最近，“渾元形意太極門”掌門人馬保國(guó)火了，原因是他和一位50歲的民間格斗愛好者進(jìn)行了擂臺(tái)對(duì)戰(zhàn)，結(jié)果30秒被3次擊倒+KO，當(dāng)場(chǎng)昏迷，場(chǎng)面令人揪心。

從馬保國(guó)到被徐曉東KO的雷雷，神乎其神的“太極大師”們，在真拳實(shí)腿的實(shí)戰(zhàn)面前變得不堪一擊，甚至成了笑料?？梢姡谡鎸?shí)對(duì)抗中，唯有實(shí)戰(zhàn)，才是檢驗(yàn)戰(zhàn)斗力的唯一標(biāo)準(zhǔn)，各個(gè)領(lǐng)域都是如此，其中也包括看不見硝煙的虛擬戰(zhàn)場(chǎng)---網(wǎng)絡(luò)空間世界。

近年來(lái)，實(shí)戰(zhàn)化成為網(wǎng)絡(luò)安全行業(yè)最火的詞語(yǔ)?！熬W(wǎng)絡(luò)安全講一百遍不如打一遍”，只有頻繁、高對(duì)抗性的組織實(shí)戰(zhàn)攻防演練，才能歷練出可靠有效的網(wǎng)絡(luò)安全防御體系。

5月18日，奇安信對(duì)外發(fā)布了針對(duì)實(shí)戰(zhàn)化威脅，特別是高級(jí)威脅的檢測(cè)、分析、溯源響應(yīng)的一體化解決方案天眼新版本，旨在打造一款實(shí)戰(zhàn)化利器，適應(yīng)不斷演化、瞬息萬(wàn)變的新型攻擊和高級(jí)威脅。  

“天眼從誕生之初，就和實(shí)戰(zhàn)這兩個(gè)字緊密的捆綁在一起。可以說是從實(shí)戰(zhàn)中而來(lái)，到實(shí)戰(zhàn)中去?！逼姘残盘煅凼聵I(yè)部總負(fù)責(zé)人張卓這樣表示。

天眼:因需求而生 守護(hù)安全公司的安全

安全公司也會(huì)擔(dān)心自己的網(wǎng)絡(luò)安全么？這是一個(gè)有趣的問題。

“2013年，F(xiàn)ireEye公司發(fā)布了一份APT報(bào)告，當(dāng)時(shí)給了我們很大的震撼。” 張卓說到，“我們沒想到，攻擊可以持續(xù)這么久，隱藏這么深，并且破壞力這么大。萬(wàn)一公司哪一天被攻擊了，海量用戶數(shù)據(jù)被‘拖庫(kù)’，我們自己都可能還蒙在鼓里，這是一件多么嚴(yán)重的事情?！?/p>

張卓表示，當(dāng)時(shí)也嘗試了一些辦法，但很遺憾，在當(dāng)時(shí)的技術(shù)情況下，IDS這類設(shè)備根本起不到太大作用，不論是誤報(bào)還是漏報(bào)率都太高了。“所以，我們就想做這樣一款產(chǎn)品，來(lái)解決威脅檢測(cè)?！?/p>

在這樣的背景下，天眼實(shí)驗(yàn)室就在公司內(nèi)部低調(diào)成立了，其目標(biāo)是獨(dú)立開發(fā)一款基于大數(shù)據(jù)和人工智能技術(shù)的威脅檢測(cè)工具，確保公司業(yè)務(wù)和數(shù)據(jù)不受APT攻擊，避免網(wǎng)絡(luò)入侵和數(shù)據(jù)泄露。

一家做安全的公司，也需要一套實(shí)戰(zhàn)化的企業(yè)級(jí)安全防護(hù)產(chǎn)品，讓自己既當(dāng)守護(hù)者，又當(dāng)“被守護(hù)者”。

發(fā)現(xiàn)海蓮花 天眼立首功

“天眼項(xiàng)目開始之后，第一件事情，就是挖掘研究公司積累了多年的海量安全大數(shù)據(jù)。我們知道這些數(shù)據(jù)像一個(gè)埋藏在深處的巨大寶藏，非常有價(jià)值，卻不知道該如何用，天眼出來(lái)，恰好可以派上用場(chǎng)?！?張卓表示。

