長(zhǎng)達(dá)197天的網(wǎng)絡(luò)攻防戰(zhàn)，勝利從來只屬于專業(yè)主義

在肯尼亞選手基普喬格沖進(jìn)終點(diǎn)線的那一刻，一項(xiàng)新的世界紀(jì)錄誕生了：人類馬拉松成績(jī)首次邁入2小時(shí)大關(guān)。

有利的天氣，更小的賽道坡度，41位冠軍級(jí)配速員，最新科技的定制跑鞋......在一系列“武裝到牙齒”的細(xì)節(jié)控制下，基普喬格才能夠如此超越極限。

事實(shí)上，人類早已過了僅僅通過個(gè)人努力就能達(dá)到極限的時(shí)代。和基普喬格一樣，無數(shù)奧運(yùn)冠軍、世界紀(jì)錄創(chuàng)造者的背后，都站著專業(yè)主義的身影。

體育競(jìng)技是如此，網(wǎng)絡(luò)攻防更是如此。在長(zhǎng)達(dá)三十多年的網(wǎng)絡(luò)安全發(fā)展中，網(wǎng)絡(luò)世界已成為“炮火紛飛”的戰(zhàn)場(chǎng)，攻防之間的對(duì)抗也走向了專業(yè)化。

數(shù)據(jù)顯示，近五年內(nèi)安全泄露事件增長(zhǎng)67%，僅2018年網(wǎng)絡(luò)犯罪攻擊造成損失1300億。在安全威脅不停增長(zhǎng)，造成的損失越來越高的殘酷現(xiàn)實(shí)下，還有一個(gè)數(shù)據(jù)更加令人心驚：

平均攻擊識(shí)別時(shí)間（MTTD）增加至197天。

這意味著，攻擊方是有組織、有規(guī)劃的長(zhǎng)期調(diào)研作案，在摸清了系統(tǒng)的漏洞和特點(diǎn)之后，再針對(duì)性的發(fā)起攻擊。

相比之下，“手無寸鐵”的企業(yè)，只能眼睜睜的看著自己變成“活靶子”，甚至連還手的資格都沒有。

197天的網(wǎng)絡(luò)攻防戰(zhàn)，企業(yè)就贏不了嗎？

安全防護(hù)模式的重新審視

安全界有句名言：“未知攻焉知防，未知防焉知攻”。在回答這個(gè)問題之前，企業(yè)先要搞清楚對(duì)手和雙方實(shí)力的差異，才有對(duì)戰(zhàn)的可能性。

30年前，計(jì)算機(jī)攻擊還只是單個(gè)的病毒。30年后的今天，云計(jì)算、物聯(lián)網(wǎng)、5G等新技術(shù)催生的大量新型網(wǎng)絡(luò)威脅，已經(jīng)不局限在病毒攻擊這種單一的手段上。

除了攻擊手段變得多樣化，攻擊策略也更加復(fù)雜和隱蔽，曾經(jīng)還能被防病毒、防火墻、IPS等傳統(tǒng)安全設(shè)備攔住的威脅，如今已經(jīng)越來越難被發(fā)現(xiàn)了。

面對(duì)專業(yè)化的黑客攻擊，企業(yè)方安全運(yùn)維的現(xiàn)狀卻慘不忍睹：

·國(guó)內(nèi)企業(yè)信息安全投入僅為2%-3%，預(yù)算嚴(yán)重不足；

·超過50%企業(yè)使用多種獨(dú)立安全技術(shù)，安全產(chǎn)品碎片化導(dǎo)致信息孤島；

·超過55%的IT安全專家每天收到10000+條安全告警，難以發(fā)現(xiàn)未知的威脅；

·2900萬安全人員缺口，缺乏訓(xùn)練有素的安全人員進(jìn)行日常運(yùn)維......

