网络安全威胁正在变得愈发精密、复杂,要及时、精确地识别这些安全威胁并迅速采取行动,显然需要强大的威胁情报来进行支撑。在刚刚结束的Fortinet Security 361°中安全研讨会上,Fortinet倡导要建立不断演进的威胁情报系统,利用最新的网络安全技术与海量情报的高效分析,实现与安全威胁的与时俱进。
识破网络安全威胁的“变装” 可执行的威胁情报是关键
威胁同时来自内部和外部,在数字化转型的背景下,任何一个环节的安全隐患都有可能引入整体的安全风险,这让企业面临掌握威胁动向的沉重压力。而且,为了绕过企业的网络安全防御系统,更高效的发动攻击,如今越来越多的网络安全威胁采取了更多的伪装手段,这使得企业很难从其中寻找有价值、可执行的威胁信息,所以通过威胁情报,从海量数据、警报和攻击中发现安全威胁的迹象,进而进行主次排序便显得尤为重要。
Fortinet华南区技术经理玉文锋在有关威胁情报主题演讲中指出:“企业持续面对不断发展的威胁、日益扩大的攻击表面和安全技术匮乏带来挑战,而可执行信息是企业安全战略从被动转为主动、高效防御安全威胁的最佳方法。因此,企业必须重视威胁情报,不仅要广泛搜集海量的威胁信息,还需要通过不断创新的网络安全技术对威胁进行分析,筛选出真正有价值的威胁信息。”
基于FortiGuard全球威胁研究与响应实验室的创新安全服务优势与威胁发现能力,Fortinet可帮助企业快速、精准的发现威胁信息。截至FortiGuard全球威胁研究与响应实验室第三季度数据,通过对海量数据的挖掘,每分钟处理32,000个威胁事件、拦截200,000个恶意网站、抵抗1900,000起网络入侵尝试的能力;每周可更新100条IPS规则。同时,FortiGuard实验室的威胁情报研究与响应能力同样可以输出到Fortinet主要的安全组件,如FortiGate NGFW以及FortiMail邮件安全网关,FortiWeb Web防火墙以及FortiClient终端安全防御软件, 联动沙盒方案,建立了完善的内部协作流程,在发现威胁信息之后,会在沙盒中进行样本分析,之后将样本输送到不同的组件,全面分析其IT地址及域名、未知的僵尸网络协议、渗透攻击行为等信息,建立预先响应方案,Fortinet可以帮助企业更好的了解网络攻击者的行为模式、对攻击进行分析,以进行针对性的防范;还可以更快速的洞悉漏洞信息,在攻击者利用漏洞之前就进行封堵。从而实现“更快地发布特征、更早地保护客户”的目标。
【FortiGuard全球威胁研究与响应实验室 2017年第三季度数据】
迎战网络安全威胁 威胁情报服务向智能化演进
玉文锋还表示:“现实世界中的网络安全威胁更像是漂浮在海面上的冰山,90%是潜伏的安全威胁,只有不到10%是活跃的安全威胁。在FortiGuard的安全防护实践中,沙盒会监测到超过两千万个威胁信息,但其中真正活跃的信息只有25,000个,要对这些海量的潜藏安全威胁进行跟踪分析,并找出企业必须紧急处理的威胁信息,显然需要机器学习等创新技术的应用。此外,高级恶意软件的快速增长也让企业必须找到行之有效的发现与分析能力。”
面对海量且不断复杂化的安全威胁,Fortinet采用了AutoCPRL Signature(自动内容分析)技术,Auto-CPRL可以通过机器学习生成安全特征,通过单一类别特征识别一个家族的恶意软件,分析速度200倍速度于人类分析,可以有效检测到多种形态的恶意软件家族的成员。同时,Fortinet还通过Anti-Exploit Engine(反渗透抗攻击引擎)监控硬件运行状态、应用特征,监测出可疑的shell代码运行、可疑程序启动、进程崩溃、文件污染等可疑行为,生成威胁情报。
通过对机器学习等技术的应用,Fortinet可以提供高效的威胁情报分析,不仅能够可视化呈现威胁的最新态势,还能给企业用户提供防范威胁的针对性建议,以在数字化转型的背景下,帮助企业保护珍贵的数据资产。
