企业动态

“为了和平，我们需要武器。”——中国原子弹之父邓稼先

2021实战攻防演习“兵器谱”

无论是战争还是和平年代，武器都是国家安全的重要保障。在网络空间也是如此，习近平总书记曾指出，“网络安全的本质是对抗，对抗的本质是攻防两端能力的较量”。而技术硬核的产品装备，无疑是防守能力的重要保障。

本期《网安26号院》重磅推出《实战攻防演习“兵器谱” 》，一共精选了奇安信旗下天眼（新一代威胁感知系统）、云锁（服务器安全管理系统）、NGSOC（态势感知与安全运营平台）、天擎（终端安全管理系统）、邮件威胁检测系统、蜜罐（网神攻击诱捕平台）、SOAR（安全编排自动化）、开源卫士、实战攻防演习平台等九款产品及解决方案，旨在为每位安全从业人员提供最实用的装备指南。

其中，天眼被誉为实战攻防“标配武器”，物如其名，任何异常流量、网络攻击、高级威胁等都逃不过它的“法眼”；

云锁帮助客户构建面向实战化的服务器安全防护能力，为核心业务及数据提供一个固若金汤的防护；

NGSOC凭借强大的安全感知能力、一流的大数据分析技术和安全可视化能力，成为实战场景下的防守“司令部”；

天擎作为奇安信安全家族的老大哥，集防病毒、终端安全管控、终端准入、EDR等功能于一体，在实战化场景下不可或缺。

邮件威胁监测系统虽一向低调，但可以抵御“老生常谈”却屡试不爽的钓鱼邮件攻击，避免让防守方在阴沟里翻船；

蜜罐（攻击诱捕平台）将“欺骗防御”演绎到极致，完美诠释“兵不厌诈”的军事哲学；

SOAR在实战中如同一位交响乐指挥大师，让各种安全产品构成的乐队各施所长，协作演奏出一曲曲优美乐章，并可将安全处置效率提升十倍以上；

开源卫士实现了“正本清源”，从源头阻断来自软件供应链攻击的隐患；

而实战攻防演习平台可提供与实战效果一致的仿真预演，更强大的实战攻击团队服务，以及一站式整体解决方案。

“沙场秋点兵，演习验真功”。从被动防御到主动防御，从事后补救到事前防控，从单兵作战各自为阵到产品协同无缝联动，新的攻击手段、防护技术层出不穷，防守方和攻击方的对抗交锋更加激烈。“兵器谱”上的主角们有更出色的表现。

兵器一   实战攻防演习标配利器：奇安信天眼

在安全服务圈流行着一种说法，“无天眼，不实战！”充分体现了天眼在实战化攻防演习中的重要地位。那么，天眼为何被认为是攻防演习中必不可少的标配，并被列为本次“兵器谱”之首呢？本文就来看看天眼在实战中能发挥哪些作用。

天眼的全称是奇安信新一代安全感知系统，它以攻防渗透和数据分析为核心竞争力，聚焦威胁检测和响应，为安全服务和分析人员提供一套在监测预警、威胁检测、溯源分析和响应处置上得心应手的威胁检测平台。

图 天眼威胁感知系统

和安服组成“最佳CP”攻防演习屡立奇功

好武器，用起来才是关键；而好不好用，一线人员说了算！

在天眼在攻防演习中之所以拥有优异口碑，注重实战效果，注重一线人员的操作是重要原因。

从2018年开始，天眼与安全服务体系进行了整合，奇安信内部将这次调整戏称为这是天眼与安服的联姻。事实证明，这次联姻非常成功，它让天眼最快的速度，渗入到了广大政企客户攻防对抗的现场一线，产品的实战化水平和防守效果迅速迈上大台阶。天眼、安服可以说是一对“最佳CP”，两者联袂，立下战功无数。

