美國(guó)FBI（聯(lián)邦調(diào)查局）一位高管曾說(shuō)：世界上只有兩種企業(yè)，一種是知道自己已被黑客APT入侵的；另一種是還渾然未知的。

　　APT指高級(jí)持續(xù)性威脅（Advanced Persistent Threat），它的“高級(jí)”在于“用間諜打頭陣”。例如，谷歌遭受的著名的“極光行動(dòng)”中，黑客研究了一位谷歌普通員工與好友的共同愛(ài)好，偽裝成其好友向其發(fā)送郵件，員工訪問(wèn)郵件后中招，谷歌內(nèi)部終端被未知惡意程序滲透數(shù)月，竊取了大量信息。

　　“它潛伏下來(lái)，不做什么壞事，每天像正常‘員工’一樣來(lái)系統(tǒng)‘上班’，慢慢的傳統(tǒng)安全體系會(huì)認(rèn)為它并沒(méi)有攻擊的屬性?！眮喰虐踩ㄓ冒踩a(chǎn)品總經(jīng)理童寧解釋?zhuān)珹PT的善偽裝、善潛伏、伺機(jī)而動(dòng)，讓網(wǎng)絡(luò)安全的“老三樣”（防火墻、入侵檢測(cè)、殺毒軟件）防不勝防，迫切需要一種全新的網(wǎng)絡(luò)安全治理策略。為此，近日亞信安全發(fā)布安全高級(jí)威脅治理XDR戰(zhàn)略，將發(fā)現(xiàn)、響應(yīng)等能力組合起來(lái)，從監(jiān)測(cè)、發(fā)現(xiàn)、驗(yàn)傷、應(yīng)對(duì)、止損等多個(gè)節(jié)點(diǎn)上加強(qiáng)安全治理，打出安全“組合拳”，拆穿黑客中的間諜組織以及背后的主腦“黑手”。

　　攻擊手段“大集錦”，辨識(shí)黑客“門(mén)派”

　　現(xiàn)實(shí)中的案件發(fā)生后，警方會(huì)把周邊的攝像頭數(shù)據(jù)全部調(diào)出來(lái)，關(guān)聯(lián)一下，找到人物和時(shí)間線索，很快可以抓到罪犯。但是在虛擬的網(wǎng)絡(luò)環(huán)境里，人們看不到人，看到的只有程序、算法、文件等虛擬的字符串，如何鎖定黑客呢？

　　“不同的黑客有不同的‘招法’，就像我們?cè)谖鋫b故事里經(jīng)常看到的每一個(gè)派別都有自己的招法，其實(shí)在安全行業(yè)里面也是這樣，一個(gè)黑客是哪個(gè)組織的，可以通過(guò)看他的攻擊手法和特征來(lái)判斷。”亞信安全通用產(chǎn)品管理副總經(jīng)理劉政平說(shuō)，因此針對(duì)黑客的行為去建立一些模型或者規(guī)則，可以對(duì)黑客的攻擊進(jìn)行分析判斷，這樣的研究被稱(chēng)為IOC，即黑客攻擊行為的研究。因此，情報(bào)機(jī)制非常重要，“雖然黑客在暗、我們?cè)诿鳎珜⑺麄兊闹虢z馬跡綜合起來(lái)，將非常有助于對(duì)未知威脅的防范?！?/p>

　　一個(gè)企業(yè)對(duì)于威脅的偵測(cè)能力與其掌握的威脅情報(bào)體量和分析威脅情報(bào)的能力密切相關(guān)。這就好比一個(gè)人的知識(shí)廣度和分析能力決定了他的認(rèn)知能力。如何能夠?qū)τ谕{既不“風(fēng)聲鶴唳”，也不“馬虎大意”呢？

