可靠采集和有效防护对态势感知的支撑价值

时间: 2017年7月12日 作者:肖新光 来源:安天

这是一份比较杂乱的报告,也是安天对这几年态势感知工作所做的一些思考。安天所承载的态势感知任务,包括国家骨干网的恶意代码监测与分析系统、区域性的态势感知平台、行业性的态势感知平台、黑龙江省网信办的态势感知系统(这也是国家网信办系统的第一个省级试点)等,在此过程中,安天也有一些自身的思考。因此,今天的报告将从威胁谈起,并将重点放在可靠采集和有效防护对态势感知的支撑价值上。

一、 安全威胁对抗进入新的阶段

1.1 威胁:四面围城

从整体上看,当前的安全威胁呈现出四个方面的演进趋势,可称之为四面围城:

第一,攻击面不断扩大。从传统IT的基础设施扩展到供应链、工控、云以及BYOD和IoT设备。

第二,攻击成本不断降低。在2015年5月27日安天发布的报告 中披露了越方针对我方的攻击,其特点是使用了美方所生产的商用攻击平台Cobalt Strike。本次WannaCry事件和伪装成勒索蠕虫的“必加”事件,所采用的都是美国NSA在2017年4月14日被“影子经纪人”披露的军火级的漏洞。

第三,攻击支撑点不断增加。黑产大数据当前已经成为一个地下的情报体系,僵尸网络提供了大量的僵尸节点,同时比特币又提供了一种新的不可追溯的牟利方式。

第四,攻击方式不断立体。过去,简单的在网络上达成进出的攻击正在演变成立体的攻击,比如,在“乌克兰停电事件”中,其作业方式实际上是由线上的恶意代码攻击与线下的对应急电话的DDoS攻击组合构成的。包括我们所看到的大量针对前置供应链的预制,以及有人带入和传统电磁的手段。

在此情况下,单点的安全产品均不能应对全面的安全问题,因此,更需要全面建设系统性的态势感知能力。但在传统的态势感知中存在大量的top或者“地图炮”的情况,且一些人仍以产品防御了多少亿次的攻击作为衡量。如果在DDoS时代和蠕虫时代,事件的传播次数或者攻击次数是事件强度的度量衡,那么在APT这种高隐蔽性的攻击下,这种统计是完全没有意义的,正如在2016年5月25日我向总书记汇报时所说的“易于看见的攻击往往不是更高风险的威胁,更高风险的威胁往往是难以被看到的攻击”。

1.2 传统的对抗

从另一角度来看,攻击和安全手段之间的对抗也进入到了一个新的历史阶段。对于传统的对抗可以概括成三类:

第二,攻击成本不断降低。在2015年5月27日安天发布的报告 中披露了越方针对我方的攻击,其特点是使用了美方所生产的商用攻击平台Cobalt Strike。本次WannaCry事件和伪装成勒索蠕虫的“必加”事件,所采用的都是美国NSA在2017年4月14日被“影子经纪人”披露的军火级的漏洞。第一类是对载荷检测的对抗,主要是对传统检测引擎归一化机制的穿透。

第二类是对主机系统的场景对抗,我们将其称为Rootkit,当然其也演变出了BIOSkit或Bootkit等,其核心就是使攻击载荷无法被安全产品的IO能力获取,从而无法进入到产品的内部循环中。

第三类是网络侧的逃逸技术。是通过各种加密、编码、伪装、夹带等方式来对抗相应的感知和分析手段。

1.3 对能力点和能力闭环的攻击

总体来看,传统的对抗还是单点对抗,所对应的是安全产品内建的从IO到检测,再到处置的循环,以免杀、隐蔽、逃逸、对抗作为其基础攻击点。

目前,该攻击已经演变成了一种体系性的攻击,不仅可以攻击“IO→检测→处置”的小闭环,还能攻击安全厂商和其产品之间的大闭环。首先,各种产品本身是可以被攻击方获取来进行相关模拟测试的,包括搭建相应的场景;其次,无论是安全厂商向客户的能力发布,还是客户向安全厂商的感知上行,本身都是可以被干扰的。此外,类似Duqu2.0(毒曲)攻击卡巴斯基的事件说明了安全厂商也是高级威胁的直接目标,而且安全厂商每日所接收的大量数据中也存在大量的干扰。

