数字安全的核心：数据、分析与对抗

时代抛弃你的时候，连声招呼都不打

“中国式抗疫”和“俄乌战争”无疑是当今世界范围内所讨论的焦点问题，然而促使它们成为焦点的决定性因素就是“数字化”。

健康宝、行程码表面上看是一个手机APP，其实背后隐藏的是电信系统、民政系统、医疗系统、金融系统等一系列重要系统数据的数字化整合。数据的共享和交互使快速、高效的判定风险等级和活动轨迹排查得以实现，加上中国政府的行政执行能力和在疫情防控工作中所获得的宝贵经验，使得数字化抗疫成为了我国抵御世界性疫情工作中的有力武器。

俄罗斯与乌克兰的战争，应是人类历史上第一次全面数字化的战争。除了政治与军事，科技产品、金融系统、互联网第一次深度参与其中，战争同时在线上线下展开，并且高度融合、相互塑造，利用数字化充分将“陆海空天网”五维作战域整合到一起。

数字时代来了！

数字安全的核心是安全数据、分析能力和对抗经验

2005年到2020年，我国开启了以互联网应用为代表的数字经济，规模从2.6万亿元增长到39.2万亿元，数字经济占GDP的比重从14.2%提升至38.6%。2021年我国GDP超114万亿，数字经济占GDP比重突破40%。“十四五”规划中提出，2035年数字经济核心产业比重由7.8%增长到10%，正式转向由核心科技驱动的数字经济。

如果说数字产业化（即互联网应用）是数字经济上半场的主要驱动力，那么产业数字化（即数字化转型）就是数字经济下半场的主要驱动力。然而在数字化转型的过程中，安全问题必然是迈不过去的一道坎。

2021年世界互联网大会上，习近平总书记提出要“牢筑数字安全屏障”。2022年全国两会上，政协委员、360创始人周鸿祎表示“安全行业正在超越传统网络安全范畴，升级为数字安全。安全行业要帮助国家突破核心技术障碍，筑牢数字安全屏障”。由此可见，数字安全已经明确为数字时代的国家和社会共识。

数世咨询认为，数字安全的内涵是以网络安全为基础手段、数据安全为核心目的，其已经成为数字经济健康发展和社会活动稳定保障的重要支撑。数字安全是一个多维度、全方位的问题：

1. 应对数字安全风险的决策制定需要多种数据的融合分析研判作为支撑：数字化使得物理世界与数字世界的边界逐渐模糊，物理世界在数字世界呈多重映射关系，数字信息的激增使得安全数据多样化的趋势逐年走高，加之传统的安全防护和检测能力已经不能满足数字化转型业务发展的安全需求，我们亟需的是安全风险预测和预防能力。预测是提前感知安全威胁，预防是做出合适的应对措施，而这些核心能力的价值输出都依靠基础数据的完备和有效，由此聚合安全数据的重要性不言而喻。
2. 攻防双方的对抗强度与频度不断升级，对安全产品和安全服务人员的核心分析能力提出了更高的要求：随着安全数据种类的激增，安全分析所涉及和关联的数据量成指数级增加。在这一大前提下，还要保证安全分析的速度快、安全分析的准确度高，这样就势必要求安全分析模型、算法的先进和科学，安全分析人员的专业。
3. 网络攻击的核心目标对准了关键信息基础设施和大型网络、信息重要系统，安全保障需要更加专注并且专业的产品、服务和人员：数字化转型的主角是数以亿计的企业和组织，所谓三百六十行，行行不一样，每一个行业都有其独有的业务逻辑和安全特点。针对这些企业和组织的网络攻击，目标明确、针对性强、手法多变、工具强大，想要获得对等的安全对抗与防御能力，就需要有大量的行业知识和攻防实践，这样才能根据安全分析的结果，在纷繁复杂的信息里抽丝剥茧，在最短的时间里做出最合适的决策，解决最迫切的问题。

