網(wǎng)絡(luò)安全威脅正在變得愈發(fā)精密、復(fù)雜，要及時(shí)、精確地識(shí)別這些安全威脅并迅速采取行動(dòng)，顯然需要強(qiáng)大的威脅情報(bào)來(lái)進(jìn)行支撐。在剛剛結(jié)束的Fortinet Security 361°中安全研討會(huì)上，F(xiàn)ortinet倡導(dǎo)要建立不斷演進(jìn)的威脅情報(bào)系統(tǒng)，利用最新的網(wǎng)絡(luò)安全技術(shù)與海量情報(bào)的高效分析，實(shí)現(xiàn)與安全威脅的與時(shí)俱進(jìn)。

識(shí)破網(wǎng)絡(luò)安全威脅的“變裝” 可執(zhí)行的威脅情報(bào)是關(guān)鍵

威脅同時(shí)來(lái)自?xún)?nèi)部和外部，在數(shù)字化轉(zhuǎn)型的背景下，任何一個(gè)環(huán)節(jié)的安全隱患都有可能引入整體的安全風(fēng)險(xiǎn)，這讓企業(yè)面臨掌握威脅動(dòng)向的沉重壓力。而且，為了繞過(guò)企業(yè)的網(wǎng)絡(luò)安全防御系統(tǒng)，更高效的發(fā)動(dòng)攻擊，如今越來(lái)越多的網(wǎng)絡(luò)安全威脅采取了更多的偽裝手段，這使得企業(yè)很難從其中尋找有價(jià)值、可執(zhí)行的威脅信息，所以通過(guò)威脅情報(bào)，從海量數(shù)據(jù)、警報(bào)和攻擊中發(fā)現(xiàn)安全威脅的跡象，進(jìn)而進(jìn)行主次排序便顯得尤為重要。

Fortinet華南區(qū)技術(shù)經(jīng)理玉文鋒在有關(guān)威脅情報(bào)主題演講中指出：“企業(yè)持續(xù)面對(duì)不斷發(fā)展的威脅、日益擴(kuò)大的攻擊表面和安全技術(shù)匱乏帶來(lái)挑戰(zhàn)，而可執(zhí)行信息是企業(yè)安全戰(zhàn)略從被動(dòng)轉(zhuǎn)為主動(dòng)、高效防御安全威脅的最佳方法。因此，企業(yè)必須重視威脅情報(bào)，不僅要廣泛搜集海量的威脅信息，還需要通過(guò)不斷創(chuàng)新的網(wǎng)絡(luò)安全技術(shù)對(duì)威脅進(jìn)行分析，篩選出真正有價(jià)值的威脅信息。”

基于FortiGuard全球威脅研究與響應(yīng)實(shí)驗(yàn)室的創(chuàng)新安全服務(wù)優(yōu)勢(shì)與威脅發(fā)現(xiàn)能力，F(xiàn)ortinet可幫助企業(yè)快速、精準(zhǔn)的發(fā)現(xiàn)威脅信息。截至FortiGuard全球威脅研究與響應(yīng)實(shí)驗(yàn)室第三季度數(shù)據(jù)，通過(guò)對(duì)海量數(shù)據(jù)的挖掘，每分鐘處理32,000個(gè)威脅事件、攔截200,000個(gè)惡意網(wǎng)站、抵抗1900,000起網(wǎng)絡(luò)入侵嘗試的能力;每周可更新100條IPS規(guī)則。同時(shí)，F(xiàn)ortiGuard實(shí)驗(yàn)室的威脅情報(bào)研究與響應(yīng)能力同樣可以輸出到Fortinet主要的安全組件，如FortiGate NGFW以及FortiMail郵件安全網(wǎng)關(guān)，F(xiàn)ortiWeb Web防火墻以及FortiClient終端安全防御軟件， 聯(lián)動(dòng)沙盒方案，建立了完善的內(nèi)部協(xié)作流程，在發(fā)現(xiàn)威脅信息之后，會(huì)在沙盒中進(jìn)行樣本分析，之后將樣本輸送到不同的組件，全面分析其IT地址及域名、未知的僵尸網(wǎng)絡(luò)協(xié)議、滲透攻擊行為等信息，建立預(yù)先響應(yīng)方案，F(xiàn)ortinet可以幫助企業(yè)更好的了解網(wǎng)絡(luò)攻擊者的行為模式、對(duì)攻擊進(jìn)行分析，以進(jìn)行針對(duì)性的防范;還可以更快速的洞悉漏洞信息，在攻擊者利用漏洞之前就進(jìn)行封堵。從而實(shí)現(xiàn)“更快地發(fā)布特征、更早地保護(hù)客戶(hù)”的目標(biāo)。

【FortiGuard全球威脅研究與響應(yīng)實(shí)驗(yàn)室 2017年第三季度數(shù)據(jù)】

迎戰(zhàn)網(wǎng)絡(luò)安全威脅 威脅情報(bào)服務(wù)向智能化演進(jìn)

玉文鋒還表示：“現(xiàn)實(shí)世界中的網(wǎng)絡(luò)安全威脅更像是漂浮在海面上的冰山，90%是潛伏的安全威脅，只有不到10%是活躍的安全威脅。在FortiGuard的安全防護(hù)實(shí)踐中，沙盒會(huì)監(jiān)測(cè)到超過(guò)兩千萬(wàn)個(gè)威脅信息，但其中真正活躍的信息只有25,000個(gè)，要對(duì)這些海量的潛藏安全威脅進(jìn)行跟蹤分析，并找出企業(yè)必須緊急處理的威脅信息，顯然需要機(jī)器學(xué)習(xí)等創(chuàng)新技術(shù)的應(yīng)用。此外，高級(jí)惡意軟件的快速增長(zhǎng)也讓企業(yè)必須找到行之有效的發(fā)現(xiàn)與分析能力。”

面對(duì)海量且不斷復(fù)雜化的安全威脅，F(xiàn)ortinet采用了AutoCPRL Signature(自動(dòng)內(nèi)容分析)技術(shù)，Auto-CPRL可以通過(guò)機(jī)器學(xué)習(xí)生成安全特征，通過(guò)單一類(lèi)別特征識(shí)別一個(gè)家族的惡意軟件，分析速度200倍速度于人類(lèi)分析，可以有效檢測(cè)到多種形態(tài)的惡意軟件家族的成員。同時(shí)，F(xiàn)ortinet還通過(guò)Anti-Exploit Engine(反滲透抗攻擊引擎)監(jiān)控硬件運(yùn)行狀態(tài)、應(yīng)用特征，監(jiān)測(cè)出可疑的shell代碼運(yùn)行、可疑程序啟動(dòng)、進(jìn)程崩潰、文件污染等可疑行為，生成威脅情報(bào)。

通過(guò)對(duì)機(jī)器學(xué)習(xí)等技術(shù)的應(yīng)用，F(xiàn)ortinet可以提供高效的威脅情報(bào)分析，不僅能夠可視化呈現(xiàn)威脅的最新態(tài)勢(shì)，還能給企業(yè)用戶(hù)提供防范威脅的針對(duì)性建議，以在數(shù)字化轉(zhuǎn)型的背景下，幫助企業(yè)保護(hù)珍貴的數(shù)據(jù)資產(chǎn)。