随着企业对威胁情报在漏洞管理、安全运营SOC、事件检测与响应、风险分析、防欺诈、供应链风险等领域应用的关注度不断上升,威胁情报平台已经成为企业安全界的热门话题。那么,如何从数据的海洋中抓取信息,又如何从海量数据中挖掘威胁情报,甚至是在关键时刻实现安全威胁的秒级阻断呢?其中的核心平台便是安全行业的大网红——“数据湖”(Data Lake)。
威胁情报为何需要数据湖
Data Lake不是一个新的概念,Pentaho公司创始人James Dixon早在2010年便创造了“数据湖”这个术语。随后几年,数据湖一直处于不温不火状态,更多的是在一些开源项目上得以应用。但在近两年,数据湖已经成为从大型数据存储库中的数据挖掘中形成竞争性见解的关键工具,在网络威胁治理方面更是发挥着奇效。
图:安全数据湖为战略型与战术型威胁情报提供智能转换
其实数据湖技术在网络安全领域的应用并非新宠,据了解,亚信安全的安全数据湖威胁情报系统已建设多年。随着数字化进程在各个行业的加速,Security Data Lake已经成为高级威胁预警和拦截的超级大脑,用于解决网络威胁数量、响应速度和精度等技术难题。
数据显示,全球每年新增恶意软件样本数超过1.2亿,相当于每天33.3万个新样本,每分钟230个新样本,每秒钟接近4个新恶意软件样本。由此,数据湖首先解决了可以容纳大量威胁数据样本的问题。其次,数据湖可以更好地支撑与预测分析、跨领域分析、主动分析、实时分析以及多元化结构化数据分析,可以加速恶意软件特征与样本库DNA对比过程,从而实现从战略级到战术级的落地。最后一点,数据湖能够与网络端点层面以及其他安全策略执行设备形成“联动”机制,这也是网络威胁领域最独特的应用优势。
数据湖在威胁治理领域的成功应用
《亚信安全2020年度安全威胁回顾及预测报告》中显示,2020年共检测并拦截5.5亿个恶意程序攻击、2亿条恶意URL地址以及1.1亿个Android平台恶意代码,此外还协助用户成功拦截85,421次勒索病毒,并对其攻击方式形成了详细的溯源分析报告。而在其背后,安全数据湖无疑发挥着重要作用。
【图:亚信安全安全数据湖威胁情报系统体系】
亚信安全的安全数据湖威胁情报体系包括了安全数据湖大数据系统、情报采集集群、智能防护网络和TIP SaaS威胁情报平台4大子系统,其采用的超大型弹性采集集群架构设计,为内部情报源、战术情报源、战略情报源提供了性能强大的智能化容器。目前,亚信安全数据湖利用自动化系统,在全球范围主动采集威胁情报数据,覆盖了150个数据源,每天数据的采集和更新情报量超过1亿条,日均增加存储量超过1TB。
目前,亚信安全在威胁情报方面与各大友商和机构的有着紧密的联动,同时也与国内运营商保持长期稳定的合作,形成了广泛的威胁情报共享机制与协同处理机制。除了数量级别方面的优势之外,亚信安全在威胁情报领域拥有过硬的技术实力,能实现广泛的情报采集、赋能、反馈、联动。其中,终端安全风险探针技术产品,不仅可以为数据湖提供实时数据采集,还通过本地沙箱及SPN网络的智能响应回路方式,在安全威胁还未造成巨大破坏之前,就通过应急响应能力进行封堵。
全网免疫将是威胁情报技术发展的终极目标
当前,全球经济正在进行数字化转型,物联网、云计算、大数据、5G、智能制造等新技术在为企业和机构带来了巨大机遇的同时,也带来了日益复杂多样化网络风险。在风险和需求的推动下,整个威胁情报行业取得巨大的发展和进步,威胁情报可以应用于很多产品和场景,不管是在态势感知和日志型的方案里,还是在网络流量检测中(NDR),包括在终端的检测中(EDR),威胁情报都发挥了决定性的作用,而安全数据湖技术则是里面的灵魂。
亚信安全长期以来不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为企业及个人用户提供可以信赖的安全保护。未来,随着“安全定义边界”等理念的推广实践,亚信安全将通过安全湖平台、XDR、端点一体化保护解决方案等产品组合,为用户提供阻断能力、控制能力、免疫能力,全面抵御复杂的和不断演化的数字威胁。