從威脅的發(fā)現(xiàn)到響應(yīng)，攻防雙方正在產(chǎn)生越來越大的鴻溝?；诓呗院鸵?guī)則的傳統(tǒng)安全設(shè)備，甚至是基于行為分析的安全軟件，在強(qiáng)大的網(wǎng)絡(luò)攻擊下似乎也顯得力不從心。

這場(chǎng)實(shí)力懸殊的對(duì)戰(zhàn)，驅(qū)動(dòng)著網(wǎng)絡(luò)安全行業(yè)從技術(shù)思想、方法論到產(chǎn)業(yè)思維進(jìn)行演進(jìn)，重新審視現(xiàn)有的安全防護(hù)模式，下一代威脅治理技術(shù)理念由此誕生：

威脅可感知，安全可運(yùn)維。

短短十個(gè)字，沉淀了中國(guó)安全領(lǐng)域領(lǐng)跑者——亞信安全多年來的技術(shù)和實(shí)戰(zhàn)經(jīng)驗(yàn)，并凝結(jié)為一個(gè)簡(jiǎn)潔而強(qiáng)大的“XDR全景”解決方案，以有效解決持續(xù)演化的高級(jí)威脅和安全運(yùn)營(yíng)能力不匹配的難題。

亞信安全的“XDR交響樂”

先說威脅可感知。

傳統(tǒng)安全防御策略，是將大量的安全產(chǎn)品組合起來，從網(wǎng)關(guān)到節(jié)點(diǎn)都部署一套安全設(shè)備，互相之間沒有關(guān)聯(lián)。一旦發(fā)現(xiàn)異常行為，安全設(shè)備各自診斷和響應(yīng)，屬于典型的“頭痛醫(yī)頭，腳痛醫(yī)腳”。

然而，如今的未知威脅無處不在，不僅能夠巧妙的躲開防御規(guī)則，不再輕易的被單個(gè)安全設(shè)備“看見”，而且能夠利用安全產(chǎn)品之間的裂縫進(jìn)行攻擊。大量的安全信息孤島，導(dǎo)致了安全威脅的實(shí)時(shí)存在。

那么，是否存在一種威脅治理技術(shù)，能夠?qū)⑦@些安全產(chǎn)品的數(shù)據(jù)關(guān)聯(lián)起來，以整體性的視角來防御未知威脅呢？

在亞信安全首席研發(fā)官吳湘寧看來，如同5億年前，物種進(jìn)化史上關(guān)鍵的一步——三葉蟲演化出適應(yīng)環(huán)境的感知能力，從而進(jìn)入生命大爆發(fā)的寒武紀(jì)時(shí)代，在網(wǎng)絡(luò)威脅持續(xù)升級(jí)的今天，威脅治理技術(shù)也演化出最為關(guān)鍵的能力：感知。

擁有感知能力的安全防護(hù)系統(tǒng)，不再孤立的看待任何一個(gè)安全事件，而是通過跨越安全層，達(dá)成關(guān)聯(lián)分析，歸并離散的威脅告警，提煉帶有上下文擴(kuò)展屬性的安全事件，優(yōu)先聯(lián)動(dòng)處理威脅，從而系統(tǒng)化的提高防御能力。

在技術(shù)實(shí)現(xiàn)上，感知能力來源于網(wǎng)絡(luò)及終端檢測(cè)工具、高級(jí)威脅情報(bào)池等專業(yè)調(diào)查工具對(duì)威脅的檢測(cè)和響應(yīng)，同時(shí)基于大數(shù)據(jù)技術(shù)對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析或者溯源，以便在海量的數(shù)據(jù)中找到潛伏的威脅。

據(jù)吳湘寧介紹，這正是亞信安全新一代XDR平臺(tái)的技術(shù)出發(fā)點(diǎn)，它將亞信安全的王牌技術(shù)——終端檢測(cè)及響應(yīng)EDR、網(wǎng)絡(luò)檢測(cè)及響應(yīng)NDR聯(lián)動(dòng)起來，并結(jié)合XDR數(shù)據(jù)湖（Data Lake）、威脅運(yùn)維平臺(tái)（UAP）等工具對(duì)威脅進(jìn)行大數(shù)據(jù)分析，從而在云管端形成一整套的威脅感知能力。

