11月8日~9日,2017国际反病毒大会在天津召开,亚信安全作为协办单位,与来自全球多个国家、政府相关部门、协会和企业的网络信息安全和反病毒领域顶级专家汇聚一堂。本次大会以“万物互联背景下反病毒的新挑战”主题,针对当前突出的网络安全热点问题,及前沿技术和发展趋势进行了深入研讨。亚信网络安全产业技术研究院副院长童宁在主题演讲中以WannaCry勒索蠕虫事件为例,分析了如何通过态势感知、人工智能、机器学习、恶意威胁发现与分析等前沿网络安全技术,抵御日益精进的网络安全威胁。
网络威胁呈不断复杂化、精进化趋势发展
今年5月份,爆发了席卷全球的WannaCry勒索蠕虫病毒事件,黑客组织利用Shadow Brokers泄漏的最新NSA黑客工具和漏洞代码,制作了迅速蔓延的勒索蠕虫病毒,给全球各行各业造成了广泛的危害,引发了全球范围内的恐慌。WannaCry事件折射的是网络安全威胁不断复杂化、精进化的趋势。亚信安全调查显示,新病毒诞生的平均时间已经缩短至1.7秒,从2015年到2016年勒索软件家族成长率高达752%,未知威胁所引起的成功入侵所占比例高达90%,对防病毒技术能力提升提出了非常紧迫的要求。
【亚信网络安全产业技术研究院副院长童宁】
童宁表示:“黑客会针对常用安全防护软件对恶意软件进行免杀处理,传统通过云端威胁情报来进行防护的安全产品无法及时发现这些新的未知威胁,这导致了安全威胁的迅速蔓延。在WannaCry事件中,大部分网络安全解决方案之所以没有对威胁及时响应,主要是因为病毒利用了未被公开披露的远程漏洞利用工具,逃脱了安全防线的监控,而且会持续产生新的变种,超过了传统威胁情报的反应能力。”
新兴技术驱动与防护体系变革
童宁分析称,要防范未知的网络安全威胁,首先要做到的就是领先攻击者一步,对未知威胁进行敏锐识别与快速响应。而要从海量的数据中提取真正的威胁样本数据,会对人力、IT资源造成沉重的压力。在此背景下,机器学习技术应运而生,即通过威胁样本的DNA进行特征匹配,并通过模拟真实的环境来判断样本是否真的对企业网络构成威胁。在WannaCry事件中,亚信安全成功的在没有病毒码之前,通过机器学习技术发现了WannaCry勒索蠕虫病毒的可疑行为。
针对未知威胁的发现、分析和处理,疑似恶意威胁发现与分析技术将扮演重要作用。童宁指出:疑似恶意威胁发现技术可分析100种以上的网络协议与应用程序,侦测多种威胁,并真实呈现威胁攻击的阶段性信息,让管理者可以针对不同阶段的攻击采取适当的应变措施;疑似恶意威胁分析技术涵盖了定制化沙箱、多重分析引擎、全球威胁情报等能力,能够提升针对企业的定向威胁侦测能力,并对多种文件类型与URL提供全面的威胁侦测。
此外,童宁还分析了调查取证技术在亚信安全处置WannaCry事件中的应用。首先要满足安全调查取证的要求,需要通过本地的网络取证设备、终端取证设备和沙箱分析设备获取所有安全事件记录,汇总到大数据调查取证中心;同时通过云端威胁情报回路共享全球的安全事件,也输送到大数据调查取证中心,进行统一地关联分析,形成完整的取证链条。在WannaCry事件中,亚信安全通过调查取证,绘制了病毒从漏洞入口-蠕虫感染-本地勒索行为-内网传播的完整链条,帮助安全人员清晰的了解安全事态。
中国工程院院士沈昌祥在与亚信安全工作人员的交流过程中,对亚信安全成功防御WannaCry勒索蠕虫的能力表示认可,并特别指出:“从WannaCry事件中可以看到,风险是无处不在的,也是‘堵’不完的,所以我们要建立科学的网络安全观,更要掌握前沿安全技术,比如中国在可信计算领域的创新发展,要建立可信的免疫计算模式与结构,形成主动免疫的云计算安全。”
借助前沿网络安全技术,打造清朗的网络空间
借助前沿的网络安全技术,亚信安全已经建设了本地威胁情报中心,通过本地威胁情报智能联动防护体系来实现本地疑似威胁自动上报、威胁情报实时更新、疑似威胁自动分析与反馈,实现从“事件响应”到“持续响应”的转换,有效应对威胁回溯和威胁预测的挑战。亚信安全力图通过人工智能、机器学习、恶意威胁发现与分析、新一代态势感知等前沿网络安全技术,抵御日益精进的网络安全威胁,全力打造清朗的网络空间。