【51CTO.com原創(chuàng)稿件】在近日召開(kāi)的亞信安全高級(jí)威脅治理十周年暨XDR戰(zhàn)略發(fā)布會(huì)上，亞信安全通用安全產(chǎn)品總經(jīng)理童寧回憶起APT概念未被廣泛認(rèn)知前這樣說(shuō)到：“十年前，我們開(kāi)始警惕APT，并告知用戶也要警惕，但沒(méi)人能聽(tīng)得懂，也沒(méi)人意識(shí)到APT的存在。隨著數(shù)據(jù)泄露事件的增多，大家將其歸為數(shù)據(jù)安全問(wèn)題或者監(jiān)管安全問(wèn)題，其實(shí)它本質(zhì)上是APT。”

通過(guò)不斷的演化發(fā)展，APT已經(jīng)成為最具攻擊性、隱蔽性、破壞性的網(wǎng)絡(luò)威脅。如今，在APT攻擊的穹廬之下，幾乎所有國(guó)家、所有行業(yè)都無(wú)一幸免。

[[253099]]

亞信安全通用安全產(chǎn)品總經(jīng)理童寧

回顧威脅治理的這十年，童寧表示: “十年間，我們經(jīng)歷了摸索、創(chuàng)新、融合、螺旋迭代的過(guò)程，與不法分子的博弈成就了亞信安全在高級(jí)威脅治理領(lǐng)域的引領(lǐng)。這是一場(chǎng)漫長(zhǎng)的對(duì)決，關(guān)乎未來(lái)，以及未來(lái)的未來(lái)。”

十年，不斷演化的高級(jí)威脅治理戰(zhàn)略

亞信安全產(chǎn)品總監(jiān)白日表示，整個(gè)安全威脅的演化在20年左右，從90年代末病毒的大規(guī)模爆發(fā)到2005年左右銷聲匿跡，再到2007年典型APT攻擊事件不斷出現(xiàn)，威脅演化可劃分為三個(gè)階段：

第一個(gè)階段，大規(guī)模病毒爆發(fā)時(shí)期，有很多的黑客和攻擊者是為了一戰(zhàn)成名，而制作傳播惡意病毒;

第二個(gè)階段，威脅攻擊手段主要應(yīng)用于國(guó)家和國(guó)家之間，含有政治意圖包;

第三個(gè)階段，威脅中蘊(yùn)含著大量的黑產(chǎn)。黑產(chǎn)從業(yè)者通過(guò)有針對(duì)性的勒索軟件攻擊等形式，獲取現(xiàn)金利益。

由此可見(jiàn)，威脅演化的每一個(gè)階段所在的本質(zhì)和性質(zhì)也不一樣，所以在每一個(gè)階段，相關(guān)威脅的治理手段和措施也不一樣。

因此，十年來(lái)，亞信安全的高級(jí)威脅治理戰(zhàn)略也在隨之不斷演化。2008年，趨勢(shì)科技(2015年亞信科技收購(gòu)趨勢(shì)科技中國(guó)，成立亞信安全)正式發(fā)布APT高級(jí)威脅治理戰(zhàn)略，形成了1.0的戰(zhàn)略雛形。

2015年，亞信安全發(fā)布了“螺旋迭代”的APT治理戰(zhàn)略2.0，該戰(zhàn)略治理模型以監(jiān)控為中心，以偵測(cè)、分析、響應(yīng)、預(yù)防為四個(gè)治理過(guò)程，此外，還提出兩大支撐體系，即本地和云端威脅情報(bào)雙回路，以及全面的威脅聯(lián)動(dòng)治理體系，產(chǎn)品維度實(shí)現(xiàn)了“云、管、端”全線安全產(chǎn)品的聯(lián)動(dòng);管理維度實(shí)現(xiàn)了從偵測(cè)、分析，到響應(yīng)、阻止的全過(guò)程聯(lián)動(dòng)。

（圖片內(nèi)容來(lái)自亞信安全）

下一個(gè)十年的APT高級(jí)威脅治理

如上所述,為過(guò)去十年亞信安全的高級(jí)威脅治理戰(zhàn)略，下一個(gè)十年，亞信安全有何治理戰(zhàn)略對(duì)策呢?

“現(xiàn)在，亞信安全從安全運(yùn)維的視角出發(fā)，提出了通過(guò)SOAR平臺(tái)的精密編排能力，打造一套安全聯(lián)動(dòng)運(yùn)維體系的理念，這也是下一代威脅治理戰(zhàn)略3.0的雛形。”白日表示。

從過(guò)去十年，APT威脅治理能力的發(fā)展來(lái)看，通過(guò)技術(shù)和產(chǎn)品的不斷演化、組合、聯(lián)動(dòng)，用戶基本可以做到發(fā)現(xiàn)、分析，然而對(duì)于響應(yīng)和預(yù)測(cè)來(lái)說(shuō)，其實(shí)現(xiàn)的難度正在逐步加大。例如，當(dāng)用戶接收到的海量的告警時(shí)，由于用戶技術(shù)能力有限而無(wú)法做出快速的響應(yīng)，缺乏快速恢復(fù)不救的能力，更無(wú)法確認(rèn)攻擊意圖溯源。