再說安全可運(yùn)維。

Gartner數(shù)據(jù)表明，現(xiàn)在越來越多的SOC（現(xiàn)代安全運(yùn)營(yíng)中心）正在將從威脅預(yù)防轉(zhuǎn)變?yōu)橥{檢測(cè)和主動(dòng)響應(yīng)。到2022年，50%的SOC將包括事件響應(yīng)、威脅情報(bào)和威脅發(fā)現(xiàn)能力。

雖然企業(yè)SOC趨勢(shì)向好，但現(xiàn)實(shí)卻很殘酷，很多企業(yè)的安全人員有苦難言：

企業(yè)IT系統(tǒng)龐雜，安全運(yùn)維難度很高，需要大量的人力資源投入；安全平臺(tái)告警太多，無法判斷真正的威脅所在；防御手段滯后，防御永遠(yuǎn)跟不上威脅的發(fā)展步伐......

更不用說大多數(shù)的中小企業(yè)，連專業(yè)的安全運(yùn)維人員都沒有，完全不具備安全防護(hù)的能力。

在現(xiàn)實(shí)的困境面前，很多企業(yè)出現(xiàn)了一種“怪現(xiàn)象”：買了不少安全設(shè)備，卻連出廠設(shè)置都沒有改過，大量的安全投入就此“打了水漂”。

未知威脅當(dāng)前，打敗企業(yè)的第一道關(guān)口竟然是“用不起來”的安全產(chǎn)品。

為了降低企業(yè)用戶的使用門檻和運(yùn)營(yíng)壓力，亞信安全開始思考，如何為用戶提供能夠快速落地的威脅檢測(cè)與防護(hù)的能力。對(duì)此，亞信安全提出了四大發(fā)力方向：

第一，可落地的威脅感知能力。將XDR平臺(tái)威脅感知的能力，以標(biāo)準(zhǔn)化產(chǎn)品和行業(yè)解決方案的方式，提供給客戶快速落地。

第二，標(biāo)準(zhǔn)化的威脅預(yù)案。將亞信安全多年經(jīng)驗(yàn)總結(jié)出的威脅預(yù)案內(nèi)置到XDR平臺(tái)中，幫助客戶在安全專業(yè)知識(shí)匱乏的情況下去應(yīng)對(duì)各種威脅。

第三，自動(dòng)化編排和聯(lián)動(dòng)的能力。XDR平臺(tái)上的所有產(chǎn)品，能夠自動(dòng)化的完成安全協(xié)同和安全編排，發(fā)現(xiàn)和響應(yīng)威脅更加的自動(dòng)化、智能化。這樣能夠有效降低安全人員的工作壓力，改進(jìn)告警分類質(zhì)量和速度等。

第四，可托管的安全專家團(tuán)隊(duì)。對(duì)于沒有安全能力或者安全能力較弱的企業(yè)，由AI與安全專家協(xié)同工作的托管運(yùn)維服務(wù)MDR，將有力的解決企業(yè)安全運(yùn)維的痛點(diǎn)。

總體而言，亞信安全不再把安全防護(hù)看做是一個(gè)孤立的場(chǎng)景，而是把威脅感知和安全運(yùn)維能力有效結(jié)合在一起，這正是亞信安全“XDR全景”解決方案的核心所在，持續(xù)不斷的為客戶提供安全解決方案，將安全真正落到實(shí)處。

正如亞信安全總裁陸光明所說：“亞信安全協(xié)助用戶從被動(dòng)安全事件處理向主動(dòng)態(tài)勢(shì)感知轉(zhuǎn)變，全面提升高級(jí)威脅治理中的恢復(fù)補(bǔ)救能力，使用戶真正具備高適應(yīng)性能力、風(fēng)險(xiǎn)預(yù)測(cè)能力、遭受入侵后的對(duì)抗能力、被攻擊后的恢復(fù)能力，確保數(shù)據(jù)泄露損失最小化?！?/p>

