防御的失效，是災(zāi)難的開始！那么，為什么防御會(huì)失效？傳統(tǒng)安全技術(shù)，更加側(cè)重“筑墻防守”的防御思路。但針對(duì)化、定制化的高級(jí)惡意軟件已經(jīng)成為企業(yè)的最大威脅，因?yàn)檫@些高級(jí)惡意軟件通過(guò)變種處理，能夠有效的躲避基于病毒特征檢測(cè)的反病毒軟件。

新的網(wǎng)絡(luò)安全時(shí)代，需要的是縱深部署、攻防對(duì)抗的思路。內(nèi)網(wǎng)安全，無(wú)疑是攻防對(duì)抗的關(guān)鍵舉措。通過(guò)具備行為分析和快速響應(yīng)的智能化技術(shù)，在第一時(shí)間發(fā)現(xiàn)內(nèi)網(wǎng)失陷主機(jī)，是部署內(nèi)網(wǎng)安全的最重要一步。

圖1 山石網(wǎng)科公司賈彬在論壇現(xiàn)場(chǎng)演講

圖2 山石網(wǎng)科內(nèi)網(wǎng)威脅態(tài)勢(shì)感知方案

山石網(wǎng)科內(nèi)網(wǎng)威脅態(tài)勢(shì)感知方案是結(jié)合了機(jī)器學(xué)習(xí)、行為分析、智能保護(hù)和情報(bào)共享的四位一體組合方案，有效的對(duì)內(nèi)網(wǎng)失陷主機(jī)進(jìn)行感知（圖2）。該方案擁有多項(xiàng)核心技術(shù)，包括基于網(wǎng)絡(luò)/應(yīng)用行為，發(fā)現(xiàn)內(nèi)網(wǎng)失陷主機(jī)，同時(shí)可檢測(cè)出變種軟件等躲避技術(shù)，也可以主機(jī)威脅確認(rèn)與定位，亦進(jìn)行威脅進(jìn)程、文件隔離或清除，以及威脅主機(jī)隔離、威脅情報(bào)收集與分析、威脅溯源與取證、威脅減緩與控制等。利用這些技術(shù)對(duì)攻擊過(guò)程做到立體防御，對(duì)關(guān)聯(lián)分析還原惡意行為的攻擊過(guò)程和路徑，生成威脅情報(bào)應(yīng)用到內(nèi)網(wǎng)的各個(gè)節(jié)點(diǎn)，同時(shí)分析檢測(cè)異常行為、定位并通知發(fā)起者與受害者，以及附件的變種惡意軟件攻陷主機(jī)。

山石網(wǎng)科內(nèi)網(wǎng)威脅態(tài)勢(shì)感知方案基于UEBA技術(shù)，通過(guò)機(jī)器學(xué)習(xí)、數(shù)學(xué)建模的網(wǎng)絡(luò)行為分析，對(duì)內(nèi)網(wǎng)失陷主機(jī)風(fēng)險(xiǎn)感知，通過(guò)對(duì)威脅情報(bào)生產(chǎn)與分析和攻擊路徑溯源以及云端威脅情報(bào)分享，對(duì)風(fēng)險(xiǎn)主機(jī)行為分析，發(fā)現(xiàn)威脅源頭，溯源威脅途徑，清除威脅。并且可對(duì)內(nèi)網(wǎng)安全態(tài)勢(shì)可視、已知/未知威脅可視（包括攻擊路徑及攻擊階段可視）、失陷主機(jī)實(shí)現(xiàn)風(fēng)險(xiǎn)可視。

人們利用邊界安全防御和內(nèi)網(wǎng)安全防御提供基于時(shí)間、空間、行為的安全防護(hù)能力，構(gòu)建四維安全體系。

本次高峰論壇北京山石網(wǎng)科信息技術(shù)有限公司榮獲“2017年度最佳下一代防火墻值得信賴品牌獎(jiǎng)”。