伴随数字化进程的加速,高级别的网络安全风险也随之不断加剧,传统安全防御体系已经无法应对,因此要用数字化思维构建面向未来的安全新战法、新框架。其中,能够及时“看见”威胁,并能对威胁进行有效的分析和处置,是安全新框架建设中至关重要的一环。
10月21日,360政企安全集团基于多年积累的高质量威胁情报及强大的威胁情报生产能力,利用关联分析、机器学习、行为分析等技术研发所打造的360 DNS威胁分析平台(简称:“360 DTA”)正式发布。产品提出高级威胁分析、自动化分析、多维度情报关联三大突破性的创新技术,助力国家、城市、行业与企事业单位提升“看见”高级、未知威胁的能力。
安全运营面临新挑战,传统防护缺乏“看见”威胁能力
数字化技术的不断发展,让网络与现实的边界不断融合消失,传统意义上的网络攻防已经完成升级演变。网络安全所面对的对手更加趋于组织化、政治化与产业化,面对的攻击手段也更加复杂、隐蔽与频繁。
然而,现有的检测机制大多采用被动式防护,缺少主动开展威胁分析、发现的能力,大量的漏报、误报也让真实威胁无法被有效聚焦。同时,主流威胁检测产品多为聚焦于攻击代码、漏洞等单点问题,缺乏攻击行为分析、多维情报关联、失陷资产画像等整体威胁分析能力,显然无法全面“看见”威胁,难以开展有效的威胁研判工作。
360 DTA重构威胁分析,助力威胁情报效用升级
在这种形势下,威胁情报作为一种弥补攻防信息不对称的安全技术,逐渐得到了广泛的认识。此次360政企安全集团打造的360 DTA就是一款由情报和算法驱动的创新型威胁检测和分析产品。为有效避免当下威胁检测产品中检测机制存在不足,大量误报、漏报,告警内容单一等情报利用方面的短板。
360 DTA从威胁检测、误报过滤、威胁分析等方面打造了三大突破式技术创新,不仅将已生产的高质量威胁情报与资产访问行为深度关联分析,通过自动化分析能力解决大量误报问题;并以安全专家视角,提供丰富的威胁分析数据和工具,实现情报的分析运营。同时,还将全量DNS数据清洗、过滤、标注等处理后统一存储,基于高交互的日志分析功能,助力实现高级、未知威胁的发现与分析。
1.未知威胁检测,高效威胁分析
面对网络空间中攻防不对等的发展态势,基于签名的威胁检测方式是典型的被动防御机制,只能应对已知威胁。而此次360 DTA创新性的通过对DNS数据预处理、聚合、情报关联等大数据分析算法,有效解决无法“看见”未知、高级威胁的问题。
2.自动化分析,实现精准告警
此外,基于360政企安全集团过去所积累的实战攻防经验,360 DTA通过提取各类网络攻击的行为模式、流量特征,设计出一套自动化分析流程,通过分析资产访问行为、资产特征、情报特征等多维度数据,从海量告警中识别具有真实恶意行为的告警,从实际效果来看,经过自动分析后的告警基本可以做到零误报。
3.多维度情报关联,实现精准研判
在威胁研判方面的经验,360DTA将安全能力、经验产品化,从威胁研判方法出发,将威胁关联信息,如:攻击团伙、样本家族、Whois、证书、历史DNS记录、资产行为特征、情报行为特征等威胁信息通过可视化关联图谱的方式呈现,并不断进行扩展分析,同时融入工作流,有效提高了威胁研判的效率。
作为数字经济的守护者,360政企安全集团通过持续深耕威胁情报领域,才在此次构建出差异化优势显著、情报驱动的威胁分析产品。未来,加持360丰富的安全运维经验与不断扩充的威胁情报后,360DTA将进一步推动威胁分析的高质量发展,让安全运营变得更加便捷、可靠,助力数字时代国家大安全发展。