一、解决方案简介

随着漏洞和APT攻击趋势逐年增长，进入快速发展阶段，每年数量高速增长，并且国内的增长趋势更是高于国际趋势。

基于安全湖的长周期攻击回溯方案，基于“高性能数据平台”+“一体化智能分析引擎”具备长周期180天以上对原始数据的漏洞信息和APT攻击技术的事件调查和威胁狩猎，从本质上解决安全攻防的不对称性，让安全防御者所掌握的知识信息与攻击者相平衡，避免防御措施处于较长时间的滞后性。

基于安全湖的长周期攻击回溯方案是一种创新的网络安全解决方案，它结合了技术和大数据湖的概念，以提供对长期和复杂网络攻击的深度洞察和回溯能力。这种方案的主要目标是提供一个全面的视图，以便更好地理解和响应高级持续性威胁（APT）和其他复杂的网络攻击。

以下是该方案的主要组成部分：

1.高性能数据平台

这个平台集成了各种安全数据源，包括网络流量、日志、威胁情报、漏洞数据等，为安全分析提供了丰富的上下文信息。利用技术的弹性扩容和存算分离的可扩展性，这个平台可以解决安全数据存储和使用的成本问题，存储长期的历史数据，使得安全分析人员可以手动或通过自动化任务回溯并分析历史数据的攻击活动，深度挖掘历史数据价值。

2.一体化智能分析引擎

提供一体化泛安全数据接入、加工、存储、智能分析、检索、告警和可视化等服务的安全分析引擎，并具备机器学习和人工智能技术，可以降低安全数据处理难度，提高威胁检测和响应的效率，通过强大的可视化工具可提供各类图表和报表，使安全分析人员可以更容易地理解和还原安全事件。

该方案的主要优点在于提供了一个统一的海量安全数据实时分析平台，可以实时处理大量的安全数据，提供深度的威胁洞察，使得安全团队能够更有效地响应复杂的网络攻击。通过长周期（180天以上）的历史数据回溯，可以帮助安全团队有效地发现攻击者的入侵行为和攻击技术，从而提前预防和应对可能的攻击。

图表 1 腾讯安全湖设计理念

图表 2 腾讯安全湖产品架构图

二、应用场景痛点简介

基于安全湖的长周期攻击回溯方案，通过对漏洞和APT的检测和持续跟踪，可以有效地解决一些关键的应用场景痛点。以下是一些主要的应用场景痛点：

1.0day漏洞的及时防护

0day漏洞是指那些未被公开或者未被厂商修复的漏洞，这给网络安全带来了巨大的挑战。安全湖通过充分应用多源威胁情报和威胁狩猎技术，验证历史数据是否有被0day漏洞攻击的行为，从而及时防范潜在的威胁。

2.复杂的攻击模式还原

APT攻击通常涉及多个阶段，包括侵入、横向移动、持久化和数据窃取。这种复杂的攻击模式使得检测和响应变得非常困难。安全湖通过集成各种数据源和使用先进的分析技术，可以帮助安全团队理解和跟踪整个攻击过程。

3.长期潜伏的攻击识别

APT攻击通常有一个长期的潜伏期，攻击者可能在网络中潜伏多个月甚至多年。许多传统的安全解决方案无法存储和分析长期的历史数据，因此无法检测到这种潜伏的威胁。安全湖通过长周期的数据存储和回溯分析，可以解决这个问题。

4.高级的逃逸技术反制

APT攻击者通常使用高级的逃避技术，如0day漏洞、混淆技术和定制的恶意软件，以避免被检测。安全湖的智能分析引擎可以使用机器学习和人工智能技术，可提高对这些高级逃避技术的检测能力。

5.持续的威胁跟踪

APT攻击者可能会在一段时间后再次发动攻击。安全湖可以持续跟踪特定的APT组织或攻击变种。

图表 3 APT攻击识别与威胁回溯流程图

图表 4 0day漏洞及时响应与风险排查流程图

三、解决方案亮点介绍

基于安全湖的长周期攻击回溯方案，满足国产化信创要求，具有多个显著亮点：

1.全栈国产化自研安全分析引擎

通过腾讯纯自研的安全分析引擎可以提供全面的安全分析，包括威胁检测、行为分析、漏洞管理等。并且，由于是国产化自研，可以更好地适应国内的网络环境和安全需求。

2.无索引技术

传统的安全分析通常需要建立索引，这会占用大量的存储空间，增加存储成本。而无索引技术可以大大降低存储成本，同时也可以提高数据处理的效率。

3.列存储技术

列存储技术可以提高查询效率，特别是对于大量数据的查询。此外，列存储技术还可以提供****的压缩比，进一步降低存储成本。

4.存算分离架构

存算分离是一种新的架构模式，它将数据存储和计算分开，可以提高系统的灵活性和扩展性。这对于处理大量数据和复杂的计算任务非常有用。

5.“插件式”应用扩展能力

利用底层大数据实时处理能力，通过插件式APP化的安全场景开发设计，可以方便地添加新的安全应用场景，从而满足不断变化的安全需求。这种设计也使得系统具有很高的灵活性和扩展性。

图表 5 腾讯安全湖产品亮点

四、客户评价

我们的安全团队认为该方案是一种高效、灵活、全面且低成本的安全分析方案，“实时处理能力强大”使我们能快速响应各种威胁，极大提高了我们的安全防护效果；“插件式应用扩展非常灵活”使我们可以根据自己的需求灵活地添加新的安全应用场景，非常方便；“长周期攻击回溯功能强大”使得我们可以发现和跟踪长期潜伏的威胁，并且“无索引和列存储技术”****降低了我们的存储成本，同时提高了数据处理的效率。