如同一臺(tái)大型交響樂，“XDR全景”擁有了完整的演奏單元——云管端全線產(chǎn)品，豐富的樂譜——威脅預(yù)案，精心的編排——自動(dòng)化和聯(lián)動(dòng)，專業(yè)的樂手——安全專家團(tuán)隊(duì)，以行云流水的頂尖技術(shù)，為用戶奏響恢弘的安全之歌。

安全專業(yè)主義的勝利

回到開頭的問題，企業(yè)能夠在197天內(nèi)打贏網(wǎng)絡(luò)攻防戰(zhàn)嗎？讓我們看看XDR全景的實(shí)戰(zhàn)表現(xiàn)。

2019年3月11日，早上6點(diǎn)09分，某大型銀行的DDEI郵件網(wǎng)關(guān)發(fā)現(xiàn)一個(gè)可疑病毒的釣魚郵件。XDR平臺(tái)首先把它送到沙箱，經(jīng)過沙箱判斷之后，在6點(diǎn)17分完成檢測(cè)，確認(rèn)它是全新的勒索病毒。

根據(jù)提前的預(yù)案，XDR自動(dòng)把相關(guān)的威脅情報(bào)發(fā)送給云管端側(cè)的產(chǎn)品。6點(diǎn)19分，這家銀行的幾十萬臺(tái)終端完成防護(hù)。

從發(fā)現(xiàn)未知威脅到完成響應(yīng)，XDR總共只用了10分鐘。

2019年6月初，護(hù)網(wǎng)行動(dòng)期間，在攻方大規(guī)模的IP攻擊下，某大型銀行多臺(tái)TDA（威脅發(fā)現(xiàn)設(shè)備）每天告警量高達(dá)80萬條。

經(jīng)過UAP平臺(tái)（威脅運(yùn)維平臺(tái)）進(jìn)行告警的匯總和過濾，并且通過預(yù)先設(shè)計(jì)好的APP接口，發(fā)送給分組設(shè)備，對(duì)攻擊進(jìn)行分析，之后把形成的威脅情報(bào)，送給網(wǎng)絡(luò)側(cè)的阻斷產(chǎn)品Deep Edge，以自動(dòng)化和精密編排的方式極大提高了效率。

相比其他安全廠商派出了近百人的安全運(yùn)維團(tuán)隊(duì)駐場(chǎng)，亞信安全不僅只派出了幾名員工，而且在XDR平臺(tái)的支撐下，人工不需要做任何事情。

在輕松對(duì)抗激烈攻擊的同時(shí)，亞信安全還成為護(hù)網(wǎng)行動(dòng)中第一個(gè)發(fā)現(xiàn)0day漏洞的安全廠商。

2019年6月29號(hào)，某大型能源企業(yè)的安全設(shè)備ROA規(guī)則報(bào)警，然而在全球最新威脅情報(bào)中并沒有這個(gè)文件惡意的告知。

亞信安全XDR開始調(diào)用NDR、EDR提供數(shù)源分析，發(fā)現(xiàn)原來這是一次利用未知漏洞發(fā)起的攻擊行為。由于在漏洞沒有攻破之前就被XDR偵測(cè)出來，大大減少了企業(yè)客戶的運(yùn)維壓力。

為什么亞信安全XDR能夠在安全實(shí)踐中率獲佳績(jī)，讓眾多企業(yè)客戶吃下“定心丸”？背后的重要原因，正是亞信安全始終堅(jiān)持的“安全專業(yè)主義”——理念和技術(shù)的迭代創(chuàng)新，以及持續(xù)的行業(yè)深耕。

自收購趨勢(shì)科技中國(guó)以來，亞信安全已分別在云安全、身份安全、終端安全、態(tài)勢(shì)感知、高級(jí)威脅治理，以及威脅情報(bào)領(lǐng)域擁有業(yè)界領(lǐng)先技術(shù)，同時(shí)亞信安全還是首家利用AI等新興技術(shù)防御勒索病毒的安全廠商，是中國(guó)安全領(lǐng)域當(dāng)之無愧的領(lǐng)跑者。

