12月28日，奇安信正式對外發(fā)布一站式威脅情報運營系統(tǒng)星軌（簡稱TIOS）。TIOS包含樣本鑒定平臺（Singularity）、情報運營平臺（Tide）、威脅情報平臺（Quark）、郵件檢測系統(tǒng)（White hole）、同源分析系統(tǒng)（Megalodon）五大安全組件平臺，融合公有云和私有云多數(shù)據(jù)情報來源，結(jié)合威脅圖譜分析的關(guān)聯(lián)視圖展示，實現(xiàn)威脅情報數(shù)據(jù)生產(chǎn)、共享、處理、運營與消費的閉環(huán)建設(shè)，幫助政企機構(gòu)快速精準發(fā)現(xiàn)網(wǎng)絡(luò)威脅，了解網(wǎng)絡(luò)安全態(tài)勢。

威脅情報需要閉環(huán)運營

眾所周知，網(wǎng)絡(luò)安全是一個攻防雙方動態(tài)博弈的過程。網(wǎng)絡(luò)威脅技術(shù)手段和形式在不斷變化，一次網(wǎng)絡(luò)攻擊往往涉及多層攻擊面，專業(yè)的分工和豐富的資源使攻擊者往往具備較高和成熟的網(wǎng)絡(luò)攻擊水平，采用傳統(tǒng)方法一旦漏掉部分細節(jié)就意味著永遠錯過，很難還原攻擊全貌，導(dǎo)致攻擊者得手之后“逃之夭夭”。

“盡管攻擊手法日新月異，但攻擊者使用的基礎(chǔ)設(shè)施卻不會頻繁發(fā)生變化。”奇安信威脅情報中心負責(zé)人汪列軍表示，攻擊者并不會為每次新的攻擊更換基礎(chǔ)資源，相反為實現(xiàn)利益最大化，減少購買全新基礎(chǔ)設(shè)施所消耗的成本，很可能重復(fù)使用基礎(chǔ)設(shè)施資源，只需要修改所利用的惡意程序即可。

因此，基于威脅情報進行事件關(guān)聯(lián)是使網(wǎng)絡(luò)安全戰(zhàn)略更加有效的一種方法，它能夠精準檢測攻擊者使用的基礎(chǔ)設(shè)施，同時提供豐富的上下文，來確保用戶在威脅狩獵的過程中，不漏掉任何攻擊細節(jié)。

但是，僅僅依靠外部威脅情報輸入還是遠遠不夠的，威脅情報驅(qū)動的威脅運營是一個運行閉環(huán)，威脅情報從生產(chǎn)、應(yīng)用到運行要在政企機構(gòu)落地，更需要“嵌入”內(nèi)部的信息化和業(yè)務(wù)系統(tǒng)和流程中，并作用于積極防御，建立自身的情報生產(chǎn)和消費能力，挖掘出潛在和未知威脅，并及時有效的彌補防御弱點。

五大組件全面覆蓋威脅情報所有環(huán)節(jié)

汪列軍稱，此次奇安信發(fā)布的TIOS基于威脅情報中心多年的實戰(zhàn)積累，通過提供一套包含五大組件的組合級解決方案，支持各安全組件按需靈活擴展和組合，在隔離網(wǎng)或聯(lián)網(wǎng)場景下均適用，幫助政企機構(gòu)完成威脅情報生產(chǎn)與生產(chǎn)的有效運營。

具體如下：

第一，樣本鑒定平臺（Singularity）。

《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》顯示，惡意程序傳播與治理對抗性加劇，全年捕獲惡意程序樣本數(shù)量超過4200萬個，僅日均傳播次數(shù)就達482萬余次。

樣本鑒定平臺通過靜態(tài)+動態(tài)的多引擎檢測方式，結(jié)合自研和業(yè)界多款知名反病毒引擎、高級威脅檢測引擎、高對抗行為分析、威脅情報關(guān)聯(lián)、自動化標定文件tag等，提供實時在線檢測分析能力，輸出精準的檢測結(jié)果、具體的威脅類別以及直觀的分析報告，滿足多個場景下對惡意樣本的檢測、研判、分析溯源需求。

