近日，國(guó)內(nèi)威脅情報(bào)領(lǐng)軍企業(yè)微步在線在美國(guó)RSA大會(huì)上宣布，正式發(fā)布Threat Detection Platform-Server(TDP-S)，這標(biāo)志著國(guó)內(nèi)的威脅情報(bào)產(chǎn)品面向的場(chǎng)景更細(xì)分、更加專業(yè)化。

從國(guó)內(nèi)第一批威脅情報(bào)創(chuàng)業(yè)公司成立到現(xiàn)在，已經(jīng)過(guò)去了將近兩年半的時(shí)間。毫不夸張地說(shuō)，國(guó)內(nèi)威脅情報(bào)市場(chǎng)已經(jīng)從蠻荒時(shí)期邁入了開化時(shí)代，國(guó)內(nèi)的威脅情報(bào)廠商從最早的提供數(shù)據(jù)服務(wù)慢慢進(jìn)化為提供數(shù)據(jù)、軟硬件產(chǎn)品、咨詢的一體化服務(wù)。那么，為什么微步在線選擇在此時(shí)將產(chǎn)品細(xì)化?威脅檢測(cè)又怎樣做到場(chǎng)景化?

威脅不僅存在于辦公網(wǎng)，生產(chǎn)網(wǎng)中招更扎心

微步在線產(chǎn)品負(fù)責(zé)人黃雅芳介紹說(shuō)，近兩年針對(duì)企業(yè)數(shù)據(jù)中心內(nèi)的業(yè)務(wù)系統(tǒng)的威脅和攻擊態(tài)勢(shì)表現(xiàn)得更加嚴(yán)峻。“企業(yè)的數(shù)據(jù)中心承載著核心業(yè)務(wù)系統(tǒng)，面臨業(yè)務(wù)連續(xù)性及安全合規(guī)等多方面的考驗(yàn)，威脅不僅存在于辦公網(wǎng)，在生產(chǎn)環(huán)境中也同樣存在，并且危害更為嚴(yán)重。”

正因如此，微步在線將旗下的威脅檢測(cè)平臺(tái)做了升級(jí)，于2018年4月正式推出針對(duì)服務(wù)器版本的威脅檢測(cè)平臺(tái)(“TDP-S”)。TDP-S平臺(tái)針對(duì)數(shù)據(jù)中心環(huán)境提供特定威脅檢測(cè)未知木馬下載、連接控制服務(wù)器端行為、挖礦木馬等。亦可檢測(cè)被控服務(wù)器的特定行為，如發(fā)送垃圾郵件、作為反向代理服務(wù)器、對(duì)外發(fā)起掃描等。

黃雅芳說(shuō)：“TDP-S最大的特點(diǎn)就是檢測(cè)能力高度貼合生產(chǎn)網(wǎng)的場(chǎng)景。如果用燈光來(lái)做類比，TDP-S能夠在生產(chǎn)網(wǎng)中照亮更多的角落，讓安全人員看到更遠(yuǎn)的地方。”目前TDP-S能夠支持的典型場(chǎng)景有：服務(wù)器失陷檢測(cè)、黑客木馬特征檢測(cè)、DGA域名訪問檢測(cè)、黑客后門/DDoS木馬檢測(cè)、挖礦/反向代理/群發(fā)垃圾郵件檢測(cè)等。

與場(chǎng)景結(jié)合的威脅情報(bào)應(yīng)用，是如何實(shí)踐的?

我們以生產(chǎn)網(wǎng)場(chǎng)景下的威脅情報(bào)應(yīng)用為例來(lái)探討這一問題。生產(chǎn)網(wǎng)場(chǎng)景中有一個(gè)典型現(xiàn)象：服務(wù)器對(duì)外連接域名/主機(jī)和下載的行為，要比辦公網(wǎng)中的同樣行為可疑度更高一些。

比如，辦公網(wǎng)中個(gè)人和公司的設(shè)備對(duì)外訪問域名/網(wǎng)站是十分常規(guī)的操作，但是如果這種連接行為在嚴(yán)格控制互聯(lián)網(wǎng)訪問的機(jī)房或數(shù)據(jù)中心里出現(xiàn)，就很有必要查一查是不是被攻擊者遠(yuǎn)程控制、變成了所謂的“肉雞”。而微步在線的出站威脅情報(bào)正好可以幫助查驗(yàn)連接的域名/網(wǎng)站是否安全，這樣，安全人員就能更快地定位出失陷的服務(wù)器。

