網(wǎng)絡(luò)安全威脅有很強(qiáng)的隱蔽性，通常一個(gè)技術(shù)漏洞、安全風(fēng)險(xiǎn)可能隱藏幾年都發(fā)現(xiàn)不了，結(jié)果是“誰(shuí)進(jìn)來(lái)了不知道、是敵是友不知道、干了什么不知道”，長(zhǎng)期“潛伏”在我們運(yùn)營(yíng)保障的網(wǎng)絡(luò)環(huán)境中，一旦有事就發(fā)作了。

科來(lái)資深技術(shù)顧問(wèn)齊宇飛表示，網(wǎng)絡(luò)安全最大的問(wèn)題不是防御能力不足，而是脆弱的感知能力，因此，未知威脅的分析和發(fā)現(xiàn)，成了決定我們網(wǎng)絡(luò)安全工作成敗的關(guān)鍵。

傳統(tǒng)安全檢測(cè)體系是基于已知威脅特征來(lái)檢測(cè)的，對(duì)未知威脅無(wú)感知。同時(shí)，造成損失后，缺乏有效的數(shù)據(jù)對(duì)事件進(jìn)行復(fù)盤(pán)，導(dǎo)致無(wú)法定位問(wèn)題點(diǎn)，失去了網(wǎng)絡(luò)安全優(yōu)化、改進(jìn)的機(jī)會(huì)。

大數(shù)據(jù)本會(huì)面臨更大的安全威脅，大數(shù)據(jù)時(shí)代需要智慧安全。而智慧安全就是用大數(shù)據(jù)分析技術(shù)，實(shí)現(xiàn)DT時(shí)代全方位安全態(tài)勢(shì)感知，特別是未知威脅的檢測(cè)和分析。

科來(lái)資深技術(shù)顧問(wèn) 齊宇飛

大數(shù)據(jù)分析的對(duì)象就是網(wǎng)絡(luò)全流量，因?yàn)樵俑呒?jí)的網(wǎng)絡(luò)攻擊，都會(huì)留下網(wǎng)絡(luò)痕跡。因此我們需要全方位網(wǎng)絡(luò)流量分析，包括內(nèi)網(wǎng)核心、安全域邊界等，而不僅僅是邊界。

全流量回溯是對(duì)網(wǎng)絡(luò)數(shù)據(jù)的大數(shù)據(jù)分析，最大特點(diǎn)是對(duì)網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)應(yīng)用進(jìn)行識(shí)別，以及異常檢測(cè)為主的判斷機(jī)制和原始流量的存儲(chǔ)。

落地到安全保障的日常工作，全流量回溯的應(yīng)用，能有效落實(shí)事前預(yù)防，事中控制和事后評(píng)估的三段式網(wǎng)絡(luò)安全保障的要求。

即將發(fā)布的等保2.0，網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求里明確提出，三級(jí)系統(tǒng)應(yīng)檢查是否部署網(wǎng)絡(luò)回溯，對(duì)新型網(wǎng)絡(luò)攻擊進(jìn)行檢測(cè)和分析，應(yīng)檢測(cè)是否對(duì)網(wǎng)絡(luò)行為進(jìn)行分析，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊特別是未知的新型網(wǎng)絡(luò)攻擊的檢測(cè)和分析。

全流量回溯是網(wǎng)絡(luò)安全態(tài)勢(shì)感知平臺(tái)的基礎(chǔ)技術(shù)?？苼?lái)的解決方案通過(guò)在網(wǎng)絡(luò)全方向部署全流量回溯分析設(shè)備，配合抗APT沙箱以及資產(chǎn)信息采集，并在此基礎(chǔ)上持續(xù)融合第三方安全數(shù)據(jù)，融入大數(shù)據(jù)安全分析平臺(tái)。通過(guò)差異化過(guò)濾與綜合關(guān)聯(lián)分析，一方面形成態(tài)勢(shì)數(shù)據(jù)幫助我們了解現(xiàn)狀，提供決策依據(jù)，另一方面生成告警和預(yù)警數(shù)據(jù)，形成安全事件，通過(guò)統(tǒng)一的應(yīng)急處置中心對(duì)事件進(jìn)行持續(xù)的響應(yīng)。

在“2018中國(guó)工業(yè)信息安全高峰論壇”上，成都科來(lái)軟件有限公司榮獲“2018中國(guó)工業(yè)信息安全高峰論壇十大用戶(hù)信賴(lài)品牌”獎(jiǎng)和“2018年度中國(guó)工業(yè)信息安全最佳網(wǎng)絡(luò)流量分析解決方案”獎(jiǎng)。