童寧表示：“黑客會針對常用安全防護(hù)軟件對惡意軟件進(jìn)行免殺處理，傳統(tǒng)通過云端威脅情報來進(jìn)行防護(hù)的安全產(chǎn)品無法及時發(fā)現(xiàn)這些新的未知威脅，這導(dǎo)致了安全威脅的迅速蔓延。在WannaCry事件中，大部分網(wǎng)絡(luò)安全解決方案之所以沒有對威脅及時響應(yīng)，主要是因為病毒利用了未被公開披露的遠(yuǎn)程漏洞利用工具，逃脫了安全防線的監(jiān)控，而且會持續(xù)產(chǎn)生新的變種，超過了傳統(tǒng)威脅情報的反應(yīng)能力。”

新興技術(shù)驅(qū)動與防護(hù)體系變革

童寧分析稱，要防范未知的網(wǎng)絡(luò)安全威脅，首先要做到的就是領(lǐng)先攻擊者一步，對未知威脅進(jìn)行敏銳識別與快速響應(yīng)。而要從海量的數(shù)據(jù)中提取真正的威脅樣本數(shù)據(jù)，會對人力、IT資源造成沉重的壓力。在此背景下，機(jī)器學(xué)習(xí)技術(shù)應(yīng)運而生，即通過威脅樣本的DNA進(jìn)行特征匹配，并通過模擬真實的環(huán)境來判斷樣本是否真的對企業(yè)網(wǎng)絡(luò)構(gòu)成威脅。在WannaCry事件中，亞信安全成功的在沒有病毒碼之前，通過機(jī)器學(xué)習(xí)技術(shù)發(fā)現(xiàn)了WannaCry勒索蠕蟲病毒的可疑行為。

針對未知威脅的發(fā)現(xiàn)、分析和處理，疑似惡意威脅發(fā)現(xiàn)與分析技術(shù)將扮演重要作用。童寧指出：疑似惡意威脅發(fā)現(xiàn)技術(shù)可分析100種以上的網(wǎng)絡(luò)協(xié)議與應(yīng)用程序，偵測多種威脅，并真實呈現(xiàn)威脅攻擊的階段性信息，讓管理者可以針對不同階段的攻擊采取適當(dāng)?shù)膽?yīng)變措施；疑似惡意威脅分析技術(shù)涵蓋了定制化沙箱、多重分析引擎、全球威脅情報等能力，能夠提升針對企業(yè)的定向威脅偵測能力，并對多種文件類型與URL提供全面的威脅偵測。

此外，童寧還分析了調(diào)查取證技術(shù)在亞信安全處置WannaCry事件中的應(yīng)用。首先要滿足安全調(diào)查取證的要求，需要通過本地的網(wǎng)絡(luò)取證設(shè)備、終端取證設(shè)備和沙箱分析設(shè)備獲取所有安全事件記錄，匯總到大數(shù)據(jù)調(diào)查取證中心；同時通過云端威脅情報回路共享全球的安全事件，也輸送到大數(shù)據(jù)調(diào)查取證中心，進(jìn)行統(tǒng)一地關(guān)聯(lián)分析，形成完整的取證鏈條。在WannaCry事件中，亞信安全通過調(diào)查取證，繪制了病毒從漏洞入口-蠕蟲感染-本地勒索行為-內(nèi)網(wǎng)傳播的完整鏈條，幫助安全人員清晰的了解安全事態(tài)。

中國工程院院士沈昌祥在與亞信安全工作人員的交流過程中，對亞信安全成功防御WannaCry勒索蠕蟲的能力表示認(rèn)可，并特別指出：“從WannaCry事件中可以看到，風(fēng)險是無處不在的，也是‘堵’不完的，所以我們要建立科學(xué)的網(wǎng)絡(luò)安全觀，更要掌握前沿安全技術(shù)，比如中國在可信計算領(lǐng)域的創(chuàng)新發(fā)展，要建立可信的免疫計算模式與結(jié)構(gòu)，形成主動免疫的云計算安全?！?/p>

借助前沿網(wǎng)絡(luò)安全技術(shù)，打造清朗的網(wǎng)絡(luò)空間

借助前沿的網(wǎng)絡(luò)安全技術(shù)，亞信安全已經(jīng)建設(shè)了本地威脅情報中心，通過本地威脅情報智能聯(lián)動防護(hù)體系來實現(xiàn)本地疑似威脅自動上報、威脅情報實時更新、疑似威脅自動分析與反饋，實現(xiàn)從“事件響應(yīng)”到“持續(xù)響應(yīng)”的轉(zhuǎn)換，有效應(yīng)對威脅回溯和威脅預(yù)測的挑戰(zhàn)。亞信安全力圖通過人工智能、機(jī)器學(xué)習(xí)、惡意威脅發(fā)現(xiàn)與分析、新一代態(tài)勢感知等前沿網(wǎng)絡(luò)安全技術(shù)，抵御日益精進(jìn)的網(wǎng)絡(luò)安全威脅，全力打造清朗的網(wǎng)絡(luò)空間。

xiesc