11月8日~9日，2017國際反病毒大會在天津召開，亞信安全作為協(xié)辦單位，與來自全球多個國家、政府相關(guān)部門、協(xié)會和企業(yè)的網(wǎng)絡(luò)信息安全和反病毒領(lǐng)域頂級專家匯聚一堂。本次大會以“萬物互聯(lián)背景下反病毒的新挑戰(zhàn)”主題，針對當前突出的網(wǎng)絡(luò)安全熱點問題，及前沿技術(shù)和發(fā)展趨勢進行了深入研討。亞信網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院副院長童寧在主題演講中以WannaCry勒索蠕蟲事件為例，分析了如何通過態(tài)勢感知、人工智能、機器學習、惡意威脅發(fā)現(xiàn)與分析等前沿網(wǎng)絡(luò)安全技術(shù)，抵御日益精進的網(wǎng)絡(luò)安全威脅。

網(wǎng)絡(luò)威脅呈不斷復雜化、精進化趨勢發(fā)展

今年5月份，爆發(fā)了席卷全球的WannaCry勒索蠕蟲病毒事件，黑客組織利用Shadow Brokers泄漏的最新NSA黑客工具和漏洞代碼，制作了迅速蔓延的勒索蠕蟲病毒，給全球各行各業(yè)造成了廣泛的危害，引發(fā)了全球范圍內(nèi)的恐慌。WannaCry事件折射的是網(wǎng)絡(luò)安全威脅不斷復雜化、精進化的趨勢。亞信安全調(diào)查顯示，新病毒誕生的平均時間已經(jīng)縮短至1.7秒，從2015年到2016年勒索軟件家族成長率高達752%，未知威脅所引起的成功入侵所占比例高達90%，對防病毒技術(shù)能力提升提出了非常緊迫的要求。

【亞信網(wǎng)絡(luò)安全產(chǎn)業(yè)技術(shù)研究院副院長童寧】

童寧表示：“黑客會針對常用安全防護軟件對惡意軟件進行免殺處理，傳統(tǒng)通過云端威脅情報來進行防護的安全產(chǎn)品無法及時發(fā)現(xiàn)這些新的未知威脅，這導致了安全威脅的迅速蔓延。在WannaCry事件中，大部分網(wǎng)絡(luò)安全解決方案之所以沒有對威脅及時響應(yīng)，主要是因為病毒利用了未被公開披露的遠程漏洞利用工具，逃脫了安全防線的監(jiān)控，而且會持續(xù)產(chǎn)生新的變種，超過了傳統(tǒng)威脅情報的反應(yīng)能力。”

新興技術(shù)驅(qū)動與防護體系變革

童寧分析稱，要防范未知的網(wǎng)絡(luò)安全威脅，首先要做到的就是領(lǐng)先攻擊者一步，對未知威脅進行敏銳識別與快速響應(yīng)。而要從海量的數(shù)據(jù)中提取真正的威脅樣本數(shù)據(jù)，會對人力、IT資源造成沉重的壓力。在此背景下，機器學習技術(shù)應(yīng)運而生，即通過威脅樣本的DNA進行特征匹配，并通過模擬真實的環(huán)境來判斷樣本是否真的對企業(yè)網(wǎng)絡(luò)構(gòu)成威脅。在WannaCry事件中，亞信安全成功的在沒有病毒碼之前，通過機器學習技術(shù)發(fā)現(xiàn)了WannaCry勒索蠕蟲病毒的可疑行為。

針對未知威脅的發(fā)現(xiàn)、分析和處理，疑似惡意威脅發(fā)現(xiàn)與分析技術(shù)將扮演重要作用。童寧指出：疑似惡意威脅發(fā)現(xiàn)技術(shù)可分析100種以上的網(wǎng)絡(luò)協(xié)議與應(yīng)用程序，偵測多種威脅，并真實呈現(xiàn)威脅攻擊的階段性信息，讓管理者可以針對不同階段的攻擊采取適當?shù)膽?yīng)變措施;疑似惡意威脅分析技術(shù)涵蓋了定制化沙箱、多重分析引擎、全球威脅情報等能力，能夠提升針對企業(yè)的定向威脅偵測能力，并對多種文件類型與URL提供全面的威脅偵測。

此外，童寧還分析了調(diào)查取證技術(shù)在亞信安全處置WannaCry事件中的應(yīng)用。首先要滿足安全調(diào)查取證的要求，需要通過本地的網(wǎng)絡(luò)取證設(shè)備、終端取證設(shè)備和沙箱分析設(shè)備獲取所有安全事件記錄，匯總到大數(shù)據(jù)調(diào)查取證中心;同時通過云端威脅情報回路共享全球的安全事件，也輸送到大數(shù)據(jù)調(diào)查取證中心，進行統(tǒng)一地關(guān)聯(lián)分析，形成完整的取證鏈條。在WannaCry事件中，亞信安全通過調(diào)查取證，繪制了病毒從漏洞入口-蠕蟲感染-本地勒索行為-內(nèi)網(wǎng)傳播的完整鏈條，幫助安全人員清晰的了解安全事態(tài)。

中國工程院院士沈昌祥在與亞信安全工作人員的交流過程中，對亞信安全成功防御WannaCry勒索蠕蟲的能力表示認可，并特別指出：“從WannaCry事件中可以看到，風險是無處不在的，也是‘堵’不完的，所以我們要建立科學的網(wǎng)絡(luò)安全觀，更要掌握前沿安全技術(shù)，比如中國在可信計算領(lǐng)域的創(chuàng)新發(fā)展，要建立可信的免疫計算模式與結(jié)構(gòu)，形成主動免疫的云計算安全。”

借助前沿網(wǎng)絡(luò)安全技術(shù)，打造清朗的網(wǎng)絡(luò)空間

借助前沿的網(wǎng)絡(luò)安全技術(shù)，亞信安全已經(jīng)建設(shè)了本地威脅情報中心，通過本地威脅情報智能聯(lián)動防護體系來實現(xiàn)本地疑似威脅自動上報、威脅情報實時更新、疑似威脅自動分析與反饋，實現(xiàn)從“事件響應(yīng)”到“持續(xù)響應(yīng)”的轉(zhuǎn)換，有效應(yīng)對威脅回溯和威脅預測的挑戰(zhàn)。亞信安全力圖通過人工智能、機器學習、惡意威脅發(fā)現(xiàn)與分析、新一代態(tài)勢感知等前沿網(wǎng)絡(luò)安全技術(shù)，抵御日益精進的網(wǎng)絡(luò)安全威脅，全力打造清朗的網(wǎng)絡(luò)空間。