11月8日~9日，2017國(guó)際反病毒大會(huì)在天津召開，亞信安全作為協(xié)辦單位，與來(lái)自全球多個(gè)國(guó)家、政府相關(guān)部門、協(xié)會(huì)和企業(yè)的網(wǎng)絡(luò)信息安全和反病毒領(lǐng)域頂級(jí)專家匯聚一堂。本次大會(huì)以“萬(wàn)物互聯(lián)背景下反病毒的新挑戰(zhàn)”主題，針對(duì)當(dāng)前突出的網(wǎng)絡(luò)安全熱點(diǎn)問題，及前沿技術(shù)和發(fā)展趨勢(shì)進(jìn)行了深入研討。亞信網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院副院長(zhǎng)童寧在主題演講中以WannaCry勒索蠕蟲事件為例，分析了如何通過態(tài)勢(shì)感知、人工智能、機(jī)器學(xué)習(xí)、惡意威脅發(fā)現(xiàn)與分析等前沿網(wǎng)絡(luò)安全技術(shù)，抵御日益精進(jìn)的網(wǎng)絡(luò)安全威脅。

網(wǎng)絡(luò)威脅呈不斷復(fù)雜化、精進(jìn)化趨勢(shì)發(fā)展

今年5月份，爆發(fā)了席卷全球的WannaCry勒索蠕蟲病毒事件，黑客組織利用Shadow Brokers泄漏的最新NSA黑客工具和漏洞代碼，制作了迅速蔓延的勒索蠕蟲病毒，給全球各行各業(yè)造成了廣泛的危害，引發(fā)了全球范圍內(nèi)的恐慌。WannaCry事件折射的是網(wǎng)絡(luò)安全威脅不斷復(fù)雜化、精進(jìn)化的趨勢(shì)。亞信安全調(diào)查顯示，新病毒誕生的平均時(shí)間已經(jīng)縮短至1.7秒，從2015年到2016年勒索軟件家族成長(zhǎng)率高達(dá)752%，未知威脅所引起的成功入侵所占比例高達(dá)90%，對(duì)防病毒技術(shù)能力提升提出了非常緊迫的要求。

【亞信網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院副院長(zhǎng)童寧】

童寧表示：“黑客會(huì)針對(duì)常用安全防護(hù)軟件對(duì)惡意軟件進(jìn)行免殺處理，傳統(tǒng)通過云端威脅情報(bào)來(lái)進(jìn)行防護(hù)的安全產(chǎn)品無(wú)法及時(shí)發(fā)現(xiàn)這些新的未知威脅，這導(dǎo)致了安全威脅的迅速蔓延。在WannaCry事件中，大部分網(wǎng)絡(luò)安全解決方案之所以沒有對(duì)威脅及時(shí)響應(yīng)，主要是因?yàn)椴《纠昧宋幢还_披露的遠(yuǎn)程漏洞利用工具，逃脫了安全防線的監(jiān)控，而且會(huì)持續(xù)產(chǎn)生新的變種，超過了傳統(tǒng)威脅情報(bào)的反應(yīng)能力。”

新興技術(shù)驅(qū)動(dòng)與防護(hù)體系變革

童寧分析稱，要防范未知的網(wǎng)絡(luò)安全威脅，首先要做到的就是領(lǐng)先攻擊者一步，對(duì)未知威脅進(jìn)行敏銳識(shí)別與快速響應(yīng)。而要從海量的數(shù)據(jù)中提取真正的威脅樣本數(shù)據(jù)，會(huì)對(duì)人力、IT資源造成沉重的壓力。在此背景下，機(jī)器學(xué)習(xí)技術(shù)應(yīng)運(yùn)而生，即通過威脅樣本的DNA進(jìn)行特征匹配，并通過模擬真實(shí)的環(huán)境來(lái)判斷樣本是否真的對(duì)企業(yè)網(wǎng)絡(luò)構(gòu)成威脅。在WannaCry事件中，亞信安全成功的在沒有病毒碼之前，通過機(jī)器學(xué)習(xí)技術(shù)發(fā)現(xiàn)了WannaCry勒索蠕蟲病毒的可疑行為。

