歷經(jīng)2年打磨，由深信服參編的首份網(wǎng)絡安全態(tài)勢感知國家標準終于出爐！

近日，GB/T 42453-2023《信息安全技術 網(wǎng)絡安全態(tài)勢感知通用技術要求》正式發(fā)布，并將于2023年10月1日起實施。該標準由全國信息安全標準化技術委員會歸口管理，由公安部第三研究所牽頭起草。

過去，由于缺乏統(tǒng)一的技術標準，態(tài)勢感知的演進存在種種障礙，而此項標準規(guī)定了態(tài)勢感知技術框架中核心組件的通用技術要求，包括數(shù)據(jù)匯聚、數(shù)據(jù)分析、態(tài)勢展示、監(jiān)測預警、數(shù)據(jù)服務接口、系統(tǒng)管理等，為當前各大組織單位建設態(tài)勢感知帶來重要指導意義。

據(jù)了解，深信服大量應用AI作為創(chuàng)新發(fā)展引擎，提升安全檢測效果。以加密挖礦檢測技術為例，深信服首創(chuàng)加密挖礦檢測AI模型，解決以往基于流量特征檢出率極低的問題，通過提取挖礦流量的時空特征建立預測模型，利用深度學習模型PointNet，提升檢測準確率。目前，該AI模型已經(jīng)在超過500+客戶端有效檢出加密挖礦，且綜合誤報率低于2%。

同時，深信服SIP還集成XDR創(chuàng)新檢測引擎。通過融合網(wǎng)端遙測數(shù)據(jù)聚合分析能力，秒級定位威脅根因，還原攻擊畫像和攻擊入口，SIP檢測準確率達95%以上。

常見聯(lián)動機制為態(tài)勢感知聯(lián)動EDR對失陷主機IP發(fā)起全盤掃描，不但速度慢、耗資源，往往由于網(wǎng)絡和終端檢測原理的差異，導致威脅實體“查不出來”“殺不干凈”。而深信服SIP會向EDR同時下發(fā)失陷主機的IP、端口、C&C域名等豐富信息，可直接聯(lián)動EDR切斷C&C遠程控制通道；EDR結合SIP下發(fā)的C&C域名、IP、端口信息，直接定位到失陷主機的原始惡意Payload，并阻斷執(zhí)行和橫向傳播，徹底根除威脅實體。

據(jù)悉，基于“人機共智”理念，深信服SIP通過數(shù)據(jù)服務接口，可擴展接入安全托管服務MSS/托管檢測與響應服務MDR，通過安全專家分析研判與主動響應，響應時間縮短至小時級；集“高級威脅檢測”和“安全運營”能力二合一，通過集成XDR創(chuàng)新檢測引擎，大幅提升高級威脅檢測精準度，助力安全建設由工具使用轉(zhuǎn)化為體系化運營，幫助用戶看懂、看清全網(wǎng)安全態(tài)勢。（柯巖）