經(jīng)過無(wú)明確目標(biāo)的分析和探索，天眼有了驚天的發(fā)現(xiàn)！“我們發(fā)現(xiàn)了一個(gè)持續(xù)多年、有組織有目標(biāo)、長(zhǎng)期潛伏、極其隱蔽的高級(jí)攻擊行為，我們將其命名為OceanLotus(海蓮花)?！睆堊炕貞洰?dāng)年發(fā)現(xiàn)海蓮花的過程，依然掩蓋不住內(nèi)心的興奮。

2015年5月，天眼實(shí)驗(yàn)室正式發(fā)布了OceanLotus(海蓮花)APT報(bào)告，這是國(guó)內(nèi)一份針對(duì)APT攻擊發(fā)現(xiàn)和分析的專業(yè)報(bào)告。

報(bào)告顯示，2012年4月起，有境外黑客組織對(duì)中國(guó)政府、科研院所、海事機(jī)構(gòu)、海域建設(shè)、航運(yùn)企業(yè)等相關(guān)重要領(lǐng)域展開了有組織、有計(jì)劃、有針對(duì)性的長(zhǎng)時(shí)間不間斷攻擊。這個(gè)重大發(fā)現(xiàn)，迅速震動(dòng)了整個(gè)網(wǎng)絡(luò)安全界，引起相關(guān)部門的高度重視。

“如果沒有海量、長(zhǎng)期的數(shù)據(jù)積累，像海蓮花這樣的APT攻擊行為是無(wú)法被發(fā)現(xiàn)的”。張卓表示?！叭绻撾x時(shí)間維度，用傳統(tǒng)安全防護(hù)判定規(guī)則，海蓮花只是一些間斷性的普通攻擊。但得益于互聯(lián)網(wǎng)公司的技術(shù)和大數(shù)據(jù)優(yōu)勢(shì)，我們通過深度數(shù)據(jù)挖掘和追溯，發(fā)現(xiàn)海蓮花組織的攻擊周期之長(zhǎng)、攻擊目標(biāo)之明確、攻擊技術(shù)之復(fù)雜、社工手段之精準(zhǔn)，都說明該組織絕非一般的民間黑客組織，而很有可能是具有國(guó)外政府支持背景的、高度組織化的、專業(yè)化的境外國(guó)家級(jí)黑客組織?！?/p>

海蓮花的發(fā)現(xiàn)，讓天眼一戰(zhàn)成名。它揭露的APT攻擊形式，給傳統(tǒng)防御理念帶來(lái)極大挑戰(zhàn)，直接加快了奇安信“數(shù)據(jù)驅(qū)動(dòng)安全”理念的落地。

與此同時(shí)，基于大數(shù)據(jù)的未知威脅感知系統(tǒng)“天眼”第一代正式發(fā)布。這標(biāo)志著天眼正式走出實(shí)驗(yàn)室，走向產(chǎn)品化，全面邁入市場(chǎng)?；凇皵?shù)據(jù)驅(qū)動(dòng)安全”這一前瞻性的技術(shù)理念，天眼大幅超前于傳統(tǒng)安全的“老三件”，是一款不折不扣的跨時(shí)代創(chuàng)新產(chǎn)品。

奇安信總裁吳云坤在天眼新版發(fā)布會(huì)這樣表示，“2014年我加入奇安信，天眼是我?guī)У牡谝粋€(gè)產(chǎn)品，對(duì)我而言，也是把傳統(tǒng)安全技術(shù)與互聯(lián)網(wǎng)理念結(jié)合的標(biāo)志性產(chǎn)品，對(duì)天眼這個(gè)品牌我非常有感情。天眼這個(gè)品牌和奇安信的安全技術(shù)創(chuàng)新一直緊密相關(guān)，是‘?dāng)?shù)據(jù)驅(qū)動(dòng)安全’的開山之作?！? 