再比如，生產(chǎn)網(wǎng)中的一臺(tái)服務(wù)器突然開始下載不明程序，這很有可能是木馬攻擊，此時(shí)就要引入可疑URL檢測(cè)來(lái)查看服務(wù)器是否訪問了惡意網(wǎng)站，同時(shí)再根據(jù)TDP-S提供的黑客木馬特征檢測(cè)來(lái)進(jìn)一步判定。據(jù)了解，微步在線的黑客狩獵系統(tǒng)追蹤全球100余個(gè)黑客團(tuán)伙，測(cè)試提取3000余條木馬通信協(xié)議特征并將規(guī)則特征用于檢測(cè)。

這些典型場(chǎng)景并不是拍腦袋想出來(lái)的，而是研究黑客攻擊鏈的結(jié)果。黃雅芳舉了一個(gè)很典型的例子：“比如黑客利用WebLogic漏洞操縱服務(wù)器來(lái)挖礦，在這個(gè)過(guò)程中會(huì)有很多代表性的行為，首先黑客通過(guò)漏洞攻陷服務(wù)器，會(huì)訪問惡意的IP下載挖礦的工具，這些訪問行為和下載行為就會(huì)被TDP-S檢測(cè)，而且服務(wù)器最終被用來(lái)挖礦的時(shí)候，會(huì)去連接礦池，這也是一種典型的會(huì)被TDP-S檢測(cè)到的行為。這一連串的行為會(huì)被TDP-S完整呈現(xiàn)出來(lái)，企業(yè)安全人員就能對(duì)威脅看得更深、更遠(yuǎn)，能夠快速了解黑產(chǎn)最新的進(jìn)攻模式，從而更有效地進(jìn)行防范。”

威脅情報(bào)場(chǎng)景化，為什么現(xiàn)在就要實(shí)現(xiàn)?

黃雅芳認(rèn)為，威脅情報(bào)應(yīng)用的細(xì)分化、場(chǎng)景化是必然趨勢(shì)，行業(yè)變化和市場(chǎng)需求共同推動(dòng)著威脅情報(bào)的應(yīng)用水準(zhǔn)，現(xiàn)在已經(jīng)達(dá)到了一個(gè)場(chǎng)景化的需求點(diǎn)。

一方面，是威脅情報(bào)行業(yè)的變化。根據(jù)FireEye最新發(fā)布的數(shù)據(jù)，2017年全球平均MTTD在101天，比2016年的99天增加了2天，然而只有美國(guó)的MTTD有明顯的下降，歐洲地區(qū)和亞太地區(qū)都有較強(qiáng)烈的反彈，歐洲的MTTD從106天增加到175天，而亞太地區(qū)的MTTD則從172天猛增到498天。

令人咋舌的增幅，其實(shí)意味著埋藏在企業(yè)深處的病灶開始得到確診，隨著威脅情報(bào)行業(yè)的普及，在行業(yè)中那些隱匿得更深更久的威脅開始浮出水面了，用戶對(duì)于威脅情報(bào)的需求更明確，消費(fèi)意識(shí)也更強(qiáng)烈。然而這也暴露出了亞太地區(qū)的威脅情報(bào)行業(yè)與歐美相比，起步晚、發(fā)展空間大、專業(yè)程度有待提升的現(xiàn)實(shí)。更具有針對(duì)性的威脅情報(bào)產(chǎn)品還沒有大規(guī)模投入使用，威脅情報(bào)的場(chǎng)景化一定是大勢(shì)所趨。

另一方面，是客戶在實(shí)際運(yùn)用威脅情報(bào)時(shí)產(chǎn)生了更深層需求。“服務(wù)器端的防護(hù)不像辦公網(wǎng)，辦公網(wǎng)防護(hù)相對(duì)更強(qiáng)，很多企業(yè)都安裝了端點(diǎn)防護(hù)，有的企業(yè)甚至?xí)⒂枚喾N防護(hù)機(jī)制，服務(wù)器端的防護(hù)相比之下更弱一些，而且不會(huì)像個(gè)人電腦被黑掉一樣容易被發(fā)現(xiàn)，所以造成的現(xiàn)象就是，攻擊者更容易打進(jìn)來(lái)，打進(jìn)來(lái)以后也更難被安全人員發(fā)現(xiàn)。”黃雅芳說(shuō)。

因此，微步在線的TDP-S，滿足的是客戶兩方面的需求，第一是保障生產(chǎn)網(wǎng)承載的業(yè)務(wù)連續(xù)性，保護(hù)服務(wù)器中的核心數(shù)據(jù)，通過(guò)檢測(cè)及時(shí)發(fā)現(xiàn)已知的威脅;第二是在未知的威脅發(fā)生后，追溯事件時(shí)有據(jù)可查，讓安全人員快速追溯源頭，做出響應(yīng)。

本次RSA大會(huì)上，微步在線的展臺(tái)是N4904，想體驗(yàn)TDP-S的RSA參會(huì)者，歡迎移步展臺(tái)，與微步在線的創(chuàng)始團(tuán)隊(duì)們進(jìn)行深入交流!