1.4 攻击装备针对主动防御、物理隔离等的穿透

可以看到,高等级攻击者的穿透是有机理性质的,并非简单的一对一的特征免杀对抗,而是针对主动防御机制基于行为特性加权的弱点展开的。比如,美方将其主机作业拆解为原子化作业,使其任意模块都无法构成告警;攻击者采用专用的投放硬件设备达成木马的注入和信息的回传,这就绕开了网络内的监测场景(后端具有攻击平台的支撑)。

1.5 攻击者的感知覆盖和能力前出

实际上,在防御方具有态势感知的情况下,攻击者也具有态势感知。根据斯诺登泄露的文档可以看到,自2007年起,NSA开始制定CamberDaDa计划,其所关注的目标包括俄罗斯国防产品出口公司等。该计划如何保证对攻击目标的攻击有效性?实际上是利用了其已经在俄方电信体系中建立的持久化节点去关注攻击目标和卡巴斯基之间的通讯,当攻击目标向卡巴斯基的告警中含有美方的样本或者攻击信息时,则认为攻击已经暴露;当在告警中含有第三方样本时,美方则会尝试第三方样本是否可以被二次利用。

很遗憾但也很幸运的是,安天是在该计划中唯一受其关注的中国厂商。

1.6 网络靶场——防御能力的搭建和模拟

同时,目前广泛使用的网络靶场技术,使得传统的对杀毒软件进行免杀处理或者对单一安全产品进行穿透的方法变成了模拟防御方的整个防御体系,从而研究如何有效绕过防御方体系的方法。

1.7 建立应对安全问题的有效“敌情想定”

在攻击方系统性的能力演进的情况下,如果仍采用传统的“物理隔离+好人假定+规则推演”的思路去思考安全问题,将构成当前最大的自我安全麻痹,因此,无论是研发态势感知还是具体的安全产品,都需要建立在有效的“敌情想定”的基础上。总书记在4.19讲话中也明确告诫我们“物理隔离防线可以被跨网入侵”,使用单一产品保安全的思路已经过时了。

因此,应立足于内网已经被渗透、供应链被上游控制、运营商网络的关键路由节点被控制、物流仓储被渗透劫持、关键人员和周边人员被从互联网进行定位摸底、内部人员中有敌特人员派驻或被发展,从而建立起 “网络空间对抗是战时的高烈度对抗、平时的持续性对抗、平战皆为无底线对抗和高成本对抗”的网络安全认知。

二、 态势感知的新要求与传统问题

在此背景下,人们对态势感知提出了一些新的要求。

2.1 我们对态势感知的惯性认知

过去,每当说起态势感知,人们都会在脑海中浮现出一些类似“地图炮”的图表。大家对于态势感知的传统惯性认识往往是:基于互联网大规模扫描探测式的节点普查、流量侧监测,之后在其上叠加一些相应的统计手段和可视化手段,俗称为“地图炮”,这是很多人对于传统态势感知的一种认识。

2.2 以SIEM/SOC为代表的应对方案

同时,现今有许多态势感知系统实际上是以SIEM和SOC为基础发展而来的。首先,SIEM和SOC是非常有价值的安全管理实践,我们并不否认其价值,但需要看到一点,是先有了防火墙、杀毒软件、IDS等安全产品,还是先有了SIEM和SOC?毫无疑问,是先有了基础的安全产品,之后才有了SIEM和SOC等管理环节,SIEM和SOC实际上是为了把既有的安全能力有效地统合起来,这就带来了一个问题,SIEM和SOC是以尊重在流量、端点、日志等方面的既有基础为基础的,那么在基础能力中未被采集的数据一定不会出现在SIEM和SOC中。也就是说,SIEM和SOC的有效性一定程度上取决于向它供给相关日志等环节的有效性,因此,一旦这些环节的基础能力不足,就会导致出现盲点。而在SIEM和SOC如今的实践上,我们已经看到了包括基础能力不足导致感知盲点、海量日志产生噪音效应、无法保留线索、无法进一步溯源、无法定位关键威胁等一系列问题。

2.3 业界态势感知系统和产品存在的问题

从整体上看,这种简单的基于扫描探测或者流量检测,把数据汇入到数据库中,进行简单的分析,并形成可视化效果的态势感知面临着几个问题:

第一,并没有有效地改善用户的基础能力,它确实可以看到一些问题,但是并没有下沉的有效手段,缺少相应的打击环节去改善问题。

第二,整个采集能力依然是传统AV的文件载荷的检测能力和类似IDS的单包检测能力,并不足以支撑态势感知所需要的数据。

第三,大家看到了很多绚烂的“地图炮”,但是在这些“地图炮”上要如何进行交互操作?它除了告诉我们网络空间中有很多威胁之外,对于安全的实操价值又是什么?几年前,我们在向院士汇报时,曾信心满满地拿出一套“地图炮”,院士当时给出的评价是,我们的态势感知是有“态”无“势”的,虽然把“态”展示出来了,但是如何形成对于后续操作的指导性意见?其实是形成不了的。

第四,态势感知究竟形成了什么样的产出,这种产出应该如何落地?