多項(xiàng)創(chuàng)新技術(shù)加持 天眼在持續(xù)迭代中邁向?qū)崙?zhàn)

正所謂沒有金剛鉆，不攬瓷器活。天眼之所以能在業(yè)內(nèi)第一個(gè)發(fā)現(xiàn)海蓮花APT攻擊，客戶數(shù)量從0快速增長(zhǎng)到上千家，除了理念領(lǐng)先之外，最核心的還是自身技術(shù)的不斷創(chuàng)新和持續(xù)迭代。

據(jù)介紹，天眼具備四方面核心能力，分別是精準(zhǔn)的基于成功的攻擊檢測(cè)能力、業(yè)內(nèi)最強(qiáng)的網(wǎng)絡(luò)攻防和漏洞的響應(yīng)能力、業(yè)內(nèi)最先進(jìn)的安全大數(shù)據(jù)威脅分析能力和業(yè)內(nèi)最先進(jìn)的APT攻擊威脅情報(bào)能力。這些能力的背后，是天眼諸多獨(dú)創(chuàng)技術(shù)的支撐。

首先在攻擊檢測(cè)方面，天眼采用了入侵檢測(cè)雙向匹配技術(shù)，它基于雙向會(huì)話WebIDS檢測(cè)引擎，標(biāo)記攻擊成功的告警事件，產(chǎn)生精準(zhǔn)告警事件。大大降低了無(wú)效報(bào)警數(shù)量，讓管理人員可以集中應(yīng)對(duì)有效的告警事件。

其次在安全技術(shù)方面，天眼在沙箱技術(shù)上進(jìn)行了升級(jí)，從操作系統(tǒng)層升級(jí)到CPU指令層級(jí)。所謂沙箱，其原理是把可疑文件放在一個(gè)虛擬環(huán)境里運(yùn)行，從而檢測(cè)異常行為，然而隨著攻擊手法的翻新，更狡猾的沙箱逃逸情況開始出現(xiàn)。天眼在升級(jí)過程中，在沙箱中加入了CPU指令層級(jí)的細(xì)粒度檢測(cè)能力，讓沙箱逃逸無(wú)所遁形。

此外，天眼還強(qiáng)化了場(chǎng)景化分析能力，以及人工智能的深度學(xué)習(xí)等。其中包括對(duì)行為建模和統(tǒng)計(jì)分析，機(jī)器學(xué)習(xí)技術(shù)實(shí)現(xiàn)智能判別等，形成行為模型，及時(shí)發(fā)現(xiàn)新場(chǎng)景下的攻擊行為。

時(shí)至今日，天眼已經(jīng)從最初單一的威脅情報(bào)檢測(cè)產(chǎn)品，發(fā)展出文件沙盒分析，全流量分析，場(chǎng)景化安全分析，全包存儲(chǔ)取證等安全組件，到如今擁有新一代安全感知系統(tǒng)、郵件威脅感知系統(tǒng)、安全DNS系統(tǒng)、內(nèi)網(wǎng)欺騙誘捕系統(tǒng)等多個(gè)產(chǎn)品，以及實(shí)戰(zhàn)化威脅運(yùn)營(yíng)平臺(tái)、實(shí)戰(zhàn)化指揮平臺(tái)等整合體系。

聯(lián)姻安服 天眼一年深入120多場(chǎng)攻防實(shí)戰(zhàn)對(duì)抗

武器最大的威力，不在于武器本身，更在于使用的人。青釭劍在趙云手里，可以削鐵如泥、所向披靡，但在夏侯恩手里，就成了華而不實(shí)的擺設(shè)。同樣，網(wǎng)絡(luò)安全的產(chǎn)品技術(shù)再好，如果使用者能力不匹配，其威力同樣發(fā)揮不出來(lái)。

“天眼在走向?qū)崙?zhàn)化的過程中，最具有里程碑意義的事件，就是2018年，天眼與安全服務(wù)體系進(jìn)行了整合，內(nèi)部我們將這次調(diào)整戲稱為這是天眼與安服的聯(lián)姻。此舉可以說讓天眼如虎添翼，以最快的速度，天眼滲入到了一個(gè)又一個(gè)政企客戶一線攻防對(duì)抗的現(xiàn)場(chǎng)，產(chǎn)品的實(shí)戰(zhàn)化水平和易用性迅速邁上大臺(tái)階?！睆堊勘硎?。