針對(duì)未知威脅的發(fā)現(xiàn)、分析和處理，疑似惡意威脅發(fā)現(xiàn)與分析技術(shù)將扮演重要作用。童寧指出：疑似惡意威脅發(fā)現(xiàn)技術(shù)可分析100種以上的網(wǎng)絡(luò)協(xié)議與應(yīng)用程序，偵測(cè)多種威脅，并真實(shí)呈現(xiàn)威脅攻擊的階段性信息，讓管理者可以針對(duì)不同階段的攻擊采取適當(dāng)?shù)膽?yīng)變措施;疑似惡意威脅分析技術(shù)涵蓋了定制化沙箱、多重分析引擎、全球威脅情報(bào)等能力，能夠提升針對(duì)企業(yè)的定向威脅偵測(cè)能力，并對(duì)多種文件類型與URL提供全面的威脅偵測(cè)。

此外，童寧還分析了調(diào)查取證技術(shù)在亞信安全處置WannaCry事件中的應(yīng)用。首先要滿足安全調(diào)查取證的要求，需要通過本地的網(wǎng)絡(luò)取證設(shè)備、終端取證設(shè)備和沙箱分析設(shè)備獲取所有安全事件記錄，匯總到大數(shù)據(jù)調(diào)查取證中心;同時(shí)通過云端威脅情報(bào)回路共享全球的安全事件，也輸送到大數(shù)據(jù)調(diào)查取證中心，進(jìn)行統(tǒng)一地關(guān)聯(lián)分析，形成完整的取證鏈條。在WannaCry事件中，亞信安全通過調(diào)查取證，繪制了病毒從漏洞入口-蠕蟲感染-本地勒索行為-內(nèi)網(wǎng)傳播的完整鏈條，幫助安全人員清晰的了解安全事態(tài)。

中國(guó)工程院院士沈昌祥在與亞信安全工作人員的交流過程中，對(duì)亞信安全成功防御WannaCry勒索蠕蟲的能力表示認(rèn)可，并特別指出：“從WannaCry事件中可以看到，風(fēng)險(xiǎn)是無(wú)處不在的，也是‘堵’不完的，所以我們要建立科學(xué)的網(wǎng)絡(luò)安全觀，更要掌握前沿安全技術(shù)，比如中國(guó)在可信計(jì)算領(lǐng)域的創(chuàng)新發(fā)展，要建立可信的免疫計(jì)算模式與結(jié)構(gòu)，形成主動(dòng)免疫的云計(jì)算安全。”

借助前沿網(wǎng)絡(luò)安全技術(shù)，打造清朗的網(wǎng)絡(luò)空間

借助前沿的網(wǎng)絡(luò)安全技術(shù)，亞信安全已經(jīng)建設(shè)了本地威脅情報(bào)中心，通過本地威脅情報(bào)智能聯(lián)動(dòng)防護(hù)體系來(lái)實(shí)現(xiàn)本地疑似威脅自動(dòng)上報(bào)、威脅情報(bào)實(shí)時(shí)更新、疑似威脅自動(dòng)分析與反饋，實(shí)現(xiàn)從“事件響應(yīng)”到“持續(xù)響應(yīng)”的轉(zhuǎn)換，有效應(yīng)對(duì)威脅回溯和威脅預(yù)測(cè)的挑戰(zhàn)。亞信安全力圖通過人工智能、機(jī)器學(xué)習(xí)、惡意威脅發(fā)現(xiàn)與分析、新一代態(tài)勢(shì)感知等前沿網(wǎng)絡(luò)安全技術(shù)，抵御日益精進(jìn)的網(wǎng)絡(luò)安全威脅，全力打造清朗的網(wǎng)絡(luò)空間。