12月28日,奇安信正式发布一站式威胁情报运营系统StarOrbit(简称TIOS)。TIOS包括五个安全组件平台:样本识别平台(Singularity)、情报运营平台(Tide)、威胁情报平台(Quark)、邮件检测系统(Whitehole)、同源分析系统(Megalodon),并整合公有云和私有云数据情报源,结合威胁地图分析的关联视图展示,实现威胁情报数据生产、共享、处理、运营、消费的闭环构建,帮助政企机构快速准确发现网络威胁和了解网络安全情况。威胁情报需要闭环操作。众所周知,网络安全是攻击者和防御者之间的动态博弈。网络威胁的技术手段和形式在不断变化。网络攻击通常涉及多个攻击面。专业的分工和丰富的资源使得攻击者具有较高和成熟的网络攻击水平。意味着永远错过,也难以还原攻击的全貌,导致攻击者得手后“逃之夭夭”。“虽然攻击手段日新月异,但攻击者使用的基础设施不会经常变化。”奇安信威胁情报中心负责人王烈军表示,攻击者不会为每一次新的攻击更换基础资源,而是为了获取利益。最大限度地降低购买新基础设施的成本,可以重用基础设施资源,只需要修改所使用的恶意程序。因此,基于威胁情报的事件关联是使网络安全策略更加有效的一种方式。它可以准确检测攻击者使用的基础设施,同时提供丰富的上下文,确保用户在威胁搜寻过程中不会遗漏。任何攻击细节。然而,仅仅依靠外部威胁情报输入是远远不够的。威胁情报驱动的威胁行动是一个闭环行动。威胁情报从生产、应用到运营,都必须在政府和企业组织中落地,更需要将内部信息化“嵌入”到业务系统和流程中,发挥积极防御作用,建立自己的情报生产和消费能力,挖掘潜在和未知威胁,及时有效补齐防御短板。这五个组成部分全面涵盖了威胁情报的各个方面。王烈军表示,奇安信发布的TIOS是基于威胁情报中心多年实战的积累。通过提供包含五个组件的组合级解决方案,支持各种安全组件按需灵活扩展和组合,适用于孤网或组网场景,帮助政企组织完成威胁情报生产和生产的有效运作。具体如下:一、样本识别平台(Singularity)。《2020年中国互联网网络安全报告》表明恶意程序传播与治理的对抗加剧。全年捕获恶意程序样本数量超过4200万个,仅日均传播次数就达到482万余次。样本识别平台通过静态+动态多引擎检测方式,结合自主研发的业界知名反病毒引擎、先进的威胁检测引擎、高对抗行为分析、威胁情报关联,提供实时在线检测分析,以及文件标签的自动校准。能够输出准确的检测结果、具体的威胁类别和直观的分析报告,满足多场景下对恶意样本的检测、判断、分析和溯源需求。二是智能运营平台(潮汐)。作为国内首家商用威胁情报中心,奇安信威胁情报中心建立了一套完整的“高价值情报运营体系”。在兼顾威胁情报准确率和召回率的同时,可以通过这种方式,将威胁情报生产+运营能力下放到用户本地。情报操作平台具有强大的威胁研究分析能力,为用户提供情报识别、人工操作等功能。此外,它还通过对象研判、元数据提取、状态变化、智能标定、操作判断等处理流程,对样本操作进行全生命周期管理。同时,为保证威胁情报检测的准确性,所有产生的情报IOC都必须经过人工审核流程才能投入使用。三、威胁情报平台(Quark)。需要注意的是,由于不同威胁情报提供者的数据覆盖面和关注领域存在差异,使用单一的威胁情报源容易出现误报。奇安信威胁情报平台引入多源威胁情报,聚合综合研究后输出可信度高的信息。还可以通过各种高速查询接口,为本地大数据平台提供丰富的上下文,大大提高威胁情报检测的准确性,降低误报率和误报率。不仅如此,威胁情报平台还可以在用户自身环境中实现自产威胁情报数据的导入,并以标准STIX格式实现本地威胁情报共享,提升整个行业的安全底线。四、邮件检测系统(Whitehole)。在APT分析中,邮件攻击检测主要是利用攻击邮件探针的检测,结合规则引擎的分析检测结果,结合攻击邮件探针使用的目标IP、发件人和收件人、邮件文本等信息“威胁情报+”隐私情报,可以判断自己是否被高级APT邮件攻击。邮件检测系统采用多种技术挖掘邮件正文和邮件附件中的高级威胁信息,并依托团队对高级威胁组的长期跟踪,对各类邮件中的云端附件进行标记,检测实际的攻击类型、邮件中包含的特征、多种攻击方式,跟踪跟进更高级的APT攻击团伙,是企业实现高级威胁邮件检测和APT跟踪的有效手段。第五,同源分析系统(Megalodon)。为了逃避检测,恶意样本不断采用多态、变形等方式,使得分析人员很难发现样本中的同源关系(如果恶意样本是通过代码复用从同一个恶意代码演化而来,或者具有相似的行为),以及存在先后关系,称为同源),这给攻击组织的溯源带来了极大的挑战,难以制定针对性的防御策略。通过样本鉴定平台后,用户可将符合条件的样本放入文件同源分析平台。该组件使用基于(高级)机器学习的(高级)恶意样本分类识别引擎,提取样本文件的元数据,快速找出已知APT攻击组和恶意家族的Unknown相似样本,判断是否存在明显同源或是否可以归类为一个家族,判断样本的同源性和家族属性,辅助未知威胁的研判。王烈军强调,TIOS集威胁情报研判能力、业务数据处理能力、文件深度识别能力、邮件攻击检测能力、样本同源分析能力于一体。处理和预防相关工作的最佳工具。
