微步在线携CnC威胁情报及威胁分析平台亮相网络安全宣传周

2016国家网络安全宣传周已于9月19日在武汉国际博览中心盛大开幕。本次宣传周由中央网信办、教育部、工信部、公安部、新闻出版广电总局、共青团中央等六大部门共同举办，宣传的主题是“网络安全为人民，网络安全靠人民”。中共中央政治局常委、中央书记处书记、中央网络安全和信息化领导小组副组长刘云山在开幕式上发表讲话，认为网络安全和网络发展是相辅相成的，应该坚持网络安全和网络发展同步推进。微步在线作为中国网络安全产业联盟的会员单位，在威胁情报领域的技术能力和重要地位受到了联盟的肯定，此次作为优秀成员参加了宣传周，并携重点产品：CnC威胁情报及威胁分析平台亮相。

在网络攻击高度组织化和定向化的今天，失陷主机已成为攻击者利用盗取数据的主要方式之一。攻击者通过操控企业的内部的被控制的失陷主机，进行持续渗透，盗窃机密数据或进行其他恶意活动，使企业在信誉、收益、客户利益等方面蒙受不可估量的损失。如何尽早发现、遏制、处理失陷主机是其中的关键，而利用CnC（远程命令与控制服务器）威胁情报进行失陷主机检测则是当前最有效的手段。

CnC威胁情报就是新一代情报驱动安全变革的代表，可通过自动化检测机制，如发现网络中有哪些主机试图访问情报提供的网络地址（可能是：域名、IP或URL），就证明主机已经被黑客控制，成为失陷主机，需要尽快处理。微步在线的CnC可机读威胁情报源自微步内部分析团队对全球200+情报来源的聚合，能够监控数百万恶意家族和重要攻击团伙，保障了全球威胁态势的覆盖能力。并采用多种检测分析机制处理情报数据：汇集全球30余家领先反病毒厂商的AV检测能力、使用沙箱的动态分析能力和大数据的安全狩猎能力等。对这些能力了的综合使用能够发现传统手段难以检测的高水平攻击威胁，进而产生高价值的情报。在准确性方面微步在线利用白名单、分析规则、机器学习、分析师人工判定等多重研判机制，保障产出情报的高精准度。不同于传统的签名检测或沙箱类产品，在得到告警之后还要对攻击成功与否进行判定，CnC威胁情报一旦触发报警事件，则表示攻击已经成功，企业内部特定主机已被黑客控制，需要立即进行事件响应。微步在线数据中心的情报数据可达到分钟级甚至秒级更新。客户使用SaaS模式或下载模式均可及时获取到最新的威胁情报，实时保护自己的网络。

微步在线的威胁分析平台是国内首个一站式威胁分析平台，方便分析人员进行事件确认、危险程度及影响范围分析、关联攻击团伙和溯源等。平台整合全球范围威胁情报，运营商、云厂商的海量数据，吸收专家的分析经验，形成强大的数据关联及可视化分析能力。用户可以一次查询就了解这些不同安全机构对特定域名、IP、HASH等的跟踪分析结果。互联网基础数据包括Whois、DNS、GeoIP、SSL证书等互联网基础数据，不但提供当时的数据，同时也提供响应的历史记录数据。安全分析师可通过关联分析将以上信息有序的组织起来，并提供不同数据源之间的关联信息，如样本和域名之间，域名和IP之间，域名所有者及域名之间等，简化分析人员的工作复杂度。基于机器学习方式，对ASN、域名提供商、域名服务器等进行信誉评分，方便分析者通过更多的方式来评估、发现未知攻击。通过可视化方式，帮助分析人员更清楚的理解、发现不同类型数据间可能的复杂关系，为攻击溯源、事件挖掘提供了强大的工具。

微步在线是国内首家专业的威胁情报公司，专注于使用大数据、情报分析、机器智能、可视化等技术，为客户提供及时、准确、可操作的威胁情报，用来预警、防御、检测网络攻击及进行溯源分析。