近日，工業(yè)和信息化部公示了“2024年網(wǎng)絡安全技術(shù)應用典型案例擬支持項目名單”，青藤云安全聯(lián)合某股份制銀行共同申報的主機威脅狩獵平臺項目憑借其技術(shù)先進性及行業(yè)示范性成功入選。

網(wǎng)絡安全技術(shù)應用試點示范工作是由工業(yè)和信息化部、國家互聯(lián)網(wǎng)信息辦公室、國家衛(wèi)生健康委員會中國人民銀行、中國證券監(jiān)督管理委員會、國家數(shù)據(jù)局等十四部門辦公廳（辦公室、秘書局、綜合司）共同開展。評審過程嚴格，旨在發(fā)揮示范引領(lǐng)作用，加強網(wǎng)絡安全先進技術(shù)應用引導，推動網(wǎng)絡安全產(chǎn)業(yè)高質(zhì)量發(fā)展。

關(guān)于主機威脅狩獵平臺

伴隨金融業(yè)的數(shù)字化轉(zhuǎn)型，網(wǎng)絡安全問題日益嚴峻，為應對攻防演練、與黑客黑產(chǎn)對抗等場景，建立全面的主機威脅感知和實戰(zhàn)研判、溯源分析體系成為當前金融機構(gòu)網(wǎng)絡安全重點工作之一。提升安全風險發(fā)現(xiàn)和響應能力，提高安全事件實時處置水平，擴大主機安全日志搜集、分析、存儲的范圍，檢測各類層出不窮的入侵攻擊行為，并以此標準建設一套具備主機資產(chǎn)摸底、風險排查、威脅檢測、基線自檢、日志采集、數(shù)據(jù)匯聚、威脅檢測、溯源分析等核心能力的主機威脅狩獵平臺，該系統(tǒng)需具備開放性、可擴展性，可較方便地進行升級和改造，以適應安全管理要求。

平臺核心設計包含以下方面能力：

• 補充主機安全檢測能力，優(yōu)化現(xiàn)有防護體系。考慮到未來攻擊手段逐漸轉(zhuǎn)向針對主機層的攻擊，可能存在檢測精度不足，業(yè)務關(guān)聯(lián)性不足及攻擊日志缺失等問題，對未來攻擊事件的分析溯源產(chǎn)生一定影響。因此，從業(yè)務流程角度出發(fā)進行安全防護，更好的與現(xiàn)有傳統(tǒng)防護體系結(jié)合實現(xiàn)對業(yè)務系統(tǒng)的完整防護，與現(xiàn)有防護體系形成互補。

• ?提升安全視角下的業(yè)務梳理和風險管控能力。主機是所有攻擊最后的著陸點，但是傳統(tǒng)的安全防護是基于網(wǎng)絡邊界的特征檢測，無法與內(nèi)部主機業(yè)務相結(jié)合。對主機內(nèi)存在什么樣的應用、組件、進程等安全資產(chǎn)不清楚，對主機上是否存在安全風險不可知。因此僅僅依靠傳統(tǒng)網(wǎng)絡安全設備上發(fā)現(xiàn)的大量告警，無法確定攻擊是否真正在主機上生效。因此缺乏主機維度的資產(chǎn)清點和風險分析。

• 完善主機安全日志采集能力。傳統(tǒng)基于網(wǎng)絡流量安全設備采集的安全相關(guān)日志，因主機系統(tǒng)直接采集的手段缺失，導致安全日志采集不全，誤報、漏報情況嚴重，無法多維度監(jiān)控和分析當前面對的安全威脅和風險，也無法將主機安全數(shù)據(jù)納入整體態(tài)勢感知體系做進一步的分析定位。

該平臺的落地已經(jīng)產(chǎn)生的經(jīng)濟效益和社會效益：

• 有效降低信息安全運營成本，減少因未知威脅潛伏并在關(guān)鍵節(jié)點發(fā)作而帶來的未知風險，降低由于未知威脅發(fā)作所帶來的額外風險成本。

• 穩(wěn)定增加信息化建設附加效益，保障企業(yè)生產(chǎn)的連續(xù)性和穩(wěn)定性，為企業(yè)安全生產(chǎn)做貢獻，產(chǎn)生良好的經(jīng)濟效益。

• 契合國家安全戰(zhàn)略定位，促進信息安全產(chǎn)業(yè)技術(shù)創(chuàng)新能力提升，推動我國在信息安全未知威脅檢測領(lǐng)域的自主創(chuàng)新能力的發(fā)展，保障“要對網(wǎng)絡空間具備態(tài)勢感知能力”的實現(xiàn)。