第二，情報運營平臺（Tide）。

奇安信威脅情報中心作為國內(nèi)首個商用威脅情報中心，已經(jīng)建立了一整套完善的“高價值情報運營體系”，在兼顧威脅情報的準確率和召回率的同時，能以“情報內(nèi)生”的方式，將威脅情報生產(chǎn)+運營能力下沉至用戶本地。

情報運營平臺具備強大的威脅研判分析能力，為用戶提供情報鑒定、人工運營等功能。并且通過對象研判處理、元數(shù)據(jù)提取、狀態(tài)變更、情報標定以及運營判斷等處置流程，對樣本運營進行全生命周期管理。與此同時，為保證威脅情報檢測的準確率，所有生產(chǎn)的情報IOC必須經(jīng)人工審核流程處理后才會投入使用。

第三，威脅情報平臺（Quark）。

需要注意的是，由于不同威脅情報供應(yīng)商在數(shù)據(jù)覆蓋度和專注領(lǐng)域的區(qū)別，采用單一威脅情報源極易產(chǎn)生漏報現(xiàn)象。奇安信威脅情報平臺引入了多源威脅情報，經(jīng)聚合及綜合研判后輸出可信度較高的信息，還能夠通過各類高速查詢接口為本地的大數(shù)據(jù)平臺提供豐富的上下文，大幅提升威脅情報檢測的準確率，降低誤報率和漏報率。

不僅如此，威脅情報平臺還可實現(xiàn)用戶自身環(huán)境內(nèi)自產(chǎn)威脅情報數(shù)據(jù)的導(dǎo)入，并以標準STIX格式，實現(xiàn)本地威脅情報的共享，提升整個行業(yè)的安全基線。

第四，郵件檢測系統(tǒng)（White hole）。

在APT分析中，郵件攻擊檢測主要采用攻擊郵件探針的探測，再結(jié)合規(guī)則引擎的分析檢測結(jié)果，將攻擊郵件探針所采用的目標IP、收發(fā)件人、郵件正文等內(nèi)容與“威脅情報+私有情報”進行匹配，即可判斷是否遭受高級APT郵件攻擊。

郵件檢測系統(tǒng)利用多項技術(shù)挖掘郵件正文、郵件附件中高級威脅信息，依賴團隊長期跟蹤的高級威脅團伙對各類郵件中的云附件進行標記，檢測出實際的攻擊類型、郵件中包含的特征以及各類攻擊手段，追蹤并跟進到更多的高級APT攻擊團伙，是企業(yè)實現(xiàn)高級威脅郵件檢測與APT追蹤的一種有效手段。

第五，同源分析系統(tǒng)（Megalodon）。

為了躲避檢測，惡意樣本不斷采用多態(tài)和變形等方式，使得分析師很難發(fā)現(xiàn)樣本中的同源關(guān)系（若惡意樣本由同一惡意代碼采用代碼復(fù)用的方式演變而來，或行為具有相似性，而出現(xiàn)存在先后的關(guān)系，則稱它們?yōu)橥矗o攻擊組織溯源帶來了極大的挑戰(zhàn)，難以制定具有針對性的防御策略。

在經(jīng)過樣本鑒定平臺后，用戶可將滿足條件的樣本投入文件同源分析平臺。該組件利用基于機器學(xué)習(xí)的（高級）惡意樣本分類識別引擎，抽取樣本文件的元數(shù)據(jù)，通過同源分類算法（和已有典型樣本文件或指定病毒文件的元數(shù)據(jù)進行相似性計算）快速找出已知APT攻擊團伙、惡意家族的未知相似樣本，確定是否存在明顯的同源性或者是否可以歸為一個家族，來判斷樣本的同源性和家族屬性，協(xié)助研判未知威脅發(fā)現(xiàn)。

汪列軍強調(diào)，TIOS集威脅情報研判能力、運營數(shù)據(jù)處理能力、文件深度鑒定能力、郵件攻擊檢測能力及樣本同源分析能力于一體，是使生產(chǎn)私有情報落地、利用情報完善攻擊發(fā)現(xiàn)、安全事件分析響應(yīng)處置及預(yù)防相關(guān)工作的最佳利器。