思及此，亞信安全開(kāi)始全面打造精密編排的往來(lái)空間恢復(fù)補(bǔ)救能力，在高級(jí)威脅治理3.0戰(zhàn)略中，亞信安全提供了快速響應(yīng)能力。

亞信安全認(rèn)為，從發(fā)現(xiàn)到響應(yīng)的能力構(gòu)成包含四個(gè)方面：告警處理，分類并劃分安全事件優(yōu)先級(jí);定性分析，判斷威脅的真實(shí)性，確認(rèn)威脅的本質(zhì)和意圖;定量分析，回溯攻擊場(chǎng)景，評(píng)估威脅的嚴(yán)重性、影響和范圍;快速響應(yīng)，根據(jù)響應(yīng)腳本，執(zhí)行響應(yīng)策略。這四個(gè)方面，組成了亞信安全以安全運(yùn)維為視角的SOAR框架。

（圖片內(nèi)容來(lái)自亞信安全）

亞信安全的SOAR框架利用精密編排的聯(lián)動(dòng)安全解決方案，將安全產(chǎn)品以及安全流程連接和整合起來(lái)，通過(guò)全面收集的安全數(shù)據(jù)和告警，集成人工專家以及機(jī)器學(xué)習(xí)的力量來(lái)進(jìn)行事故分析。

SOAR能帶來(lái)什么樣的價(jià)值呢?對(duì)此，白日向記者介紹說(shuō)，第一，可以縮短應(yīng)急響應(yīng)時(shí)間，提高應(yīng)急響應(yīng)效率;第二，可以減少和優(yōu)化傳統(tǒng)SOC中不必要和冗余的工作;第三，安全產(chǎn)品整合的API加速了自動(dòng)化過(guò)程;第四，能做豐富的相關(guān)的數(shù)據(jù)安全的服務(wù)，比如威脅情報(bào)平臺(tái);第五，提高告警分析質(zhì)量和偵測(cè)發(fā)現(xiàn)能力;第六，提高工作精準(zhǔn)度;第七，減少培訓(xùn)新安全運(yùn)維分析人員的代價(jià);第八，提高整體衡量管理安全的運(yùn)維能力。

亞信安全發(fā)布XDR戰(zhàn)略，應(yīng)對(duì)未來(lái)高級(jí)威脅

基于SOAR，亞信安全正式推出了高級(jí)威脅治理3.0戰(zhàn)略雛形——XDR戰(zhàn)略。亞信安全通用產(chǎn)品管理副總經(jīng)理劉政平表示，“X”代表未知，代表各種應(yīng)用場(chǎng)景，例如車聯(lián)網(wǎng)、智慧醫(yī)療等;“D”代表傳感器，無(wú)論是云架構(gòu)、網(wǎng)絡(luò)架構(gòu)，還是終端上均需要建立不同的監(jiān)控機(jī)制和數(shù)據(jù)還原機(jī)制，以及數(shù)據(jù)還原機(jī)制;“R”代表響應(yīng)機(jī)制，借助SOAR框架，實(shí)現(xiàn)精密編排的聯(lián)動(dòng)響應(yīng)。

亞信安全的XDR方案包括了“準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”這7個(gè)階段，準(zhǔn)備階段包括了針對(duì)每一種黑客攻擊類型的標(biāo)準(zhǔn)預(yù)案，自發(fā)現(xiàn)威脅數(shù)據(jù)之后，將數(shù)據(jù)集中到本地威脅情報(bào)和云端威脅情報(bào)做分析，利用機(jī)器學(xué)習(xí)和專家團(tuán)隊(duì)，通過(guò)分析黑客進(jìn)攻的時(shí)間、路徑、工具等所有細(xì)節(jié)，其特征提取出來(lái)，再進(jìn)行遏制、清除、恢復(fù)和優(yōu)化。

劉政平表示，盡管過(guò)去未去，但未來(lái)已來(lái)。“我們要加強(qiáng)精密編排的預(yù)案，把響應(yīng)過(guò)程非常嚴(yán)謹(jǐn)?shù)膶?xiě)下來(lái)，并變成知識(shí)沉淀，讓更多的人可以去學(xué)習(xí)。最終實(shí)現(xiàn)，讓人的行業(yè)經(jīng)驗(yàn)迭代起來(lái)，記錄預(yù)案并不斷優(yōu)化它。”然而，有了好的方法論還不夠，還需要好的工具。

（圖片內(nèi)容來(lái)自亞信安全）

在XDR戰(zhàn)略中，亞信安全引入了EDR、NDR、MDR等新工具，包括深度威脅發(fā)現(xiàn)設(shè)備TDA、深度威脅分析設(shè)備DDAN、深度威脅安全網(wǎng)關(guān)Deep Edge、深度威脅郵件網(wǎng)關(guān)DDEI、服務(wù)器深度安全防護(hù)系統(tǒng) Deep Security，以及能夠統(tǒng)一聯(lián)動(dòng)管理的控制管理中心Control Manager和APT治理專屬咨詢服務(wù)，進(jìn)而實(shí)現(xiàn)威脅從發(fā)現(xiàn)、分析到響應(yīng)的閉環(huán)。

最后，劉政平總結(jié)說(shuō)：“我們希望在不確定的網(wǎng)絡(luò)安全世界里，尋找一個(gè)確定性的方法，幫助用戶真正提升網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救的能力。”

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】