联系我们

售前服务电话:800-820-8876
售后服务电话:800-820-8839
手机用户可拨打:400-820-8839

APT治理这十年,“响·当然”也是亚信安全

“响·当然”是对亚信安全XDR战略的另一种演绎,具体如何解释,后文阐述。但反派主角可先登场,“世界上只有两类大型企业,一类企业知道已被APT攻击,另一类是并不知道。”这是美国联邦调查局高官,对APT“影响力”的描述,而此种威胁至今已持续10余年。



2007年之后的“俺怕他”


有意思的现象。2007年之后,就没有爆发过大规模病毒事件(除2017年的WannaCry之外)。当然这一现象并不有意思,不是黑客们金盆洗手,只是他们改变策略,变“抢”为“偷”,采用APT(高级持续性威胁)手段进行,进行间谍活动。


APT,可演绎翻译为“俺怕他”。例如,Google 遭受Aurora(极光)攻击;Stuxnet蠕虫攻击伊朗布什尔核电站;黑客组织“和平卫士”盗取索尼影视公司数万名员工信息,以及多部未发行电影拷贝,这都属于典型APT攻击事件。


究其特征,APT威胁确实不像WannaCry那样大马金刀,动辄就横扫攻击150余个国家,但受过谍战片教育的人,都知道什么叫“冷棋闲子”。黑客潜入企业业务系统,但通常不急于动手,平均潜伏期甚至长达559天,而一旦时机成熟,就盗取“情报”,制造混乱,拿走企业关键数据。


APT治理的史前阶段


“十年前,我们开始警惕,并告知用户也要警惕APT,但没人能听得懂,也没人意识到APT的存在。”童宁,亚信安全通用安全产品总经理,他回忆APT概念未被广泛认知前,极容易与其他威胁混淆:“当时多数数据泄露事件,都归结为数据安全,或企业安全管理漏洞。”



言归正传。2008年,趋势科技正式发布APT高级威胁治理战略(2015年,趋势科技中国被亚信科技收购,成立亚信安全),这在安全业内也是一个具有标志性的事件,标志着APT已经作为一个单独的门类,被产业所重视,并有相关企业提出了体系化的解决方案,以及落地战略。


其实,1999年时,趋势科技已经发现梅利莎病毒,这是最早期形态的APT攻击;2002年,趋势科技推出里程碑式的企业安全防护战略(EPS),这此后成为该公司APT治理战略中,产品联动解决方案的雏形;2003年,趋势科技于业内首家提出“云安全”概念,这也是利用云安全智能防护网络,帮助用户治理APT的起点;2005年,APT一词首次出现在美国官方报告中,趋势科技TDA第一代产品问世。


此后即是,2007年,趋势科技Deep Discovery深度威胁发现解决方案问世。2008年,趋势科技又将相关产品,以及 APT治理经验进行整合,正式发布APT高级威胁治理战略1.0。


APT治理这十年


到此为止,可称为APT治理的史前阶段。此时趋势科技针对APT治理,战略性地引入了“云安全”的概念,也开始形成病毒全生命周期管理思路,以及安全设备协同联动理念。此后数年间,趋势科技又不断丰富产品线,新增了安全邮件网关、终端威胁取证等产品。


2015年,又一个重要时间节点。趋势科技发布APT高级威胁治理战略2.0,以1个中心、4个过程、6个抑制点为基础,形成了“螺旋迭代”的立体化治理模型。该模型是以“监控”为中心,“侦测、分析、响应、阻止”为4个治理过程,在APT 攻击过程的6个阶段分别建立抑制点。


此外,APT高级威胁治理战略2.0还有另一贡献,即建立了全面的威胁联动治理体系。产品维度实现了“云、管、端”全线安全产品的联动;管理维度实现了从侦测、分析,到响应、阻止的全过程联动。