據(jù)悉，奇安信擁有國(guó)內(nèi)規(guī)模最大的網(wǎng)絡(luò)安全服務(wù)團(tuán)隊(duì)，參與了APEC、G20、全國(guó)兩會(huì)、一帶一路、紀(jì)念抗戰(zhàn)勝利70周年閱兵、十九大、上合峰會(huì)等國(guó)家重大活動(dòng)網(wǎng)絡(luò)安保工作，是同行業(yè)里參與重保次數(shù)最多、配備人力最多的企業(yè)，屢獲國(guó)家相關(guān)部門和客戶的認(rèn)可及感謝。同時(shí)，奇安信是北京2022年冬奧會(huì)和冬殘奧會(huì)官方網(wǎng)絡(luò)安全服務(wù)贊助商。奇安信安服團(tuán)隊(duì)的強(qiáng)大實(shí)力，給天眼實(shí)戰(zhàn)化打下最堅(jiān)實(shí)的基礎(chǔ)。

“好武器，用起來(lái)才是關(guān)鍵！而好不好用，一線人員說了算！” 張卓表示，“天眼打開了威脅感知這個(gè)新品類市場(chǎng)之后，很快出現(xiàn)了很多跟隨者和模仿者。但從一線實(shí)操人員的反饋來(lái)看，沒用和難用是客戶最大的槽點(diǎn)，具體表現(xiàn)在看不懂、沒結(jié)果、速度慢，等等。”

張卓認(rèn)為，要解決這個(gè)問題，唯有深入一線，下潛到實(shí)戰(zhàn)現(xiàn)場(chǎng)，才能解決問題的本質(zhì)。和規(guī)模龐大的安服團(tuán)隊(duì)聯(lián)姻，讓天眼具備了得天獨(dú)厚的優(yōu)勢(shì)。據(jù)介紹，在2019年攻防演習(xí)過程中，天眼深入到120多個(gè)攻防對(duì)抗的戰(zhàn)場(chǎng)，采集需求三百多條，切實(shí)的來(lái)提升天眼產(chǎn)品能力，并規(guī)劃出實(shí)戰(zhàn)化威脅運(yùn)營(yíng)平臺(tái)、郵件威脅檢測(cè)系統(tǒng)等滿足實(shí)戰(zhàn)攻防場(chǎng)景的產(chǎn)品和組件。

天眼和安服的聯(lián)姻，效果也是立竿見影。在2019數(shù)博會(huì)上，奇安信“天眼+安服”安全運(yùn)營(yíng)服務(wù)榮獲領(lǐng)先科技成果獎(jiǎng)，在很大程度上體現(xiàn)了業(yè)內(nèi)對(duì)“天眼+安服”的安全運(yùn)營(yíng)模式的認(rèn)可。

展望：經(jīng)受炮火洗禮的新天眼 將成實(shí)戰(zhàn)化利器

“我沒有想到天眼今天是如此的強(qiáng)大！”回憶天眼數(shù)年來(lái)的發(fā)展，奇安信集團(tuán)董事長(zhǎng)齊向東表示，“今天，天眼守護(hù)著遍布全國(guó)的上千家政企客戶的網(wǎng)絡(luò)系統(tǒng)。在政企客戶的重要實(shí)戰(zhàn)攻防演練以及十九大、一帶一路、兩會(huì)等網(wǎng)絡(luò)安全專項(xiàng)保障行動(dòng)中，天眼幫助安全專家累計(jì)監(jiān)測(cè)攻擊行為30余萬(wàn)次，發(fā)現(xiàn)漏洞利用行為上千起，成為了名副其實(shí)的攻防利器。”

經(jīng)過了數(shù)百次實(shí)戰(zhàn)場(chǎng)景的炮火洗禮，近期發(fā)布的新天眼，在威脅檢測(cè)能力，分析溯源能力，響應(yīng)處置能力等方面都得到了全方位提升。尤其是在易用性方面，天眼通過多達(dá)50多次的原型設(shè)計(jì)并和數(shù)千一線人員進(jìn)行互動(dòng)，收集易用性意見再進(jìn)行優(yōu)化，使得整個(gè)天眼產(chǎn)品的交互和易用性，得到了前所未有的提高。

正如張卓所說的，魔高一尺，道高一丈，網(wǎng)絡(luò)攻防技術(shù)在對(duì)抗中不停演進(jìn)，從而驅(qū)動(dòng)產(chǎn)品及技術(shù)不斷迭代與發(fā)展。在2020年攻防演練不斷強(qiáng)化的背景之下，攻防技術(shù)驅(qū)動(dòng)下的新天眼，一定會(huì)是實(shí)戰(zhàn)化的一款利器。 

雷鋒網(wǎng)雷鋒網(wǎng)

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。