三、 安天如何应对全面安全问题

在这方面,安天也有一些自己的探索和相应的思考。

3.1 通过滑动标尺模型理解攻击、防御与叠加创新

当前,能力型安全厂商普遍互认的公共模型——滑动标尺模型将整个安全能力体系划分为五个阶段,分别是架构安全、被动防御、积极防御、威胁情报和进攻。

从架构安全的角度来看,其是一个自身强身健体的过程,主要是在安全的规划和建立过程中,充分地考虑安全,这也与总书记“网络安全与信息化要同步建设”的三同步原则相对应。

从被动防御的角度来看,人们往往认为被动的就是不好的,但其实被动防御是一种非常基础的安全措施,比如,防火墙中添加的端口规则或者IP段的规则收窄了攻击者可能移动的灵活性;建立一些相应的基础日志来保证攻击者必须留下痕迹,虽然不足以用来暴露高能力的攻击者,但却是能够有效对抗高能力攻击者和落实后续安全策略的基础。

在此基础上,则包括了监测威胁、响应对抗、对威胁了解持续提升的上层积极防御手段。在此层次之上,才是威胁情报的积累,包括低阶的情报(比如,IOE的信标、哈希)和高阶威胁情报(比如,安天针对各种APT事件的分析报告)。

从国家的安全战略体系上来看,一定还要包括进攻这一部分,总书记在4.19座谈会上曾讲到“网络安全的本质在于对抗,对抗的本质在于攻防两端能力的较量”,进攻就是一种威慑能力。但从一个行业、体系或者安全产品体系的实践的角度来看,安全体系总体上是关联于架构安全、被动防御、积极防御和威胁情报的。

3.2 态势感知的价值和成本

为什么把这次会议的主题确定为“态势感知和有效防护”?我们认为这两者具有层面上的差异,同时存在着相互关联的部分。总体来看,有效防护贯穿于被动防御和积极防御等手段,实际上是用来应对架构安全层面上的缺陷,通过积极手段去弥补被动防御的不足,收窄被攻击面。而态势感知是一种上层建筑,是一种高价值的手段。那么在一定程度上,有效防护构成了态势感知的相关基础。

图 1 态势感知的价值与成本

3.3 以态势感知要求重构相关能力环节

态势感知与SIEM和SOC的最大差别是,态势感知的基础环节和探针应该是根据态势感知的要求重构的,而不是,现有的终端防护产品是一个杀毒软件,汇集上来的就是文件检测日志;现有的环节是一个IDS,汇集上来的就是包的检测日志。从安天的角度来看,无论是流量侧的探海、端点侧的智甲,还是分析侧的追影,都是要根据态势感知的要求在端点、流量和分析能力上建立起一套符合态势感知要求的全要素采集能力。

3.4 无效防护才是WANNYCRY暴露出的更大问题

之前很多人曾与我交流过一个问题——如何看待WannaCry事件中我们所暴露出的响应问题?但以我的个人观点来看,在国家网信办等相关应急机构的统一指导下,安天以及其他厂商针对WannaCry的应急整体上是成功的,我们有效地遏制了它在互联网侧的大规模传播,也有效地防止了大面积出现周一开机“中毒”的次生灾害。

实际上,无效防护才是WannaCry事件所暴露出的更大问题。因为WannaCry本身是一个通过安全的基本动作就应该可以防住的威胁,其本身并非一个新的勒索软件,实际上在此前已经出现过相应的版本。但之所以产生了如此大的影响,是因为其使用了在2017年4月14日暴露的美方军火级的漏洞,但早在2017年3月份,微软就已经针对该漏洞发布了相关补丁。也就是说,在这两个月的时间内,受感染的机器都没有打上相应补丁。

