2019年RSA的Slogan是Better，這也是自從1995年以來RSA大會每年一個的主題詞中，最簡潔、有力的一個。會前，關(guān)于“Better”含義的猜測見仁見智：更堅(jiān)固的安全方案?更清晰的風(fēng)險預(yù)測算法?更智能的安全運(yùn)維?各路豪杰的觀點(diǎn)都沒錯，但都只回答了一方面。RSA官方的解釋是，讓我們一起創(chuàng)造一個更安全的數(shù)字世界，從而讓現(xiàn)實(shí)世界變得更加美好。

創(chuàng)造一個更安全的數(shù)字世界，需要我們創(chuàng)造更多的技術(shù)，聯(lián)動更多的力量，抵御更多的風(fēng)險，從而擺脫勒索軟件、APT攻擊、數(shù)據(jù)竊取等黑暗力量的籠罩。

勒索軟件的30年發(fā)展,從理想主義到利益至上

近年來，以勒索軟件為代表的“新威脅”不斷出現(xiàn)，這讓許多用戶感到束手無策。但是，很多人也許并不了解，許多威脅的起源可以追溯到30年前或者更久。

1989年，2萬張感染了“AIDS Trojan”病毒的軟盤被分發(fā)給國際衛(wèi)生組織國際艾滋病大會的與會者，造成了大量文件被加密，這也是一個勒索軟件。

無論從哪個角度來看，第一個勒索軟件的誕生都充滿了一定的理想主義，它并沒有被大規(guī)模分發(fā)，而是僅針對艾滋病大會進(jìn)行定向傳播，目的更像是宣傳自己的政治與學(xué)術(shù)態(tài)度，或只是簡單的惡作劇。而且，由于其只使用了簡單的對稱密碼，因此很快就被解密工具輕松恢復(fù)。

技術(shù)是一把雙刃劍，勒索軟件用事實(shí)再次證明了這句名言。在此后的17年間，由于沒有更好的加密方法，勒索軟件基本上“銷聲匿跡”——直到2006年“Archievus”的出現(xiàn)。Archiveus是第一個使用非對稱加密的勒索軟件，它主要采用RSA加密方法，會對“我的文檔”目錄里面的所有內(nèi)容進(jìn)行加密。更值得關(guān)注的是，這個勒索軟件開始把魔爪伸向受害者的錢包，黑客會要求用戶從特定網(wǎng)站來購買以獲取解密文件的密碼。

勒索軟件發(fā)展的另一個標(biāo)志性事件是以數(shù)字貨幣為代表的匿名支付方式的出現(xiàn)。由于銀行轉(zhuǎn)賬等傳統(tǒng)的支付方式讓網(wǎng)絡(luò)勒索者很容易暴露在執(zhí)法機(jī)關(guān)的打擊力量之下，而通過區(qū)塊鏈技術(shù)可以更好地隱藏自己、“安全”地獲得高額收益。同時，隨著數(shù)字貨幣價格飆升，勒索軟件開始在地下網(wǎng)絡(luò)市場中逐漸流行起來。

2013年9月，網(wǎng)絡(luò)不法分子找到了適用于勒索軟件的新型加密方法，即采用AES-256lai加密特定擴(kuò)展名的文件，并利用2,048位RSA密鑰來加密AES-256位密鑰，這讓被加密文件的恢復(fù)變得極度困難，束手無策的受害者往往只能選擇向不法分子支付贖金。大名鼎鼎的“WannaCry”勒索蠕蟲采用的正是這種加密方式，并在2017年肆虐爆發(fā)，至少150個國家、30萬名用戶中招，造成損失達(dá)80億美元，影響極為深遠(yuǎn)。

如今，勒索軟件已經(jīng)成長為主流的安全威脅之一。亞信安全2018年的安全總結(jié)報告顯示，勒索軟件病毒已經(jīng)在全球范圍內(nèi)呈現(xiàn)爆發(fā)態(tài)勢，美國、日本、中國、歐洲都成為勒索軟件肆虐的“重災(zāi)區(qū)”。并且，為了躲避網(wǎng)絡(luò)安全防護(hù)系統(tǒng)的查殺，勒索軟件新變種正在不斷產(chǎn)生，并通過與魚叉式釣魚郵件、漏洞利用傳播、軟件捆綁安裝和APT技能相組合，這使得傳統(tǒng)基于特征碼的防護(hù)方式效用大減。此外，網(wǎng)絡(luò)不法分子還針對每個地區(qū)的語言及經(jīng)濟(jì)文化特點(diǎn)，對勒索軟件進(jìn)行了本地化，以提升索要贖金的成功率。

成功攔截“WannaCry”勒索蠕蟲，“機(jī)器學(xué)習(xí)”只是功臣之一

把時間倒退到2017年5月14日零時，全球“WannaCry”勒索蠕蟲席卷全球，整個攻擊遍布全世界100多個國家。在這次大規(guī)模的威脅事件中，亞信安全服務(wù)的所有客戶通過以機(jī)器學(xué)習(xí)技術(shù)為核心的桌面安全解決方案成功抵御這次瘋狂的攻擊，成為了國內(nèi)在終端利用新興技術(shù)成功抵御此次攻擊的安全企業(yè)。和傳統(tǒng)網(wǎng)絡(luò)廠商定制的戰(zhàn)略不同，亞信安全將重點(diǎn)聚焦在“事前縝密的準(zhǔn)備工作”，并在這次事件中的表現(xiàn)很好地佐證了這一理念，在沒有防毒碼之前，就進(jìn)行了有效防護(hù)。