简而言之，数字时代的网络空间安全核心是：

• 安全数据
• 分析能力
• 对抗经验

安全能力通过安全运营实现，安全运营的基础是「安全智力枢纽」

对于数字时代的网络安全产业来说，提供给用户基础安全产品、服务，搭建安全系统、体系，只是安全保障的一个过程。为了更好的解决用户的安全问题，网络安全体系建设的目的应该是构建完整、高效的安全运营业务。

安全运营是一个庞大的范畴，涉及安全过程控制、安全风险分析、人员风险管控、业务连续性管理等等。但工欲善其事、必先利其器，安全运营的基础应该是拥有一个将安全数据、攻防能力和对抗经验融会贯通的平台，来进行统一的安全数据的收集、分析，安全能力的联通和安全控制的实现。

我们这里所说的平台，并不是国内市场上主流销售的态势感知。目前市场上的态势感知更准确的说法应该是“安全企业自有产品的统一管理平台”。因为这些平台普遍只能对接自家安全设备数据，并且在发现问题后也不能很好的联动相关设备进行联防联控。

我们这里所说的平台，可以理解为「安全智力枢纽」，因为它必须满足用户在安全思考和决策上的真正需求。评价标准就是：

• 谁能汇聚最多的信息（安全数据）
• 谁能看到最多的风险（分析能力）
• 谁能解决最多的问题（对抗经验

上面三点换句话说就是安全连接的多样性，分析能力的高准度和高效能，安全专家在对抗过程中积累的经验。它的核心任务不是用强大的肌肉去抵御敌人的正面进攻，而是通过对情报的分析，结合对抗的经验，利用智力去解决战略决策和战术执行的问题。

我们究竟需要怎样的「安全智力枢纽」

在企业网络安全体系化建设的过程中，用户采购了大量的网络安全产品，可是每个安全产品都在各自为战，使管理变得异常复杂，割裂了相互的可见性，限制了整体应对威胁的能力。

虽然一些有先见的用户试图寻找一些联通安全产品的变通方案，可以统一的管理设备并能做到数据汇聚与呈现，但是这种对结果的简单罗列与聚合，只能从表达层面整体的呈现问题，而非在思维层面全局的考虑与分析，更不能做到设备之间的协同、方案之间的协同、决策步调之间的协同、战略思考之间的协同。

这种在认知层面缺少全局风险视野、在思维层面缺少统一汇聚分析、在执行层面缺少相互协同的安全产品，已经不适合安全威胁不断演进的数字时代。所以，用户需要建设一套可以“思考”的整合能力本地化平台。

平台需要拥有整个互联网的安全数据，将全量、各类威胁情报聚合。一方面可依托安全专家的对抗经验扩展用户安全运营的思路，让“别人发生的事，别人踩过的坑”一切尽收眼底。另一方面可以提供统一的威胁情报赋能接口，解决用户为不同的网络安全产品重复订阅同样的威胁情报等重复投资的问题。

平台需要将各个设备的安全数据聚合，使数据融合贯通。依托专业性的安全大数据处理模型进行多维度、高量级的大数据分析，将安全威胁从海量数据中剥离，解决孤岛问题。

平台需要联通所有的网络安全分析引擎，依托数据聚合后的优势，各类安全分析引擎可以交互所有产品发现的各类风险数据，进行统一的安全运算分析，解决统一思考问题。

平台需要在拥有本地能力的同时，在数据更新、能力提升时，可云端同步、实时更新，或者通过离线或“摆渡”方式满足部分用户的特殊安全需求。

「安全智力枢纽」应该成为安全产业的最大公约数

想要实现以上的目标，单单靠几家安全企业是难以成功的，更不可能由一家安全企业实现。网络安全产业应该转变思维方式，摒弃零和思维，充分发挥自家的能力优势，共同为用户构建一套可落地、易使用、能力强的网络安全保障体系，而「安全智力枢纽」就是这个体系的基础。