过多技术细节内容不必赘述,但突出介绍一点,“螺旋迭代”的立体化治理模型,以及威胁联动治理体系,支撑了趋势科技的APT治理战略,至今多数厂商也还在沿用类似体系。当然,还要插入介绍一句。同样是2015年,趋势科技中国被亚信科技收购,并融合成立了全新的公司品牌——亚信安全。


APT治理的下一个十年


这就是APT治理的近十年,而未来已来,“现在,亚信安全从安全运维视角出发,提出了通过SOAR平台的精密编排能力,打造一套安全联动运维体系的理念,这也是APT高级威胁治理战略3.0的雏形。”亚信安全产品总监白日说。


从过去十年,APT威胁治理能力的发展水平看,通过技术和产品的不断演化、组合、联动,用户基本可以做到发现、分析,然而对于响应、预测,还是有些偏头痛。举例说明,在用户购买了态势感知等解决方案后,每天都会产生海量告警,发现大量可疑攻击和威胁,但用户或是因为自身技术能力有限,或是没有完善的知识体系,不知如何确认威胁本质,以及攻击意图,更无法还原攻击场景。


这就是现实。当然,管杀不管埋,只“发现”不“响应”,不是亚信安全的性格。也就是说,在APT高级威胁治理战略3.0中,亚信安全为客户提供的是快速恢复补救能力,即快速响应能力。


亚信安全所定义的“响应能力”由四部分构成:告警处理,分类并划分安全事件优先级;定性分析,判断威胁的真实性,确认威胁的本质和意图;定量分析,回溯攻击场景,评估威胁的严重性;快速响应,根据响应脚本,执行响应策略。


此四部分能力,组成了亚信安全以安全运维为视角的SOAR框架,即利用SOA精密编排的联动安全解决方案;IR安全事故应急响应平台;TIP威胁情报平台,将安全产品以及安全流程连接和整合起来。也可类比解释,每座城市都已建立应急响应系统,一旦触发火情报警,119、110、120等不同城市管理部门,就可参考事前预案,立即协同联动,这也是SOAR框架的最通俗理解。


“响·当然”也是亚信安全


当然,上述解决方案即构成了亚信安全的APT高级威胁治理战略3.0,其另一个名字叫做“XDR战略”。其中,“X”代表智能时代的诸多应用场景,例如无人驾驶、工业互联网、智慧医疗、智慧零售等;“D”代表传感器,“云、管、端”均需要建立不同的监控机制,以及数据还原机制;“R”则代表快速响应,借助SOAR框架,实现精密编排的联动响应。


同时,亚信安全还已明确了XDR战略的落地应用解决方案,其包括了“准备、发现、分析、遏制、消除、恢复、优化”这7个阶段。准备阶段包括了针对每一种黑客攻击类型的标准预案,自发现威胁数据之后,将数据集中到本地威胁情报和云端威胁情报做分析,利用机器学习和专家团队,通过分析黑客进攻的时间、路径、工具等所有细节,其特征提取出来,再进行遏制、清除、恢复和优化。


而最后,回到文章开头,XDR战略另一种演绎,也可以解释为,“响·当然”战略,即实现对APT威胁的快速“响应”,“当然”是亚信安全。因为只有其可提升响应环节的效率,只有其具有高效敏捷的精密编排能力,而这才是未来APT治理的解决之道。




关于亚信安全

亚信安全是中国网络安全产业领跑者,于2000年发力安全业务,2015年通过收购全球最大的独立安全软件提供商-趋势科技中国,实现推动中国自主可控战略实施,助力打造清朗网络空间,共筑国家网络强国梦。亚信安全在云安全、APT/网络威胁治理、移动安全、态势感知、大数据安全、身份安全、服务器安全等领域拥有多项全球领先技术,在核心技术领域持续领跑。目前在全国设有7个分支机构,3个技术服务中心和病毒监控实验室,2个独立研发中心,并与国家计算机防病毒应急中心共建网络安全实验室,拥有超过2,000人的专业技术服务团队。欲了解更多,请访问:http://www.asiainfo-sec.com

© 2018 版权所有 亚信科技(成都)有限公司 蜀ICP备15028617号