【W(wǎng)annaCry的勒索信息提示】

不過，勒索軟件也在攻防交替中迅速演化。目前，圍繞著勒索軟件新變種的開發(fā)、傳播，以及感染渠道與工具的交易，已經(jīng)形成了一個組織嚴(yán)密、規(guī)模龐大的勒索軟件地下灰色交易市場。亞信安全的研究人員發(fā)現(xiàn)，地下黑市非常流行的一種勒索軟件交易鏈條：黑客負(fù)責(zé)勒索軟件變種的開發(fā)，并可以將其轉(zhuǎn)讓給任何用戶，前提是他們必須支付一定比例的收益贖金(“分賬”的方式)。除了核心的勒索軟件產(chǎn)品外，地下黑色市場還提供與勒索行為相關(guān)的額外功能與服務(wù)，包括對于多平臺的支持、針對特定產(chǎn)品的漏洞進(jìn)行定制化等。

與此同時，機(jī)器學(xué)習(xí)所代表的人工智能在網(wǎng)絡(luò)安全領(lǐng)域同樣得到了迅速發(fā)展，其直接動因在于越來越復(fù)雜的網(wǎng)絡(luò)安全形勢，因?yàn)?，不論威脅的數(shù)量、或是威脅的處理速度，都已經(jīng)在很大程度上超過了人工的處理能力。就比如在2018年這一年，亞信安全共攔截了勒索軟件 207,722 次，在這些勒索軟件攻擊事件中，犯罪分子為了追求更大的利益，重點(diǎn)將目標(biāo)瞄準(zhǔn)了制造業(yè)、保險、石油和天然氣等網(wǎng)絡(luò)安全相對薄弱的企事業(yè)單位，如果仍然堅(jiān)持通過傳統(tǒng)的特征碼分析處理模式，根本無法處理，而且其對人力、網(wǎng)絡(luò)、資金成本的損耗也是驚人的。

可以說，機(jī)器學(xué)習(xí)、虛擬補(bǔ)丁管理、異常行為檢測、沙箱分析等技術(shù)手段在“WannaCry”及后續(xù)勒索軟件、挖礦病毒的災(zāi)情中發(fā)揮了重要作用。但我們認(rèn)為，在可預(yù)見的未來，網(wǎng)絡(luò)攻防的對抗都不會到達(dá)終點(diǎn)，網(wǎng)絡(luò)攻擊者也會利用人工智能、機(jī)器學(xué)習(xí)等技術(shù)來進(jìn)行自動化攻擊，這讓企業(yè)很難再豎起堅(jiān)不可摧的防線。因此，在不斷改進(jìn)和融入新工具的同時，企業(yè)還應(yīng)該將更多的資源投入到威脅發(fā)現(xiàn)之后的應(yīng)急響應(yīng)上，將損失降低到最小值。

未來安全防御是一場與時間賽跑的游戲

不論是勒索軟件還是其他手段混合而成的APT攻擊，網(wǎng)絡(luò)攻擊者無時無刻不在找尋滲透企業(yè)IT環(huán)境的途徑，其中一個最容易的通道，就是利用終端上的各種漏洞。有的時候這些漏洞可能影響極小、或是沒有被廠商公布，甚至人為的漏洞，就比如：只是操作人員用鼠標(biāo)點(diǎn)擊了一封冒名郵件，一場蓄謀已久的APT攻擊就此發(fā)作……

此時，雖然企業(yè)在正面已經(jīng)構(gòu)建起堅(jiān)固的安全防線，但是網(wǎng)絡(luò)攻擊者采用了迂回的策略，滲透到防線背后，讓網(wǎng)絡(luò)安全防護(hù)系統(tǒng)喪失作用。這就像是“馬奇諾防線”在網(wǎng)絡(luò)世界的再現(xiàn)：一旦企業(yè)的應(yīng)急響應(yīng)能力不足，那么其遭受的損失將以指數(shù)級別進(jìn)行擴(kuò)散。

所以，我們的網(wǎng)絡(luò)安全戰(zhàn)略思維必須重新擬定，也就是說做好最壞的打算：假設(shè)黑客已經(jīng)進(jìn)入到網(wǎng)絡(luò)，下一步怎么辦?

