【51CTO.com原創(chuàng)稿件】在近日召開的亞信安全高級威脅治理十周年暨XDR戰(zhàn)略發(fā)布會上，亞信安全通用安全產(chǎn)品總經(jīng)理童寧回憶起APT概念未被廣泛認知前這樣說到：“十年前，我們開始警惕APT，并告知用戶也要警惕，但沒人能聽得懂，也沒人意識到APT的存在。隨著數(shù)據(jù)泄露事件的增多，大家將其歸為數(shù)據(jù)安全問題或者監(jiān)管安全問題，其實它本質(zhì)上是APT。”

通過不斷的演化發(fā)展，APT已經(jīng)成為最具攻擊性、隱蔽性、破壞性的網(wǎng)絡(luò)威脅。如今，在APT攻擊的穹廬之下，幾乎所有國家、所有行業(yè)都無一幸免。

[[253099]]

亞信安全通用安全產(chǎn)品總經(jīng)理童寧

回顧威脅治理的這十年，童寧表示: “十年間，我們經(jīng)歷了摸索、創(chuàng)新、融合、螺旋迭代的過程，與不法分子的博弈成就了亞信安全在高級威脅治理領(lǐng)域的引領(lǐng)。這是一場漫長的對決，關(guān)乎未來，以及未來的未來。”

十年，不斷演化的高級威脅治理戰(zhàn)略

亞信安全產(chǎn)品總監(jiān)白日表示，整個安全威脅的演化在20年左右，從90年代末病毒的大規(guī)模爆發(fā)到2005年左右銷聲匿跡，再到2007年典型APT攻擊事件不斷出現(xiàn)，威脅演化可劃分為三個階段：

第一個階段，大規(guī)模病毒爆發(fā)時期，有很多的黑客和攻擊者是為了一戰(zhàn)成名，而制作傳播惡意病毒;

第二個階段，威脅攻擊手段主要應(yīng)用于國家和國家之間，含有政治意圖包;

第三個階段，威脅中蘊含著大量的黑產(chǎn)。黑產(chǎn)從業(yè)者通過有針對性的勒索軟件攻擊等形式，獲取現(xiàn)金利益。

由此可見，威脅演化的每一個階段所在的本質(zhì)和性質(zhì)也不一樣，所以在每一個階段，相關(guān)威脅的治理手段和措施也不一樣。

因此，十年來，亞信安全的高級威脅治理戰(zhàn)略也在隨之不斷演化。2008年，趨勢科技(2015年亞信科技收購趨勢科技中國，成立亞信安全)正式發(fā)布APT高級威脅治理戰(zhàn)略，形成了1.0的戰(zhàn)略雛形。

2015年，亞信安全發(fā)布了“螺旋迭代”的APT治理戰(zhàn)略2.0，該戰(zhàn)略治理模型以監(jiān)控為中心，以偵測、分析、響應(yīng)、預(yù)防為四個治理過程，此外，還提出兩大支撐體系，即本地和云端威脅情報雙回路，以及全面的威脅聯(lián)動治理體系，產(chǎn)品維度實現(xiàn)了“云、管、端”全線安全產(chǎn)品的聯(lián)動;管理維度實現(xiàn)了從偵測、分析，到響應(yīng)、阻止的全過程聯(lián)動。

（圖片內(nèi)容來自亞信安全）

下一個十年的APT高級威脅治理

如上所述,為過去十年亞信安全的高級威脅治理戰(zhàn)略，下一個十年，亞信安全有何治理戰(zhàn)略對策呢?

“現(xiàn)在，亞信安全從安全運維的視角出發(fā)，提出了通過SOAR平臺的精密編排能力，打造一套安全聯(lián)動運維體系的理念，這也是下一代威脅治理戰(zhàn)略3.0的雛形。”白日表示。

從過去十年，APT威脅治理能力的發(fā)展來看，通過技術(shù)和產(chǎn)品的不斷演化、組合、聯(lián)動，用戶基本可以做到發(fā)現(xiàn)、分析，然而對于響應(yīng)和預(yù)測來說，其實現(xiàn)的難度正在逐步加大。例如，當用戶接收到的海量的告警時，由于用戶技術(shù)能力有限而無法做出快速的響應(yīng)，缺乏快速恢復(fù)不救的能力，更無法確認攻擊意圖溯源。

