12月28日，奇安信正式對(duì)外發(fā)布一站式威脅情報(bào)運(yùn)營(yíng)系統(tǒng)星軌（簡(jiǎn)稱TIOS）。TIOS包含樣本鑒定平臺(tái)（Singularity）、情報(bào)運(yùn)營(yíng)平臺(tái)（Tide）、威脅情報(bào)平臺(tái)（Quark）、郵件檢測(cè)系統(tǒng)（White hole）、同源分析系統(tǒng)（Megalodon）五大安全組件平臺(tái)，融合公有云和私有云多數(shù)據(jù)情報(bào)來(lái)源，結(jié)合威脅圖譜分析的關(guān)聯(lián)視圖展示，實(shí)現(xiàn)威脅情報(bào)數(shù)據(jù)生產(chǎn)、共享、處理、運(yùn)營(yíng)與消費(fèi)的閉環(huán)建設(shè)，幫助政企機(jī)構(gòu)快速精準(zhǔn)發(fā)現(xiàn)網(wǎng)絡(luò)威脅，了解網(wǎng)絡(luò)安全態(tài)勢(shì)。

威脅情報(bào)需要閉環(huán)運(yùn)營(yíng)

眾所周知，網(wǎng)絡(luò)安全是一個(gè)攻防雙方動(dòng)態(tài)博弈的過(guò)程。網(wǎng)絡(luò)威脅技術(shù)手段和形式在不斷變化，一次網(wǎng)絡(luò)攻擊往往涉及多層攻擊面，專業(yè)的分工和豐富的資源使攻擊者往往具備較高和成熟的網(wǎng)絡(luò)攻擊水平，采用傳統(tǒng)方法一旦漏掉部分細(xì)節(jié)就意味著永遠(yuǎn)錯(cuò)過(guò)，很難還原攻擊全貌，導(dǎo)致攻擊者得手之后“逃之夭夭”。

“盡管攻擊手法日新月異，但攻擊者使用的基礎(chǔ)設(shè)施卻不會(huì)頻繁發(fā)生變化。”奇安信威脅情報(bào)中心負(fù)責(zé)人汪列軍表示，攻擊者并不會(huì)為每次新的攻擊更換基礎(chǔ)資源，相反為實(shí)現(xiàn)利益最大化，減少購(gòu)買(mǎi)全新基礎(chǔ)設(shè)施所消耗的成本，很可能重復(fù)使用基礎(chǔ)設(shè)施資源，只需要修改所利用的惡意程序即可。

因此，基于威脅情報(bào)進(jìn)行事件關(guān)聯(lián)是使網(wǎng)絡(luò)安全戰(zhàn)略更加有效的一種方法，它能夠精準(zhǔn)檢測(cè)攻擊者使用的基礎(chǔ)設(shè)施，同時(shí)提供豐富的上下文，來(lái)確保用戶在威脅狩獵的過(guò)程中，不漏掉任何攻擊細(xì)節(jié)。

但是，僅僅依靠外部威脅情報(bào)輸入還是遠(yuǎn)遠(yuǎn)不夠的，威脅情報(bào)驅(qū)動(dòng)的威脅運(yùn)營(yíng)是一個(gè)運(yùn)行閉環(huán)，威脅情報(bào)從生產(chǎn)、應(yīng)用到運(yùn)行要在政企機(jī)構(gòu)落地，更需要“嵌入”內(nèi)部的信息化和業(yè)務(wù)系統(tǒng)和流程中，并作用于積極防御，建立自身的情報(bào)生產(chǎn)和消費(fèi)能力，挖掘出潛在和未知威脅，并及時(shí)有效的彌補(bǔ)防御弱點(diǎn)。

五大組件全面覆蓋威脅情報(bào)所有環(huán)節(jié)

汪列軍稱，此次奇安信發(fā)布的TIOS基于威脅情報(bào)中心多年的實(shí)戰(zhàn)積累，通過(guò)提供一套包含五大組件的組合級(jí)解決方案，支持各安全組件按需靈活擴(kuò)展和組合，在隔離網(wǎng)或聯(lián)網(wǎng)場(chǎng)景下均適用，幫助政企機(jī)構(gòu)完成威脅情報(bào)生產(chǎn)與生產(chǎn)的有效運(yùn)營(yíng)。

具體如下：

第一，樣本鑒定平臺(tái)（Singularity）。

《2020年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》顯示，惡意程序傳播與治理對(duì)抗性加劇，全年捕獲惡意程序樣本數(shù)量超過(guò)4200萬(wàn)個(gè)，僅日均傳播次數(shù)就達(dá)482萬(wàn)余次。

樣本鑒定平臺(tái)通過(guò)靜態(tài)+動(dòng)態(tài)的多引擎檢測(cè)方式，結(jié)合自研和業(yè)界多款知名反病毒引擎、高級(jí)威脅檢測(cè)引擎、高對(duì)抗行為分析、威脅情報(bào)關(guān)聯(lián)、自動(dòng)化標(biāo)定文件tag等，提供實(shí)時(shí)在線檢測(cè)分析能力，輸出精準(zhǔn)的檢測(cè)結(jié)果、具體的威脅類別以及直觀的分析報(bào)告，滿足多個(gè)場(chǎng)景下對(duì)惡意樣本的檢測(cè)、研判、分析溯源需求。