　　為了更準(zhǔn)確預(yù)測(cè)黑客試探背后的威脅，亞信安全形成了本地和云端威脅情報(bào)雙回路的體系。劉政平解釋?zhuān)热绠?dāng)企業(yè)中有大量的網(wǎng)絡(luò)數(shù)據(jù)流，或者惡意文本，該體系可以據(jù)此通過(guò)威脅情報(bào)去檢索，看看這種東西有沒(méi)有在企業(yè)其他地方出現(xiàn)過(guò)、發(fā)生過(guò)，它的攻擊本質(zhì)是什么，如何預(yù)防。如果本地沒(méi)有匹配的威脅情報(bào)，將進(jìn)一步把這些異常表現(xiàn)放到云端威脅情報(bào)庫(kù)匹配，尋找蛛絲馬跡。“前者是基于我們幫助企業(yè)來(lái)做相關(guān)的知識(shí)庫(kù)和知識(shí)體系；后者是購(gòu)買(mǎi)、共建的全球范圍情報(bào)體系?！眲⒄秸f(shuō)，這兩個(gè)體系互為補(bǔ)充、互通有無(wú)。當(dāng)本地威脅情報(bào)確認(rèn)后，會(huì)交給云端威脅情報(bào)共享給全球的其他用戶(hù)使用。其他用戶(hù)的本地情報(bào)也會(huì)參與組建威脅情報(bào)，共享共用。

　　練就“火眼金睛”，定性、定量查出真威脅

　　有安全人士慨嘆：有了APT，網(wǎng)絡(luò)的世界也不再是“非黑即白”了。

　　以往的病毒就是病毒，它們的特征會(huì)被集合進(jìn)病毒庫(kù)，列進(jìn)“黑名單”中。系統(tǒng)不斷更新病毒庫(kù)，就能不斷識(shí)別這些被通緝的“病毒”。“人們?cè)絹?lái)越認(rèn)識(shí)到，防范已知威脅遠(yuǎn)遠(yuǎn)不夠，未知威脅、高級(jí)威脅開(kāi)始對(duì)我們的企業(yè)產(chǎn)生巨大的破壞?！眮喰虐踩a(chǎn)品總監(jiān)白日說(shuō)，例如，伊朗布什爾核電站遭到Stuxnet蠕蟲(chóng)攻擊、烏克蘭電廠的勒索病毒爆發(fā)……這意味著殺毒軟件、身份認(rèn)證、防火墻的“防守打法”開(kāi)始不奏效了。

　　2010年開(kāi)始，包括機(jī)器學(xué)習(xí)、行為學(xué)習(xí)、大數(shù)據(jù)、關(guān)聯(lián)分析在內(nèi)的可預(yù)測(cè)技術(shù)開(kāi)始幫助人們發(fā)現(xiàn)未知的可疑威脅。然而，單純地發(fā)現(xiàn)帶來(lái)的是“告警”無(wú)數(shù)的窘?jīng)r。

　　“就好像每天有無(wú)數(shù)的嫌犯進(jìn)入警察的視野，怎么分辨轉(zhuǎn)變成主要問(wèn)題。”白日說(shuō)，企業(yè)需要處理和響應(yīng)的威脅告警越來(lái)越多，相當(dāng)大部分需要人工進(jìn)行干預(yù)。企業(yè)的痛點(diǎn)是，人力不夠，不會(huì)處理。

　　“企業(yè)看到了告警，但看不懂威脅，不知道該如何判斷威脅是不是真實(shí)發(fā)生了，也不知道該怎么去確認(rèn)這個(gè)威脅的本質(zhì)，弄清威脅的攻擊者有什么意圖，隨后會(huì)產(chǎn)生什么樣的影響?！卑兹战忉?zhuān)簿褪钦f(shuō)，大部分收到威脅告警的企業(yè)不知道下一步怎么去作定性和定量的分析，定性是弄清楚黑客的意圖，定量是弄清損失情況及被攻擊到哪一步。

　　“定性分析首先判斷告警是真還是假；其次判斷威脅的本質(zhì)是經(jīng)濟(jì)類(lèi)的犯罪，還是民事類(lèi)的犯罪，例如類(lèi)似于加密DDoS軟件攻擊，還是一個(gè)惡意釣魚(yú)的攻擊，或挖礦攻擊等，通過(guò)攻擊模式判斷意圖?！卑兹战忉?zhuān)疃韧{分析設(shè)備可以在沙箱的環(huán)境下，高效率地模擬運(yùn)行外部攻擊，判斷攻擊意圖。