在2020年某部委的实战攻防演习中，通过天眼的日志和流量分析，防守方快速溯源了整个APT攻击行为，最终确定是海莲花。

在某银行单位的实战攻防演习中，防守方反馈，天眼的全流量检测模式比其他同类产品更加彻底，很好解决漏报难题。

更重要的是，天眼的威胁狩猎图非常直观，攻击方何时攻进，访问哪些服务器，对哪些设备攻击，都可以一目了然。

更精准的威胁检测   破解“误报”、“漏报”两大难题

长期以来，让安全人员最头疼的难题，莫过于“误报”和“漏报”。

IDC的最新报告调查了350位内部人士、MSSP安全分析师和管理人员，结果显示，由于广泛的“警报疲劳”导致警报被忽略，以及担心漏报（遗漏安全事件），安全分析师的压力不断增加，而生产力则在下降。在攻防演习中，防守方面临海量“误报”会忙的焦头烂额，而“漏报”更让攻击方有机可乘、轻松攻入。

与传统检测产品基于自身流量发现威胁不同，天眼基于自主研发的QNA大数据人工智能威胁检测引擎，创新性的从互联网数据进行发掘和分析，极大提升位置威胁和攻击的检出效率，达到更高的准确率和更低的误报率。

随着攻防演习的不断进阶，新型攻击手法层出不穷，利用ODay漏洞攻击屡见不鲜。为此，天眼特别增强了行为分析功能，通过多年积累的成功经验对行为分析进行分类，主要包括DNS分析、非常规服务分析、邮件行为分析、登录行为分析等超过30中场景，显著增强了未知威胁的检测准确性。

为了提升防守方效率，天眼采用了双向会话WebIDS检测引擎，只对攻击成功进行告警，从而大大降低了无效报警数量，让管理人员可以集中应对有效的告警事件。

同时，天眼对沙箱技术进行升级，从操作系统层升级到CPU指令层级，强大的细粒度检测能力让沙箱逃逸无所遁形。

更全面的溯源分析 实现威胁狩猎可视化

在攻防演习过程中，防守方必须要知道几个答案：谁攻击了我的什么？使用了什么手法？窃取了什么信息？

因此，安全人员需要基于攻击链的视角，通过可视化方式，重现整个攻击过程。

对此，天眼具备强大的告警关联分析能力，可以告警和日志进行关联产生精准攻击事件，为精准封禁提供依据，告警和流量日志智能关联分析引擎。

同时，它具备全包存储和分析的取证能力，并提供线索可视化图谱拓线分析能力（威胁狩猎），能为企业用户呈现一次攻击的完成过程，帮助防守方对网络攻击进行回溯和深度分析。

图 天眼威胁狩猎可视分析系统

更快速的响应处置 效率提升10倍以上

实战攻防强调“兵贵神速”，一旦发现威胁告警，防守方需要最短时间能完成处置，避免攻击得手。

天眼率先将SOAR技术应用于告警的闭环处理，通过自动化编排，让响应处置效率获得了10倍以上提升，对于需要重复性持续性的操作，提升的效率更是数以百倍计。

同时，天眼还能和其他安全产品实现无缝联动，提高响应效率。其中包括通过与防火墙进行NDR联动，及时在边界阻断威胁；通过与终端进行EDR联动，及时处置失陷主机；通过与流量传感器联动，及时阻断异常流量；与邮件威胁检测系统联动，及时处置异常邮件等等。

图 天眼威胁事件态势呈现

更好用的产品体验 小白也能看得懂、用起来

2020年天眼获得多项荣誉，在数世咨询中获得应用创新力和市场执行力“双第一”，并荣膺全球权威咨询机构Frost&Sullivan的“2020年中国威胁检测与响应(TDR)市场领导奖”，以及美国知名权威网络安全杂志《Cyber Defense Magazine》(简称CDM)颁发的“Next Gen（下一代）”大奖。

在实战攻防演习规模不断扩大、走向常态化的浪潮之下，在公安部提出了的“三化六防”新思想的背景下，为实战而生的天眼，已经成为各大政企单位攻防演习中不可或缺的标配。