如今，XDR全景解決方案的落地，是對(duì)自身原有產(chǎn)品的升級(jí)和改造，可以說是亞信安全四年以來集大成的一個(gè)產(chǎn)品，擁有很高的技術(shù)壁壘，具體來看：

首先，威脅感知需要長(zhǎng)時(shí)間的技術(shù)和知識(shí)沉淀，不是所有廠商都能實(shí)現(xiàn)。

一方面，基于威脅情報(bào)，安全廠商要有自己核心的技術(shù)和規(guī)則；另一方面，安全相關(guān)數(shù)據(jù)的積累和質(zhì)量決定了感知能力的強(qiáng)弱。

亞信安全之所以擁有強(qiáng)大的未知威脅感知能力，來源于多年的觀察和經(jīng)驗(yàn)積累。

據(jù)亞信安全首席架構(gòu)師徐業(yè)禮介紹，黑客對(duì)系統(tǒng)或者應(yīng)用的攻擊，其實(shí)有規(guī)律可循?？此评寐┒?、硬件、操作系統(tǒng)的攻擊方式多樣且復(fù)雜，但所有的攻擊方式總結(jié)起來大概有兩百多種。

亞信安全將這些核心攻擊點(diǎn)全部記錄在EDR，NDR等設(shè)備中，并通過威脅預(yù)案、大數(shù)據(jù)分析和溯源等方式，從而有效感知威脅，打擊威脅。

其次，高度的產(chǎn)品化，體現(xiàn)著亞信安全的整體技術(shù)實(shí)力，例如：在對(duì)實(shí)時(shí)數(shù)據(jù)進(jìn)行準(zhǔn)確分析或者溯源的同時(shí)，還能不占用大量的系統(tǒng)、帶寬、存儲(chǔ)資源；多個(gè)安全產(chǎn)品能夠聯(lián)動(dòng)起來，形成標(biāo)準(zhǔn)化的整體安全能力，并在眾多企業(yè)客戶中快速部署和應(yīng)用起來。

再次，在自動(dòng)化和編排方面，亞信安全XDR與Gartner提出的SOAR概念不謀而合，把各種安全能力通過不同的安全腳本來執(zhí)行，其核心在于大量基于攻防場(chǎng)景的劇本，以及劇本中每個(gè)環(huán)節(jié)的腳本執(zhí)行，這同樣考驗(yàn)著廠商的知識(shí)庫和經(jīng)驗(yàn)沉淀。

目前，亞信安全已經(jīng)積累了上千個(gè)劇本和執(zhí)行腳本，通過快速靈巧的精密編排，使XDR適應(yīng)更廣泛的客戶需求。

最后，在安全運(yùn)維上，亞信安全實(shí)現(xiàn)了“大聯(lián)動(dòng)和小聯(lián)動(dòng)”的行業(yè)賦能。

由于亞信安全在運(yùn)營(yíng)商、政府、金融、能源等行業(yè)深耕多年，對(duì)于大型客戶，亞信安全能夠提供跨安全廠商的整體“大聯(lián)動(dòng)”解決方案，將XDR產(chǎn)品核心能力與客戶具體業(yè)務(wù)場(chǎng)定制化能力結(jié)合起來。

對(duì)于中小客戶，能夠以易于落地的XDR全景解決方案，為更多客戶提供“小聯(lián)動(dòng)”的系統(tǒng)化防御能力。

體育競(jìng)技的專業(yè)主義是追求極限，安全的專業(yè)主義是對(duì)抗攻擊。在網(wǎng)絡(luò)攻擊和未知威脅日漸猖獗的今天，亞信安全以“威脅可感知，安全可運(yùn)維”為內(nèi)核，以“XDR全景”為利刃，將安全技術(shù)賦能給成千上萬的企業(yè)，這是安全專業(yè)主義的勝利，也是安全理念與技術(shù)迭代創(chuàng)新的時(shí)代標(biāo)桿。

微信公眾賬號(hào)：科技云報(bào)道

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。