未來的安全防御將是一場與時間賽跑的比賽，時間決定了效果、能力和范圍。為何這樣說呢，這與“突破時間(breakout time)”和“1-10-60規(guī)則”密切相關(guān)。

“突破時間”是指入侵者發(fā)起攻擊到成功獲得系統(tǒng)權(quán)限的時間，而“1-10-60規(guī)則” 則是指：在1 min內(nèi)檢測出威脅;事件發(fā)生后在10 min內(nèi)尋找出解決方法;60 min內(nèi)修復(fù)并控制攻擊行為。這提醒著企業(yè)用戶要竭盡所能地提升應(yīng)急響應(yīng)時間，與時間賽跑、與黑客賽跑。

在惡意攻擊“搶跑”的條件，亞信安全為用戶爭取時間的方法則是最新發(fā)布的XDR戰(zhàn)略。即：通過精密編排的網(wǎng)絡(luò)空間恢復(fù)補(bǔ)救能力，逐漸形成了包含安全編排(security orchestration)、自動化(automation)和響應(yīng)(response)的SOAR框架，通過標(biāo)準(zhǔn)化的預(yù)案、專業(yè)化的調(diào)查工具和安全響應(yīng)專家團(tuán)隊(duì)的合力，形成XDR解決方案，利用精密編排的智能聯(lián)動技術(shù)將安全產(chǎn)品以及安全流程連接和整合起來，進(jìn)而協(xié)助用戶實(shí)現(xiàn)安全防御能力的進(jìn)階。其中，XDR中的“X”代表安全風(fēng)險的不確定性和變量，甚至未知，同時也包含了EDR，NDR，MDR等創(chuàng)新技術(shù)和專業(yè)化的管理平臺。

做好最壞的打算,未雨綢繆才是上策。從執(zhí)行時間點(diǎn)上看，亞信安全的XDR解決方案以面向失效為原則，“即使在最壞的結(jié)果面前，不再束手無策”，這可以進(jìn)一步解除用戶的擔(dān)憂。而從方案部署的核心要素來概括則包括：標(biāo)準(zhǔn)的預(yù)案、專業(yè)的調(diào)查工具、安全響應(yīng)專家。

1)標(biāo)準(zhǔn)的預(yù)案

這包括“準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”策略，進(jìn)而來確定用戶碰到不同的威脅類型的時候該怎么處置。

2)專業(yè)的調(diào)查工具

高效、精準(zhǔn)的應(yīng)急響應(yīng)需要專業(yè)設(shè)備層面的支撐，這些具備人工智能算法的設(shè)備能夠在服務(wù)器和終端內(nèi)核里面發(fā)現(xiàn)異?，F(xiàn)象，這是確保查清楚黑客到底做了什么、目的是什么，通過什么方式的關(guān)鍵。

3)安全響應(yīng)專家

安全專家的服務(wù)將覆蓋到準(zhǔn)備、執(zhí)行和結(jié)束階段，第一時間找到關(guān)鍵攻擊的線索，找出完整的證據(jù)鏈，同時提供配套的處理方法，并防止再次出現(xiàn)同類攻擊。

未來已至：以術(shù)識道，化道為術(shù)，術(shù)道合一

目前，全球數(shù)字化正滲透所有行業(yè)，跨界、融合會使行業(yè)界限變得越來越模糊，到2022年全球GDP的60%都會是數(shù)字化的，而每一個行業(yè)的增長都是由數(shù)字化增強(qiáng)的產(chǎn)品、運(yùn)營和觀念來驅(qū)動。在這個全數(shù)字化時代，現(xiàn)實(shí)世界與虛擬世界已相互交織，驅(qū)動著網(wǎng)絡(luò)安全行業(yè)從技術(shù)思想、方法論到產(chǎn)業(yè)思維進(jìn)行演進(jìn)，推動我們重新審視現(xiàn)有的安全防護(hù)模式。

正所謂有道無術(shù)尚可求，有術(shù)無道止于術(shù)。網(wǎng)絡(luò)安全的未來已來，亞信安全以“安全數(shù)字世界”為愿景，以“護(hù)航產(chǎn)業(yè)互聯(lián)網(wǎng)”為使命，全面發(fā)揮獨(dú)有的無代理、跨平臺的云安全技術(shù)，構(gòu)建網(wǎng)絡(luò)空間可信身份基石，打造終端安全智能聯(lián)動體系，并以全天候覆蓋的安全態(tài)勢感知場景，以及“10秒感知天下”的威脅情報技術(shù)、持續(xù)演進(jìn)的高級威脅治理戰(zhàn)略，創(chuàng)造網(wǎng)絡(luò)安全產(chǎn)業(yè)的新勢能和新動能，助力國家網(wǎng)絡(luò)強(qiáng)國夢。

“C3安全峰會”精彩預(yù)告

為了推我國網(wǎng)絡(luò)安全防護(hù)能力的進(jìn)階提升，亞信安全將在2019年5月7日召開的C3安全峰會上設(shè)定相關(guān)議題，共同探討當(dāng)下所面對的風(fēng)險變化與應(yīng)對手段。據(jù)了解，作為中國高規(guī)格的網(wǎng)絡(luò)安全行業(yè)閉門盛會，2019年C3安全峰會將開設(shè)8個技術(shù)和管理論壇與7個行業(yè)論壇，一同研討的數(shù)字經(jīng)濟(jì)時代的新挑戰(zhàn)與新機(jī)遇，未雨綢繆，共建安全的數(shù)字世界。