏、极其隐蔽的高级攻击行为,我们将其命名为OceanLotus(海莲花)。”张卓回忆当年发现海莲花的过程,依然掩盖不住内心的兴奋。
2015年5月,天眼实验室正式发布了OceanLotus(海莲花)APT报告,这是国内一份针对APT攻击发现和分析的专业报告。
报告显示,2012年4月起,有境外黑客组织对中国政府、科研院所、海事机构、海域建设、航运企业等相关重要领域展开了有组织、有计划、有针对性的长时间不间断攻击。这个重大发现,迅速震动了整个网络安全界,引起相关部门的高度重视。
“如果没有海量、长期的数据积累,像海莲花这样的APT攻击行为是无法被发现的”。张卓表示。“如果脱离时间维度,用传统安全防护判定规则,海莲花只是一些间断性的普通攻击。但得益于互联网公司的技术和大数据优势,我们通过深度数据挖掘和追溯,发现海莲花组织的攻击周期之长、攻击目标之明确、攻击技术之复杂、社工手段之精准,都说明该组织绝非一般的民间黑客组织,而很有可能是具有国外政府支持背景的、高度组织化的、专业化的境外国家级黑客组织。”
海莲花的发现,让天眼一战成名。它揭露的APT攻击形式,给传统防御理念带来极大挑战,直接加快了奇安信“数据驱动安全”理念的落地。
与此同时,基于大数据的未知威胁感知系统“天眼”第一代正式发布。这标志着天眼正式走出实验室,走向产品化,全面迈入市场。基于“数据驱动安全”这一前瞻性的技术理念,天眼大幅超前于传统安全的“老三件”,是一款不折不扣的跨时代创新产品。
奇安信总裁吴云坤在天眼新版发布会这样表示,“2014年我加入奇安信,天眼是我带的第一个产品,对我而言,也是把传统安全技术与互联网理念结合的标志性产品,对天眼这个品牌我非常有感情。天眼这个品牌和奇安信的安全技术创新一直紧密相关,是‘数据驱动安全’的开山之作。”
多项创新技术加持 天眼在持续迭代中迈向实战
正所谓没有金刚钻,不揽瓷器活。天眼之所以能在业内第一个发现海莲花APT攻击,客户数量从0快速增长到上千家,除了理念领先之外,最核心的还是自身技术的不断创新和持续迭代。
据介绍,天眼具备四方面核心能力,分别是精准的基于成功的攻击检测能力、业内最强的网络攻防和漏洞的响应能力、业内最先进的安全大数据威胁分析能力和业内最先进的APT攻击威胁情报能力。这些能力的背后,是天眼诸多独创技术的支撑。
首先在攻击检测方面,天眼采用了入侵检测双向匹配技术,它基于双向会话WebIDS检测引擎,标记攻击成功的告警事件,产生精准告警事件。大大降低了无效报警数量,让管理人员可以集中应对有效的告警事件。
其次在安全技术方面,天眼在沙箱技术上进行了升级,从操作系统层升级到CPU指令层级。所谓沙箱,其原理是把可疑文件放在一个虚拟环境里运行,从而检测异常行为,然而随着攻击手法的翻新,更狡猾的沙箱逃逸情况开始出现。天眼在升级过程中,在沙箱中加入了CPU指令层级的细粒度检测能力,让沙箱逃逸无所遁形。
此外,天眼还强化了场景化分析能力,以及人工智能的深度学习等。其中包括对行为建模和统计分析,机器学习技术实现智能判别等,形成行为模型,及时发现新场景下的攻击行为。
时至今日,天眼已经从最初单一的威胁情报检测产品,发展出文件沙盒分析,全流量分析,场景化安全分析,全包存储取证等安全组件,到如今拥有新一代安全感知系统、邮件威胁感知系统、安全DNS系统、内网欺骗诱捕系统等多个产品,以及实战化威胁运营平台、实战化指挥平台等整合体系。
联姻安服 天眼一年深入120多场攻防实战对抗
武器最大的威力,不在于武器本身,更在于使用的人。青釭剑在赵云手里,可以削铁如泥、所向披靡,但在夏侯恩手里,就成了华而不实的摆设。同样,网络安全的产品技术再好,如果使用者能力不匹配,其威力同样发挥不出来。
“天眼在走向实战化的过程中,最具有里程碑意义的事件,就是2018年,天眼与安全服务体系进行了整合,内部我们将这次调整戏称为这是天眼与安服的联姻。此举可以说让天眼如虎添翼,以最快的速度,天眼渗入到了一个又一个政企客户一线攻防对抗的现场,产品的实战化水平和易用性迅速迈上大台阶。”张卓表示。
据悉,奇安信拥有国内规模最大的网络安全服务团队,参与了APEC、G20、全国两会、一带一路、纪念抗战胜利70周年阅兵、十九大、上合峰会等国家重大活动网络安保工作,是同行业里参与重保次数最多、配备人力最多的企业,屡获国家相关部门和客户的认可及感谢。同时,奇安信是北京2022年冬奥会和冬残奥会官方网络安全服务赞助商。奇安信安服团队的强大实力,给天眼实战化打下最坚实的基础。
“好武器,用起来才是关键!而好不好用,一线人员说了算!” 张卓表示,“天眼打开了威胁感知这个新品类市场之后,很快出现了很多跟随者和模仿者。但从一线实操人员的反馈来看,没用和难用是客户最大的槽点,具体表现在看不懂、没结果、速度慢,等等。”
张卓认为,要解决这个问题,唯有深入一线,下潜到实战现场,才能解决问题的本质。和规模庞大的安服团队联姻,让天眼具备了得天独厚的优势。据介绍,在2019年攻防演习过程中,天眼深入到120多个攻防对抗的战场,采集需求三百多条,切实的来提升天眼产品能力,并规划出实战化威胁运营平台、邮件威胁检测系统等满足实战攻防场景的产品和组件。
天眼和安服的联姻,效果也是立竿见影。在2019数博会上,奇安信“天眼+安服”安全运营服务荣获领先科技成果奖,在很大程度上体现了业内对“天眼+安服”的安全运营模式的认可。
展望:经受炮火洗礼的新天眼 将成实战化利器
“我没有想到天眼今天是如此的强大!”回忆天眼数年来的发展,奇安信集团董事长齐向东表示,“今天,天眼守护着遍布全国的上千家政企客户的网络系统。在政企客户的重要实战攻防演练以及十九大、一带一路、两会等网络安全专项保障行动中,天眼帮助安全专家累计监测攻击行为30余万次,发现漏洞利用行为上千起,成为了名副其实的攻防利器。”
经过了数百次实战场景的炮火洗礼,近期发布的新天眼,在威胁检测能力,分析溯源能力,响应处置能力等方面都得到了全方位提升。尤其是在易用性方面,天眼通过多达50多次的原型设计并和数千一线人员进行互动,收集易用性意见再进行优化,使得整个天眼产品的交互和易用性,得到了前所未有的提高。
正如张卓所说的,魔高一尺,道高一丈,网络攻防技术在对抗中不停演进,从而驱动产品及技术不断迭代与发展。在2020年攻防演练不断强化的背景之下,攻防技术驱动下的新天眼,一定会是实战化的一款利器。