傳統(tǒng)網(wǎng)絡(luò)安全解決方案向來采取以預(yù)防為核心的實(shí)施戰(zhàn)略，其重點(diǎn)在于阻止網(wǎng)絡(luò)攻擊活動(dòng)。雖然這一點(diǎn)仍然非常重要，但如今的眾多高水平惡意攻擊者完全擁有動(dòng)機(jī)及能力以繞過邊界防御體系，利用種種創(chuàng)造性、隱匿性、有針對(duì)性及持續(xù)性的攻擊手段長(zhǎng)時(shí)間潛伏在目標(biāo)系統(tǒng)之內(nèi)而無法被及時(shí)發(fā)現(xiàn)。

為了應(yīng)對(duì)以往以預(yù)防為中心的安全戰(zhàn)略的既有缺陷并確保IT環(huán)境能夠在日益復(fù)雜的安全挑戰(zhàn)中得以幸存，各組織機(jī)構(gòu)應(yīng)積極轉(zhuǎn)移自身資源，并將重點(diǎn)放在以威脅檢測(cè)與應(yīng)對(duì)措施為中心的新型戰(zhàn)略層面。高度重視如何削減平均檢測(cè)時(shí)間（簡(jiǎn)稱MTTD）與平均修復(fù)時(shí)間（簡(jiǎn)稱MTTR）等指標(biāo)的安全團(tuán)隊(duì)能夠借此有效降低遭遇高影響力網(wǎng)絡(luò)事故或者數(shù)據(jù)泄露的可能性。

幸運(yùn)的是，如果大家使用端到端威脅管理流程進(jìn)行快速檢測(cè)與響應(yīng)，則能夠顯著提升自身對(duì)于高影響力網(wǎng)絡(luò)事故的抗御能力。當(dāng)黑客對(duì)某一環(huán)境加以攻擊時(shí)，其必然遵循從初步入侵到最終數(shù)據(jù)泄露的整個(gè)流程——前提是該威脅執(zhí)行者始終未被安全體系所察覺?，F(xiàn)代網(wǎng)絡(luò)安全方案需要關(guān)注如何降低MTTD與MTTR，即在威脅活動(dòng)的生命周期之初將其扼殺，最終避免可能引發(fā)的后續(xù)結(jié)果與損失。

在入侵活動(dòng)當(dāng)中，攻擊者往往采取以下幾個(gè)典型步驟：

第一階段在于確定潛在目標(biāo)滿足攻擊者實(shí)施入侵的條件（例如具備理想的經(jīng)濟(jì)收益、有針對(duì)性地獲取敏感信息或者造成品牌損害）。一旦確定了現(xiàn)有防御機(jī)制之后，攻擊者將據(jù)此選擇自己的攻擊武器——具體包括利用零日安全漏洞、實(shí)施魚叉式網(wǎng)絡(luò)釣魚活動(dòng)或者收買賄賂內(nèi)部員工等等。

在初步入侵當(dāng)中，攻擊者通常會(huì)繞過邊界防御機(jī)制并通過存在安全漏洞的系統(tǒng)或者用戶帳戶訪問機(jī)制滲透至內(nèi)部網(wǎng)絡(luò)當(dāng)中。

已遭入侵的設(shè)備隨后會(huì)被作為接入組織內(nèi)部的跳板。一般來講，攻擊者會(huì)利用其下載并安裝遠(yuǎn)程訪問木馬（簡(jiǎn)稱RAT），以便建立針對(duì)目標(biāo)環(huán)境的持久性長(zhǎng)期遠(yuǎn)程訪問能力。

一旦攻擊者與內(nèi)部網(wǎng)絡(luò)建立起連接，其即會(huì)試圖危害其它系統(tǒng)及用戶帳戶。攻擊者通常會(huì)冒充授權(quán)用戶，因此安全方案將很難發(fā)現(xiàn)系統(tǒng)遭遇入侵的證據(jù)。

在這一階段當(dāng)中，攻擊者通常已經(jīng)建立起多個(gè)遠(yuǎn)程訪問入口點(diǎn)，并可能已經(jīng)成功入侵了數(shù)百（甚至數(shù)千）套內(nèi)部系統(tǒng)及用戶帳戶。他們深入了解IT環(huán)境中的各方面狀況，并能夠順利實(shí)現(xiàn)自己的惡意目標(biāo)。

如果未能有效扼止惡意活動(dòng)，企業(yè)將在最終階段中遭受嚴(yán)重的經(jīng)濟(jì)損失。在此階段中，攻擊者將逐步實(shí)現(xiàn)其任務(wù)的終極目標(biāo)，包括竊取知識(shí)產(chǎn)權(quán)或其它敏感數(shù)據(jù)、破壞關(guān)鍵性任務(wù)系統(tǒng)并常常會(huì)中斷您的正常業(yè)務(wù)運(yùn)營(yíng)。