我们还需要看到一个问题,勒索软件本身并不是一种适合以应急响应方式进行处置的威胁,因为勒索软件造成的事实后果是对文件进行加密,不交付赎金,就不进行解密(但是在这次的WannaCry事件中,一方面,我们发现了其删除原来未加密文件的方式不像其他勒索软件一样非常严密,可以恢复;另外一方面,法国的研究者发现Windows加密的API具有一定的漏洞,如果没有重启,是可以部分恢复的)。对于大部分的勒索软件而言,文件恢复的有效性、内存解密的有效性其实都很小。

更有甚者,通过这次针对乌克兰的冒充为勒索攻击的“必加”事件可以发现,其本身并不是为了勒索,其作业方式是,生成一个自己也解密不了的随机密钥去加密受害者的文件,其目的就是要破坏掉整个系统。这种破坏一旦发生只能通过备份数据进行应急,如果没有备份数据,且一旦在防护侧没有达成相应的防护效果,整个威胁开始发散,那么整个应急成本将是不可收敛的。

可见,无效防护才是WannaCry事件所暴露出的我们当前的更大问题,一旦大量事件都是因为无效防护而爆发的,那么整个压力就将转嫁到态势感知体系和相应的研判策略上。

3.5 有效防护

此前非常流行的“暗云”木马的一个非常大的特点是,它是一个拥有Bootkit机制的木马家族,通过流氓劫持和DDoS等方式牟利,根据安天的监测,其已经在国内形成百万量级的节点感染。它不仅仅通过感染MBR的方式实现加载,而且具有一系列非常复杂的驱动机制,可以干扰安全产品对于MBR的读取和处置。一旦该木马写入MBR,就将形成顽固感染,处置将十分困难。

实际上,任何安全产品都不能保证其能够绝对地识别出哪个威胁,但是我们可以提炼出相应的威胁行为。在把整个病毒库关闭之后,如果在智甲的防护上来执行“暗云”木马,它就会拦截掉修改MBR的行为,从而使其引导链不能成立。

3.6 防护有效性全面降低处置成本

WannaCry勒索病毒并不是一种新的威胁形式,而是一种从历史上一脉相承的威胁形式,只是随着近几年比特币和暗网的流行,才成为一种典型的方式。因此,既然攻击者是要进行勒索,就一定要批量地进行文件操作,原则上来看,非受信程序进行批量文件操作就是一种威胁的行为。

从2016年年初开始,安天在智甲中就开始内置一整套包括行为分析、诱饵文件的分析机制。如果把WannaCry拿到2016年10月的智甲产品版本上执行,并把病毒库检测都关闭,则其不能实现有效的加密。但是如果没有前面的防御机制,那么在WannaCry事件发生之后,安天所发布的免疫工具、内存解密工具、专杀工具等就会带来一个非常复杂的响应链。

3.7 端点有效防护

在此情况下,通过主机加固、主机的边界防御、未知威胁防御、未知威胁鉴定、APT追溯和定点清除就可以构成端点的有效防护。在一个行业体系内部,当大量的问题可以发现于防御端点时,就使得需要上层态势感知系统进行作用的相关安全事件发生全面的收敛。因此,把端点安全抛弃在态势感知之外,是非常不明智的决定,端点既是态势基础的采集支撑,同时也是态势策略有效的落实手段。

3.8 从日志留存到全要素采集

过去以SIEM和SOC为基础的系统,所依赖的其实是日志留存。这种日志留存的本质,无论相应对象是一个载荷,还是一个数据包,除了应用层的系统日志之外,更多的是基于检测引擎和规则库的匹配结果。我们曾多次介绍过,恶意代码的检测其实是由归一化检测、精确检测、未知检测多个分支共同维护的体系。从流量上来看,安天2003年的流量检测产品所形成的日志,其实是围绕着五元组和检测名称形成的结果,这就意味着对所有检测不出来的对象全部放行。但在如此复杂的攻防条件下,我们必须假定第一攻击波是检测不出来的,就像在军事斗争中,敌人的F-22隐形飞机飞来了,而我们是发现不了的,那么我们能否实现后续的有效拦截和有效止损?

