近日，由公安部網(wǎng)絡(luò)安全保衛(wèi)局等有關(guān)部門指導(dǎo)、公安部第三研究所主辦的“第五屆全國信息安全等級保護(hù)技術(shù)大會”在云南昆明召開。亞信安全作為信息安全企業(yè)代表受邀參加本屆大會，并以推動網(wǎng)絡(luò)新技術(shù)和新應(yīng)用下的信息安全等級保護(hù)制度深入發(fā)展為目標(biāo)，攜手職能部門、企業(yè)和用戶，深入探討網(wǎng)絡(luò)犯罪治理工作中遇到的多重挑戰(zhàn)與應(yīng)對方法。大會上，亞信安全研發(fā)與業(yè)務(wù)發(fā)展總經(jīng)理童寧發(fā)表主旨演講、并全面展示了最新的自主可控研發(fā)成果——亞信安全高級威脅發(fā)現(xiàn)調(diào)查取證中心(CTIC)。

【童寧介紹“亞信安全高級威脅發(fā)現(xiàn)調(diào)查取證中心(CTIC)”】

亞信安全童寧：應(yīng)對威脅要從“事件響應(yīng)”轉(zhuǎn)到“持續(xù)響應(yīng)”

如今，網(wǎng)絡(luò)安全事件頻發(fā)，關(guān)鍵數(shù)據(jù)外泄，會給個人、企業(yè)及政府都帶來巨大損失。然而，用戶能夠在第一時間發(fā)現(xiàn)惡意入侵時的挑戰(zhàn)依然巨大。

第一，互聯(lián)網(wǎng)存在著大量的安全事件，用戶可能遭遇入侵的機(jī)率非常，但卻無法定義“要件”，因此也就無法采集后續(xù)行動;第二，在面對已知威脅時，用戶在相關(guān)解決方案的指導(dǎo)下，一般可以自行處理，但面對大量的未知威脅或是APT等高級攻擊，卻無從下手;第三，如果無法第一時間明確鑒定出黑客的潛伏時間，也就無法診斷威脅擴(kuò)散的范圍和數(shù)據(jù)損壞程度，造成了取證及后續(xù)工作不確定性;最后，用戶在威脅預(yù)測方面更是勢單力薄，由于缺乏持續(xù)的安全知識更新、缺少回溯機(jī)制建模的知識、威脅感知和安全運維能力，很多攻擊都只能在第三方安全機(jī)構(gòu)曝光之后才被發(fā)現(xiàn)，造成了巨大的資財損害和品牌污點。

在以“高級威脅的發(fā)現(xiàn)、回溯與調(diào)查取證”為題的演講中，亞信安全研發(fā)及業(yè)務(wù)發(fā)展總經(jīng)理童寧指出：“網(wǎng)絡(luò)威脅的不斷演化，增加了用戶構(gòu)建等保系統(tǒng)的難度，尤其是在面對大量攻擊手段和未知威脅時，都會遇到時效性、復(fù)雜度，以及專家團(tuán)隊組建等一系列問題。因此，只有轉(zhuǎn)變觀念，從‘事件響應(yīng)’到‘持續(xù)響應(yīng)’，才能有效應(yīng)對威脅回溯和威脅預(yù)測的挑戰(zhàn)。

童寧談到：“亞信安全的自主可控研發(fā)成果‘高級威脅發(fā)現(xiàn)調(diào)查取證中心(CTIC)’就像一個手術(shù)臺，其囊括的云端威脅情報回路、本地情報回路、高級威脅沙盒分析技術(shù)以及大數(shù)據(jù)分析關(guān)聯(lián)系統(tǒng)可以對健康儀表盤“亞信安全態(tài)勢感知中心”發(fā)現(xiàn)的安全事件進(jìn)行深度剖析。該中心不僅可以幫助提升公眾網(wǎng)絡(luò)安全教育，還可以協(xié)助執(zhí)法單位提高取證效率，進(jìn)行精準(zhǔn)執(zhí)法，打擊網(wǎng)絡(luò)犯罪;對于企業(yè)而言，中心可以助力企業(yè)用戶提高防御能力，避免重要數(shù)據(jù)資產(chǎn)的泄露。亞信安全高級威脅調(diào)查發(fā)現(xiàn)取證中心將‘持續(xù)響應(yīng)’的理念變?yōu)榱爽F(xiàn)實。”

“亞信安全高級威脅調(diào)查取證”保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施安全

迅速發(fā)現(xiàn)黑客入侵，提供相關(guān)的網(wǎng)絡(luò)犯罪證據(jù)，對于保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施意義重大。而共屬亞信(成都)網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院的自主研發(fā)成果的“亞信安全態(tài)勢感知平臺”和 “亞信安全高級威脅發(fā)現(xiàn)調(diào)查取證中心”，前者從宏觀的角度 “全天候全方位地感知網(wǎng)絡(luò)安全態(tài)勢”，后者是對具體的網(wǎng)絡(luò)安全事件進(jìn)行調(diào)查和取證。兩大平臺的整合，可以建立完整的取證鏈條，這樣就可以清楚地知道“誰侵入了我的網(wǎng)絡(luò)，是敵是友，干了什么”。

[[173293]]

首先，通過本地的網(wǎng)絡(luò)取證設(shè)備、終端取證設(shè)備和沙箱分析設(shè)備獲取所有安全事件記錄，匯總到大數(shù)據(jù)調(diào)查取證中心;同時通過云端威脅情報回路共享全球的安全事件，也輸送到大數(shù)據(jù)調(diào)查取證中心，進(jìn)行統(tǒng)一地關(guān)聯(lián)分析，形成完整的取證鏈條。

其次，經(jīng)過大數(shù)據(jù)平臺的關(guān)聯(lián)分析，用戶可以清晰地繪制出黑客入侵的網(wǎng)絡(luò)視圖，發(fā)現(xiàn)黑客控制了中央的主機(jī)，以及向各個終端進(jìn)行的攻擊滲透，幫助調(diào)查取證人員按照時間軸的方式，了解黑客是什么時間、通過什么方式入侵的網(wǎng)絡(luò)。

另外，與亞信安全網(wǎng)絡(luò)威脅發(fā)現(xiàn)取證探針設(shè)備、主機(jī)威脅發(fā)現(xiàn)取證探針軟件、高級威脅分析沙盒設(shè)備相配合，亞信安全還提供了7×24專家值守服務(wù)，可以協(xié)助用戶迅速而有效的發(fā)現(xiàn)黑客入侵，取證和定位。

隨著我國信息安全等級保護(hù)實踐能力和用戶需求層面的不斷成長，在強(qiáng)調(diào)自主可控、創(chuàng)新發(fā)展中的亞信安全，也正在成為政府單位和大中型企業(yè)等保工作的有力助手。亞信安全高級威脅發(fā)現(xiàn)調(diào)查取證中心(CTIC)這項自主可控研發(fā)成果填補(bǔ)了國內(nèi)的空白， 不僅具備全球化威脅情報搜集、分析和預(yù)警能力，利用大數(shù)據(jù)的存儲索引、關(guān)聯(lián)分析和可視化等技術(shù)，還可以為國家關(guān)鍵信息基礎(chǔ)設(shè)施提供高級威脅的快速響應(yīng)，將威脅調(diào)查取證能力提升至新的高度。