對(duì)此類威脅活動(dòng)的早期檢測(cè)與響應(yīng)能力正是保護(hù)網(wǎng)絡(luò)免受大規(guī)模惡意影響的關(guān)鍵所在。趁早檢測(cè)并響應(yīng)攻擊活動(dòng)，企業(yè)需要承擔(dān)的最終成本也就越低。為了降低MTTD與MTTR，企業(yè)需要實(shí)現(xiàn)端到端檢測(cè)與響應(yīng)流程——即實(shí)現(xiàn)威脅生命周期管理（簡(jiǎn)稱TLM）。

威脅生命周期管理代表的是一系列具有一致性的安全操作能力與過程，首先包括能夠在IT環(huán)境中廣泛并深入進(jìn)行“觀察”的能力，另外企業(yè)還需要有能力在安全事故發(fā)生后快速進(jìn)行應(yīng)對(duì)與恢復(fù)。

在檢測(cè)到任何威脅跡象之前，企業(yè)必須確保IT環(huán)境下的攻擊行為證據(jù)皆具備可見性。由于威脅活動(dòng)針對(duì)IT基礎(chǔ)設(shè)施中的各個(gè)層面，因此大家能夠觀察到的區(qū)域越廣，實(shí)現(xiàn)成功檢測(cè)的可能性就越高。在這方面，大家應(yīng)當(dāng)高度關(guān)注三種原則性數(shù)據(jù)類型，具體優(yōu)先級(jí)按次序分為：安全事件與報(bào)警數(shù)據(jù)、日志與機(jī)器數(shù)據(jù)以及傳感器取證數(shù)據(jù)。

盡管安全事件與警報(bào)數(shù)據(jù)通常屬于安全團(tuán)隊(duì)所能掌握的最具價(jià)值的數(shù)據(jù)源，但我們往往很難快速判斷應(yīng)關(guān)注哪些事件或者哪些警報(bào)信息。日志數(shù)據(jù)在這方面能夠提供更為深入的IT環(huán)境可見性，包括幫助我們判斷誰在哪里于何時(shí)做過什么。

現(xiàn)有的安全解決方案在安全威脅管理方面仍處于初級(jí)階段，SOC往往受制于日志采集來源以及分析能力的不足，IDS、NGFW等產(chǎn)品可以基于流量中的異常進(jìn)行檢測(cè)，但都停留在入侵嘗試階段，大量的無用告警讓使用者無所適從，無法感知真正的安全事件，近年來各廠商開始推出基于深度檢測(cè)的APT產(chǎn)品，但重點(diǎn)和方向各異，實(shí)際對(duì)安全威脅管理的效果也差別較大，比較典型的是以病毒木馬檢測(cè)配合沙箱技術(shù)的傳統(tǒng)安全廠商，但隨著攻防對(duì)抗的升級(jí)，也有一些新的思路出現(xiàn)，比如安恒的明御APT產(chǎn)品就是以APT攻擊事件分析、基于行為和沙箱的場(chǎng)景化分析、DGA檢測(cè)算法等新技術(shù)為核心，在安全威脅管理方面可以較為全面的涵蓋到六個(gè)階段。一旦企業(yè)能夠有效收集其安全日志數(shù)據(jù)，則可隨后配合傳感器取證數(shù)據(jù)以實(shí)現(xiàn)更具深度與廣度的可見能力。

在建立起這種可見能力之后，企業(yè)即可檢測(cè)并響應(yīng)各類威脅活動(dòng)。潛在威脅的發(fā)現(xiàn)應(yīng)通過搜索與機(jī)器分析將結(jié)合的方式實(shí)現(xiàn)。已被發(fā)現(xiàn)的威脅活動(dòng)必須迅速進(jìn)行評(píng)估，包括考量其對(duì)于業(yè)務(wù)的潛在影響以及相關(guān)響應(yīng)舉措的緊迫程度。在對(duì)事件進(jìn)行定性之后，企業(yè)應(yīng)實(shí)施相關(guān)緩解措施以降低并最終消除由此給業(yè)務(wù)帶來的風(fēng)險(xiǎn)。而一旦事故中止且業(yè)務(wù)風(fēng)險(xiǎn)受到有效控制，企業(yè)則可以開始推進(jìn)全面的恢復(fù)性工作。

通過投資威脅生命周期管理方案，企業(yè)遭遇破壞性網(wǎng)絡(luò)事故或者數(shù)據(jù)泄露的風(fēng)險(xiǎn)將大大降低。盡管仍面臨著諸多內(nèi)部與外部威脅，但企業(yè)足以憑借著由此帶來的更為強(qiáng)大的檢測(cè)與響應(yīng)能力對(duì)自身環(huán)境加以管理，最終削減惡意活動(dòng)造成巨大影響乃至高昂代價(jià)的可能性。