第二，情報(bào)運(yùn)營(yíng)平臺(tái)（Tide）。

奇安信威脅情報(bào)中心作為國(guó)內(nèi)首個(gè)商用威脅情報(bào)中心，已經(jīng)建立了一整套完善的“高價(jià)值情報(bào)運(yùn)營(yíng)體系”，在兼顧威脅情報(bào)的準(zhǔn)確率和召回率的同時(shí)，能以“情報(bào)內(nèi)生”的方式，將威脅情報(bào)生產(chǎn)+運(yùn)營(yíng)能力下沉至用戶本地。

情報(bào)運(yùn)營(yíng)平臺(tái)具備強(qiáng)大的威脅研判分析能力，為用戶提供情報(bào)鑒定、人工運(yùn)營(yíng)等功能。并且通過(guò)對(duì)象研判處理、元數(shù)據(jù)提取、狀態(tài)變更、情報(bào)標(biāo)定以及運(yùn)營(yíng)判斷等處置流程，對(duì)樣本運(yùn)營(yíng)進(jìn)行全生命周期管理。與此同時(shí)，為保證威脅情報(bào)檢測(cè)的準(zhǔn)確率，所有生產(chǎn)的情報(bào)IOC必須經(jīng)人工審核流程處理后才會(huì)投入使用。

第三，威脅情報(bào)平臺(tái)（Quark）。

需要注意的是，由于不同威脅情報(bào)供應(yīng)商在數(shù)據(jù)覆蓋度和專注領(lǐng)域的區(qū)別，采用單一威脅情報(bào)源極易產(chǎn)生漏報(bào)現(xiàn)象。奇安信威脅情報(bào)平臺(tái)引入了多源威脅情報(bào)，經(jīng)聚合及綜合研判后輸出可信度較高的信息，還能夠通過(guò)各類高速查詢接口為本地的大數(shù)據(jù)平臺(tái)提供豐富的上下文，大幅提升威脅情報(bào)檢測(cè)的準(zhǔn)確率，降低誤報(bào)率和漏報(bào)率。

不僅如此，威脅情報(bào)平臺(tái)還可實(shí)現(xiàn)用戶自身環(huán)境內(nèi)自產(chǎn)威脅情報(bào)數(shù)據(jù)的導(dǎo)入，并以標(biāo)準(zhǔn)STIX格式，實(shí)現(xiàn)本地威脅情報(bào)的共享，提升整個(gè)行業(yè)的安全基線。

第四，郵件檢測(cè)系統(tǒng)（White hole）。

在APT分析中，郵件攻擊檢測(cè)主要采用攻擊郵件探針的探測(cè)，再結(jié)合規(guī)則引擎的分析檢測(cè)結(jié)果，將攻擊郵件探針?biāo)捎玫哪繕?biāo)IP、收發(fā)件人、郵件正文等內(nèi)容與“威脅情報(bào)+私有情報(bào)”進(jìn)行匹配，即可判斷是否遭受高級(jí)APT郵件攻擊。

郵件檢測(cè)系統(tǒng)利用多項(xiàng)技術(shù)挖掘郵件正文、郵件附件中高級(jí)威脅信息，依賴團(tuán)隊(duì)長(zhǎng)期跟蹤的高級(jí)威脅團(tuán)伙對(duì)各類郵件中的云附件進(jìn)行標(biāo)記，檢測(cè)出實(shí)際的攻擊類型、郵件中包含的特征以及各類攻擊手段，追蹤并跟進(jìn)到更多的高級(jí)APT攻擊團(tuán)伙，是企業(yè)實(shí)現(xiàn)高級(jí)威脅郵件檢測(cè)與APT追蹤的一種有效手段。

第五，同源分析系統(tǒng)（Megalodon）。

為了躲避檢測(cè)，惡意樣本不斷采用多態(tài)和變形等方式，使得分析師很難發(fā)現(xiàn)樣本中的同源關(guān)系（若惡意樣本由同一惡意代碼采用代碼復(fù)用的方式演變而來(lái)，或行為具有相似性，而出現(xiàn)存在先后的關(guān)系，則稱它們?yōu)橥矗o攻擊組織溯源帶來(lái)了極大的挑戰(zhàn)，難以制定具有針對(duì)性的防御策略。

在經(jīng)過(guò)樣本鑒定平臺(tái)后，用戶可將滿足條件的樣本投入文件同源分析平臺(tái)。該組件利用基于機(jī)器學(xué)習(xí)的（高級(jí)）惡意樣本分類識(shí)別引擎，抽取樣本文件的元數(shù)據(jù)，通過(guò)同源分類算法（和已有典型樣本文件或指定病毒文件的元數(shù)據(jù)進(jìn)行相似性計(jì)算）快速找出已知APT攻擊團(tuán)伙、惡意家族的未知相似樣本，確定是否存在明顯的同源性或者是否可以歸為一個(gè)家族，來(lái)判斷樣本的同源性和家族屬性，協(xié)助研判未知威脅發(fā)現(xiàn)。

汪列軍強(qiáng)調(diào)，TIOS集威脅情報(bào)研判能力、運(yùn)營(yíng)數(shù)據(jù)處理能力、文件深度鑒定能力、郵件攻擊檢測(cè)能力及樣本同源分析能力于一體，是使生產(chǎn)私有情報(bào)落地、利用情報(bào)完善攻擊發(fā)現(xiàn)、安全事件分析響應(yīng)處置及預(yù)防相關(guān)工作的最佳利器。