3.9 流量可靠采集

这时就产生了我们如何在流量侧进行可靠采集的问题,它不仅是传统的单包检测,其实是对IP、域名、URL、文件、会话、账户信息等形成全面的采集能力,包括流检测、包检测、信标检测、文件检测、深度检测和行为分析等,最后从态势的角度来看,形成支撑威胁信息、威胁行为和威胁分布的价值。

整个流量采集主要分成三个步骤:

第一,实现相应的全要素采集,即从传统的五元组采集能力扩展到如今美国人所讲的十三元组采集能力;

第二,要对大量的应用侧信息进行提取,之后进行多维度的对相应采集对象的检测;

第三,在检测本身之上还要实现基于场景赋能的深度能力赋予。

3.10 可靠采集——全要素采集

传统的协议解析实际上是基于对所有不识别的恶意代码一律放行而形成简单的日志;而从全要素采集来看,我们实际上要实现对检测对象的膨胀化,如对http流量要从相关的主机信息、域名信息、agent等方面对大量信息进行留存,如果其中有Payload,那么要对这个Payload进行进一步相应的解析,无论该文件是否是恶意的。

3.11 可靠采集的加工器——下一代威胁检测引擎

这种全要素采集的一个非常重要的基础加工器就是下一代威胁检测引擎。上一代威胁检测引擎的核心是,对于一个输入对象,输出一个针对该对象的鉴定结果,包括是黑还是白,如果是黑的,则名称是什么;如果是白的,则放行。对下一代威胁检测引擎而言,不存在所谓的不记录或者需要放行的对象,而是根据态势感知系统的要求对所有的对象都要进行解析。比如,过去在反病毒的实践中,我们非常看重“有毒格式”或者“无毒格式”,遇到“无毒格式”则选择跳过(比如,认为BMP、JPG是没有病毒的,那么就选择跳过)。但在如今我们看到存在大量的格式文档溢出攻击的情况下,只要会被解析到的格式就都有可能潜藏攻击,因此简单的跳过或者放行是不行的,对于此类文件,也要进行相应的全格式识别和深度的格式解析。

对于安天探海而言,其区分度有两类:可识别的格式和不可识别的格式。基于大规模互联网采样的情况下,不可识别格式本身就意味着高风险。无论是采用AES加密的PE载荷投放,还是加密包的回传,都会走入到不可识别格式的分支中。那么探海既会对既有的威胁格式做出更深度的格式解析,同时也会对现有的“无毒格式”做出相应的格式解析和留存。

这就带来了下一代威胁检测的一个基础思想,即检测是一种有条件的安全手段。对于传统的威胁检测引擎而言,其工作方式是“你是好人我放行;你是坏人我拦截”,但是对下一代威胁检测引擎而言,没有简单的“好人”、“坏人”的概念,尽管会贴一个相应的标签,但即使你是个“好人”,我也要留存、解析,也要把你拆解成数百个相应的向量,从而构成一个大数据空间。

3.12 采集数据的知识化

对于每个文件,大概要采集出500个左右的向量,其中200个是由静态的检测引擎完成的,300个是由动态的沙箱完成的。这其中将面临一个问题,这些向量对用户而言是非常难以驾驭的。在此背景下,在向量和最终判定结果之间,我们建立了一个知识层次,这个知识层次叫做标签。

标签是一种可理解的文本短语,其代表某种向量决策逻辑,这是安天对于标签的一个定义。比如,“蠕虫程序”、“跨境通讯”都是安天所使用的标签,当一个PE出现多次自我复制的情况时,就会自动在整个态势中被定义为一个“蠕虫程序”;当其源目的IP跨越到境内、外时,就会被标注为“跨境通讯”。

3.13 自适应/人工的标签扩展

在此过程中,实际上可以由用户来定义一个复杂的向量逻辑,比如,定义某个格式为一个压缩包,格式中存在一个扩展名为.js的脚本,这是一个用户可以自行去维护的规则。过去,几乎所有的产品都不具备用户自行维护的能力,最多是可以让用户添加一个Hash或者IP地址,想要添加深度的像决策树似的规则是不可能的。而安天则可以自动地去扩展相应的人工标签,包括正在形成一些自适应的标签扩展能力,其概念是,不仅可以添加深度的规则,同时可以添加知识。

3.14 基于可靠采集的威胁追踪

最后我们要达成一个效果,基于流量侧和端点侧全量的数据采集或者定制化的数据采集,形成了安全分析的大数据空间,而在此空间中,通过各种向量级的线索,不是简单的哈希值或者IP地址,而是类似一个互斥链、一个在样本中出现的字符串,一个PDB路径等,就可以完成追溯。