360政企安全最新发布的核心安全大脑就积极的向前迈进了一步，核心安全大脑将自身安全能力完全与安全产业共享，不仅可以围绕自身生态构建较为完整的安全保障体系，还可以作为其他安全产品的补充，提供大数据分析和威胁情报的能力。

核心安全大脑主要提供三种能力，分别是安全数据、分析能力和对抗经验：

• 通用的安全大数据平台，可以为不同品牌的安全产品提供数据运算与分析能力。
• 各种专业安全分析引擎，可以把专业的分析能力通过配置组合的方式赋能特定的安全产品，实现灵活组合、相互补充、协同联动，从多个维度指导安全设备发现、防护高级别网络威胁，提升自身网络安全能力。
• 云端数据关联与分析能力，将海量安全大数据与全球高级别攻击对手持续十余年的网络实战对抗经验、多维度全景攻防知识库等数据及能力下沉。

它的核心优势如下：

1. 最全的安全大数据积累并落地：拥有十七年积累的2EB海量安全大数据(其中包括总量180+亿恶意网址、5万亿+存活网址、样本文件300亿+、700亿+DNS解析记录等)，通过与全球高级别攻击对手持续十余年的网络实战对抗，形成了攻防对抗知识库、APT组织知识库、漏洞知识库、病毒库等多维度全景安全知识库，这些数据会策略性的下沉至核心安全大脑，形成客户本地侧的“思维中枢”。
2. 效率最高的大数据分析技术：专门为安全业务设计的，在流量、资产、进程、网络、内核行为等各个安全子领域定义了标准的数据结构和数据模型。内置的安全数据分析算子比业界主流平台多10倍，并支持高速对接 Hadoop/Spark生态组件进行二次算法或编程式分析。自研的运营商级别的流式实时分析引擎，每秒处理事件性能超过100万，且能实现跨多数据中心统一分析。通过三层索引、列式数据压缩和概率文本索引技术，即使在 PB 级数据规模下，都能超出各类开源产品的15倍以上，而在实际部署上，运行这些功能，只需要同类平台的1/6机器配置。
3. 全景攻防知识框架：建立在360对抗网络攻击的实战分析并保持更新扩充的基础上，将网络攻击技战术、攻击工具及攻击者组织等信息，用规则和知识的方式提供给客户。通过十余年累积，已经拥有APT排查规则数百条、TTP技战术规则近千条、沙箱检测规则数千条、还原杀伤链检测规则数万条，黑白名单250亿左右，同时拥有50个知名APT组织的攻击信息。
4. 全景攻防知识框架下的数据标准化：为了克服各类数据口径不一致的问题而导致APP扩展周期长、效果不稳定的弊端，核心大脑提供灵活且智能的数据标准管理模型，包括1000余个属性标准定义，预置70多个品牌180多种设备接入规则。该模型不仅根据数据源用途约束了必要字段、可选字段等来保证场景有效性，而且还通过4种对象的定义来实现智能推荐，极大程度上降低了数据接入的难度并提升效率。
5. 开放标准及生态联动：第三方安全厂商可以基于核心安全大脑统一标准API开发联动接口，实现与各个厂商、各种型号的安全设备的协同联动，共同防御。配合终端设备联动，如与终端安全产品联动进行进程隔离，进程终止，文件隔离，文件恢复，注册表清理，启动项管理，主机端口封禁，主机服务禁用等；配合网关设备联动，如与WAF, 防火墙, IPS, IDS，等联动进行封堵，隔离等；配合检测类系统联动，如与沙箱联动，确认动态确定文件是否为恶意文件；配合第三方情报系统联动，支持对IP, 域名，文件等情报检测。

从以上信息不难看出，核心安全大脑的志向是成为我国网络安全产业的最大公约数，携手安全产业共同完善网络空间安全协同防御体系。进而引发更多政府机构和企业对数字安全的重视、观念的转变，参与到共同投入、共同建设、共同发展中来，最终协同产业、社会、国家共同夯实数字化的底座，为数字文明时代保驾护航。