Verizon《2015數據泄露調查報告》（Data Breach Investigations Report）顯示，攻防之間的差距依然很大，雖然與歷年相比2015年的攻防差距已經算是比較小的了，但超過75%的安全攻擊在1天內就會完成，而僅有25%左右的用戶能夠在1天內發現遭遇的攻擊，攻擊方依然占據優勢。

現在用戶主要采取縱深防御的安全體系，進行邊界隔離。雖然每一層都采用了最好的安全防護產品，但這類防御方式僅對非目標傳統型攻擊有效。面對目標類攻擊，這種縱深防御體系已經很難防范。

另外，如今被用于作惡的惡意IP地址與域名的存活時間往往不會超過1天，所以某些利用域名信譽技術的安全防護方法就顯得十分無力——其處理速度已經很難跟上攻擊者的節奏了。攻擊者所使用的手法、工具有變化越來越快的趨勢。

 英特爾安全事業部北亞區售前技術總監：鄭林

防御目標型攻擊需要連綿不絕的組合拳

那么防御目標型攻擊需要怎樣新的安全思路呢？日前，英特爾安全事業部北亞區售前技術總監鄭林先生在接受筆者采訪時表示，首先要能夠檢測到未知攻擊，然后要將這個安全情報快速傳播出去，其次需要能夠對其進行有效的安全響應。

鄭林認為，現在無論檢測還是防范都是比較被動的方法，能夠防護住80%的攻擊，但那所遺漏的20%的攻擊卻可能是致命的。另外，“出事后的響應一直是被忽略的環節。”所以要能夠快速、自動化的發起安全應急響應。

曾幾何時，安全應急響應大多為人工服務，按天收費。現在，英特爾安全事業部通過SIEM進行安全事件分析的同時，對應急響應專門進行了優化。其BackTrace功能可以對新型惡意威脅提取特征，進行回溯分析，從大量的安全事件里搜尋與之相關的病毒、可疑動作等等，并在完成關聯搜索后通過Active Response實現對惡意威脅的自動化清除動作。Active Response也可以對關鍵系統文件進行跟蹤，當發現異常行為時會采取相關動作。“不僅要做好事前防護，還要做好事后的清除。”在惡意攻擊發生后，要及時對系統內部被感染的機器進行安全清除操作，防止惡意攻擊的繼續作惡，并阻斷可能存在的后繼攻擊。

永遠不嫌多的安全情報

面對目標型攻擊，安全威脅情報顯得重要無比。不僅要收集來自外部的安全威脅情報，同時也要對內網關鍵位置的威脅情報進行搜集。鄭林提出，“安全威脅情報分為兩部分：產品、服務。”

要有能夠搜集分析安全威脅情報的產品，還需要每個安全產品都有對安全情報的“吸收”能力：沙箱、SIEM等能夠識別威脅，并發布威脅情報，防火墻等安全產品則能夠接收安全情報，并據此實施安全策略、安全動作。現在英特爾安全事業部所有的安全產品都已經納入到了TIE安全情報交換系統，使得安全情報能夠在整個防御體系里順暢的流動起來，并發揮作用。

而服務方面，英特爾安全事業部會通過GTI進行全球性的安全情報分享。另外，其本地安全威脅情報服務能夠從安全防御目標內部獲取相關的惡意威脅數據信息。這兩者結合，形成了一套完整的安全威脅情報網。而定制化的安全服務，則能夠根據用戶的特定要求對暗網里的安全威脅情報進行實時監測，使得用戶可以據此進行提前預防。

通過不同廠商的協同、不同技術的協同、不同產品的協同，可以避免安全情報孤島，讓安全情報在整個安全防御體系、安全防護生命周期里流動起來。

充分發揮大數據技術的力量

如今，大數據技術正在安全防御體系的兩個方面發揮著重要作用。首先就是安全情報，另外是通過對攻擊不同階段進行關聯性大數據分析，從而對未知攻擊進行判斷。也就是將攻擊行為拆分為不同階段，由于攻擊的連續性，那么只要將其中一個環節切斷，就能夠阻截惡意攻擊的繼續。那么如何掌握好這個關鍵點，就需要大數據來發揮作用了。通過將貌似毫不相干的特征進行關聯、比對分析，如果發現合理的攻擊過程或者攻擊特征，就要考慮對其進行防御、阻截了。比如我們每天收到的電子郵件，如果之前某些電子郵件的發送者有出現過惡意攻擊特征，那么其后繼發送的貌似“安全”的電子郵件，就很可能是一次零日攻擊的發起。

“要搜集十分全面的數據，不僅僅是安全產品里的日志數據，系統其它部分的日志數據都要搜集，而且要跨越足夠長的時間段。”采訪過程中，鄭林強調數據情報的搜集不應僅局限于與威脅直接相關的信息，對歷史數據關聯性的挖掘能力也至關重要，但這也對SIEM平臺的數據分析處理能力提出了更高的要求。

應對目標型攻擊從安全互聯開始

英特爾安全事業部的安全互聯也在與時俱進的發展。早期安全互聯的焦點在于ePO統一安全管理平臺。隨著英特爾安全事業部網絡安全防御方面能力的增強，安全互聯開始幫助端點安全與網絡安全之間進行及時的信息交互，例如發現端點是否中招、是否在向外泄漏數據，然后進行清除、阻截操作等等。同時通過對漏洞信息的分享，降低安全誤報事件的發生。而今，英特爾安全事業部產品線在進一步豐富，安全互聯能夠通過云端對各個安全產品所搜集到的安全情報進行整合工作。“現在安全互聯所涉及的維度與層面更多、更高。”

針對APT類攻擊，英特爾安全事業部推出了TIE（威脅情報交換)和ATD（高級威脅防護，沙箱+靜態代碼分析）。通過TIE和ATD中的傳統沙箱功能與針對反沙箱技術加入的靜態代碼分析，對應用進行脫殼、反向編譯，發現病毒特征，實現對沙箱的補充，從而有效檢測未知威脅，通過TIE實現不同安全設備之間的安全情報交互，將威脅情報在內網進行實時同步。而SIEM則對威脅情報進行優化，成為威脅情報的管理平臺，對威脅情報進行關聯、回溯。今年英特爾安全事業部將要發布的Active Response則能通過應急響應進行安全修復工作。由此，最終實現安全防護從保護到清除病毒再到修復的閉環式循環。