3.15 视角:从以事件为中心到以资产为中心

从安天对于态势的理解来看,我们已经深入地感觉到仅仅在一个大的地理场景上去展示一个“地图炮”是不够的,这种“地图炮”除了能够证明威胁是在发生之外,不存在其他价值。而我们是要从认识论视角把传统的态势感知以相应的事件积累和在地图上进行标注为中心延展到以资产评价为中心,其核心就是通过把相关的有效采集转化成一种对资产进行画像的过程,评价出资产的信誉,从而构成一种空间的表达,这种表达可能包括以拓扑为中心、以管理者为中心和以地理位置为中心(比如大规模机房)。在此情况下,就相当于把相关的属性视为一个图层,在其中导入各种条件作为线索,进行相应的威胁分析,从而把宏观的态势展现转化为中观和微观的安全分析。

3.16 视角:从威胁检测到威胁认知的提升

安天对于某个威胁的完整认知包括了九个维度:

第一,载荷。是否使用了相应的可执行程序、脚本程序或者其他的数据体。

第二,行为。在相关主机或者网络上的动作是什么。

第三,资源。使用了哪些IP地址或者相应的硬件设施。

第四,攻击装备。是否使用了其他配套的攻击平台,比如,Cobalt Strike以及“方程式”组织所使用的攻击平台等。

第五,攻击者。发动攻击的是某一个个体、某一个黑客、某一个无政府组织,还是某一个政府机构。

第六,意图。其攻击意图是什么?是为了窃密、通过环境预制干扰我们的基础设施,还是仅仅为了牟利或者有趣?

第七,被攻击者。被攻击者是谁?

第八,资产。受到影响的资产是什么?

第九,后果。对于这种攻击的后果应该如何评价?应该如何定损和量损?

这就构成了一个从威胁检测提升到威胁认知的维度。当然,完成这样一个威胁认知,是需要一个完整的知识体系演进作为支撑的。

3.17 面向资产的可视化管理

那么在此情况下,态势感知的可视化不再是简单的在地图上打来打去,而是面向资产和业务体系的可视化管理,包括了业务系统态势、设备资产态势、脆弱性态势、业务流程态势等,能够与相关应用更好地融合。

3.18 价值:网络威胁情报生产

态势感知如何实现有效的价值落地,是否仅是形成一些专报或者顶层决策?我认为态势感知体系本身也可以回馈于相关的防护产品和感知探针,可以建立起基于厂商赋能的自维护能力。

从威胁情报的生产过程来看,基于流量侧、终端侧、爬虫或者蜜网形成的感知环节,在进行黑白判断之后,除了文件的标识和传统的检测特征提取外,也会生成相应的网络特征和C2规则。由于网络特征和C2规则是高度动态的,很多人将其视为一种威胁情报,而这种情报就可以应用于感知、预警、取证和追溯等环节中。

在此情况下,当一个态势感知系统的后端部署了自身的分析环节之后,比如,对追影自动化分析系统进行集群化部署,就可以每日分析几万到十几万,甚至几十万的样本,在此过程中,可以自行完成上述的威胁情报生产过程,生成内容规则、网络特征和C2规则等。

相关的态势感知使用方,比如,网信办或者其他机构,就可以在不依赖于安全厂商的基础上形成向相关探针和检测环节推送相关规则的能力,从而使深度的客户赋能达成私有化的安全知识与相应的经验。我们的客户可以通过相关的系统在完全不需要我们支持的情况下实现家族识别、威胁情报提取、监测,并最后达成案件破获的目标。

四、 安天简介

4.1 我们最了解对手

如果进行相关的网络查证可以发现,安天所发布的境外对我的攻击报告是最丰富的,安天是立足于对手情报级别的手段来建立自身防御产品能力的,这就是我们的产品与寻常的和日常黑产作斗争的产品的能力差异。

4.2 对手最关注我们

2007年,美国的CamberDaDa计划把安天列为唯一需要关注的中国厂商。除此之外,安天还取得了中国安全厂商的首个国际权威测评机构的年度奖项,也是迄今为止唯一曾经排入过网络空间安全创新百强的中国厂商。2016年12月22日,境外的一篇分析报告对中国网络空间安全协会进行了相应的解析,安天是其唯一做出段落性全面解析的中国厂商,在报告中,其指出“安天是中国支撑APT攻击分析的支点型厂商”。

4.3 我们拥有完整的自主产品和核心技术体系

安天拥有非常完整的坚持十七年自主研发所形成的自主产品和核心技术体系,包括相应的产品矩阵、服务能力和以上层的态势感知和网络靶场为主导的解决方案。

五、 结束语——我们担当使命

2016年4月19日和5月25日,我两次有幸作为安天人的代表见到总书记,聆听总书记的教诲。作为总书记所说的民营企业中的国家队,安天愿意担当网络安全的使命。