　　定量分析通過(guò)網(wǎng)絡(luò)取證和主機(jī)取證的技術(shù)，把黑客的進(jìn)入路徑、留下的痕跡進(jìn)行追蹤和分析。白日解釋?zhuān)腿缤谛^(qū)的攝像頭上發(fā)現(xiàn)黑客進(jìn)入到小區(qū)之后怎么進(jìn)入到家里，又做了什么事情一樣，還原事件的經(jīng)過(guò)。通過(guò)進(jìn)行場(chǎng)景回溯，能夠得知網(wǎng)絡(luò)上的主機(jī)或者終端遭受哪些感染、破壞或竊取。

　　精密編排“預(yù)案”，迅速應(yīng)急處理

　　掌握了一切情報(bào)，并且還原了案件的發(fā)生，最終是為了實(shí)施“抓捕”。

　　“為了做到快速響應(yīng)必須有‘預(yù)案’，我們可以根據(jù)威脅的性質(zhì)，通過(guò)威脅響應(yīng)的腳本來(lái)執(zhí)行相關(guān)的響應(yīng)策略。”童寧解釋?zhuān)缃拥搅思用艿睦账鬣]件攻擊，可以先到郵件服務(wù)器上把相關(guān)的郵件刪除，然后通過(guò)終端（電腦）來(lái)做進(jìn)一步的恢復(fù)處理，最后再在網(wǎng)關(guān)上建“防護(hù)網(wǎng)”防止類(lèi)似的加密勒索郵件再次攻擊。

　　“預(yù)案”是為了告訴企業(yè)，在受到某類(lèi)攻擊之后，按照一定的流程操作就可以把損失或影響減到最小，并且提高自身的防護(hù)能力。

　　“我們提出通過(guò)精密編排能力打造一套安全聯(lián)動(dòng)運(yùn)維體系的理念?！卑兹毡硎?，利用精密編排的聯(lián)動(dòng)安全解決方案將安全產(chǎn)品以及安全流程連接和整合起來(lái)，通過(guò)全面收集的安全數(shù)據(jù)和告警，集成人工專(zhuān)家以及機(jī)器學(xué)習(xí)的力量來(lái)進(jìn)行事故分析。

　　為此，亞信安全提出將整個(gè)威脅發(fā)現(xiàn)、處理、響應(yīng)流程中的“準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”7個(gè)階段整合為XDR方案。

　　劉政平解釋?zhuān)骸癤是指各種可能的場(chǎng)景，不管黑客在什么場(chǎng)景攻擊，工業(yè)還是車(chē)聯(lián)網(wǎng)，都要有相應(yīng)的應(yīng)對(duì)方式。D是指?jìng)鞲衅鳎谔摂M世界，不管是在云的架構(gòu)上，還是網(wǎng)絡(luò)架構(gòu)上，還是在終端層面，都要有不同的監(jiān)控機(jī)制和數(shù)據(jù)的還原機(jī)制。R是指響應(yīng)，通過(guò)精密編排，根據(jù)不同的業(yè)務(wù)特征、不同的攻擊來(lái)編排精準(zhǔn)的響應(yīng)，而且越來(lái)越傾向于自動(dòng)化。”

　　什么樣的技術(shù)能讓響應(yīng)來(lái)得更快、更簡(jiǎn)單？

　　童寧認(rèn)為，“紅客”經(jīng)驗(yàn)的積累和提煉，所形成的響應(yīng)預(yù)案將能夠推動(dòng)APT治理能力的進(jìn)化?！癤DR是一個(gè)開(kāi)放的方案，需要未來(lái)更多的經(jīng)驗(yàn)、數(shù)據(jù)和技術(shù)的積累，目的是用融合力改變業(yè)內(nèi)分散片面的堆疊式的安全應(yīng)對(duì)‘招數(shù)’，形成‘組合拳’，應(yīng)對(duì)處心積慮的APT?！保ㄓ浾?張佳星）