思及此，亞信安全開始全面打造精密編排的往來空間恢復(fù)補救能力，在高級威脅治理3.0戰(zhàn)略中，亞信安全提供了快速響應(yīng)能力。

亞信安全認為，從發(fā)現(xiàn)到響應(yīng)的能力構(gòu)成包含四個方面：告警處理，分類并劃分安全事件優(yōu)先級;定性分析，判斷威脅的真實性，確認威脅的本質(zhì)和意圖;定量分析，回溯攻擊場景，評估威脅的嚴重性、影響和范圍;快速響應(yīng)，根據(jù)響應(yīng)腳本，執(zhí)行響應(yīng)策略。這四個方面，組成了亞信安全以安全運維為視角的SOAR框架。

（圖片內(nèi)容來自亞信安全）

亞信安全的SOAR框架利用精密編排的聯(lián)動安全解決方案，將安全產(chǎn)品以及安全流程連接和整合起來，通過全面收集的安全數(shù)據(jù)和告警，集成人工專家以及機器學習的力量來進行事故分析。

SOAR能帶來什么樣的價值呢?對此，白日向記者介紹說，第一，可以縮短應(yīng)急響應(yīng)時間，提高應(yīng)急響應(yīng)效率;第二，可以減少和優(yōu)化傳統(tǒng)SOC中不必要和冗余的工作;第三，安全產(chǎn)品整合的API加速了自動化過程;第四，能做豐富的相關(guān)的數(shù)據(jù)安全的服務(wù)，比如威脅情報平臺;第五，提高告警分析質(zhì)量和偵測發(fā)現(xiàn)能力;第六，提高工作精準度;第七，減少培訓新安全運維分析人員的代價;第八，提高整體衡量管理安全的運維能力。

亞信安全發(fā)布XDR戰(zhàn)略，應(yīng)對未來高級威脅

基于SOAR，亞信安全正式推出了高級威脅治理3.0戰(zhàn)略雛形——XDR戰(zhàn)略。亞信安全通用產(chǎn)品管理副總經(jīng)理劉政平表示，“X”代表未知，代表各種應(yīng)用場景，例如車聯(lián)網(wǎng)、智慧醫(yī)療等;“D”代表傳感器，無論是云架構(gòu)、網(wǎng)絡(luò)架構(gòu)，還是終端上均需要建立不同的監(jiān)控機制和數(shù)據(jù)還原機制，以及數(shù)據(jù)還原機制;“R”代表響應(yīng)機制，借助SOAR框架，實現(xiàn)精密編排的聯(lián)動響應(yīng)。

亞信安全的XDR方案包括了“準備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”這7個階段，準備階段包括了針對每一種黑客攻擊類型的標準預(yù)案，自發(fā)現(xiàn)威脅數(shù)據(jù)之后，將數(shù)據(jù)集中到本地威脅情報和云端威脅情報做分析，利用機器學習和專家團隊，通過分析黑客進攻的時間、路徑、工具等所有細節(jié)，其特征提取出來，再進行遏制、清除、恢復(fù)和優(yōu)化。

劉政平表示，盡管過去未去，但未來已來。“我們要加強精密編排的預(yù)案，把響應(yīng)過程非常嚴謹?shù)膶懴聛恚⒆兂芍R沉淀，讓更多的人可以去學習。最終實現(xiàn)，讓人的行業(yè)經(jīng)驗迭代起來，記錄預(yù)案并不斷優(yōu)化它。”然而，有了好的方法論還不夠，還需要好的工具。

（圖片內(nèi)容來自亞信安全）

在XDR戰(zhàn)略中，亞信安全引入了EDR、NDR、MDR等新工具，包括深度威脅發(fā)現(xiàn)設(shè)備TDA、深度威脅分析設(shè)備DDAN、深度威脅安全網(wǎng)關(guān)Deep Edge、深度威脅郵件網(wǎng)關(guān)DDEI、服務(wù)器深度安全防護系統(tǒng) Deep Security，以及能夠統(tǒng)一聯(lián)動管理的控制管理中心Control Manager和APT治理專屬咨詢服務(wù)，進而實現(xiàn)威脅從發(fā)現(xiàn)、分析到響應(yīng)的閉環(huán)。

最后，劉政平總結(jié)說：“我們希望在不確定的網(wǎng)絡(luò)安全世界里，尋找一個確定性的方法，幫助用戶真正提升網(wǎng)絡(luò)空間恢復(fù)補救的能力。”

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】