病毒威脅演化到今天，已走過了三個(gè)階段。從嘩眾取寵的一戰(zhàn)成名，到為了得到大量黑產(chǎn)變現(xiàn)，安全威脅手段已經(jīng)越來越普遍，而危害也越來越大。猶記得《亞信安全 2015 年及未來安全預(yù)測(cè)》中摘要里的一句話：APT 攻擊將會(huì)像普通病毒攻擊一樣普遍!”記得當(dāng)時(shí)還引發(fā)過小范圍討論。但當(dāng)伊朗布什爾核電站遭受Stuxnet 蠕蟲攻擊，到Target 超市、eBay 、iCloud、索尼影視等企業(yè)遭受各種不同類型的APT攻擊屢屢損失嚴(yán)重時(shí)，這些事實(shí)不斷在提醒我們，APT已經(jīng)成為最具攻擊性、隱蔽性、破壞性的網(wǎng)絡(luò)威脅。

安全治理：從“老三樣“到精密編排聯(lián)動(dòng)

從網(wǎng)絡(luò)安全最原始的“老三樣建設(shè)”：防火墻、入侵檢測(cè)、防毒墻，到今天下一代技術(shù)開始大規(guī)模被客戶接受，中國的安全廠商走過了一條艱辛之路。而成立三年的亞信安全，卻在抵抗APT攻擊之路上已走過了十條(亞信安全的前身是趨勢(shì)科技)。亞信安全通用安全產(chǎn)品總經(jīng)理童寧指出：“APT的本質(zhì)就是環(huán)境不太可信，而可信有兩個(gè)維度，一個(gè)是系統(tǒng)提供方給你的是可信的，第二個(gè)就是運(yùn)行過程中這個(gè)系統(tǒng)是不是你認(rèn)知的當(dāng)年的系統(tǒng)，它有沒有“變心”。而判斷這兩個(gè)維度或者從判斷到治理需要一套完整的方案，亞信安全發(fā)布的XDR戰(zhàn)略是發(fā)現(xiàn)、響應(yīng)、預(yù)測(cè)相關(guān)的一整套解決方案“。

上圖為：亞信安全通用安全產(chǎn)品總經(jīng)理童寧

過去客戶在安全上采取的策略普遍采用“木桶理論”， 采購A家具有優(yōu)勢(shì)的防火墻，B家的入侵檢測(cè)，C家的防毒墻等，如果ABC都沒有擋住，客戶便覺得自己已經(jīng)盡力了。但木桶理論最大的問題是由于產(chǎn)品來自于不同公司，所以協(xié)作很差。木桶上的每一個(gè)板子似乎都很長，可是板子與板子之間有很大的縫隙，所以導(dǎo)致了防御體系有很大的漏洞。新的安全策略需要“精密編排的聯(lián)動(dòng)”。

精密編排聯(lián)動(dòng)是指先做好安全預(yù)案，再要求安全產(chǎn)品聯(lián)動(dòng)，強(qiáng)調(diào)精密編排、相互聯(lián)動(dòng)的作用。也就是安全產(chǎn)品之間和系統(tǒng)之間要非常緊密的融合，做到精密編排，出了問題知道應(yīng)該怎么快速解決，并且平常就要開展網(wǎng)絡(luò)安全相關(guān)的應(yīng)急響應(yīng)訓(xùn)練等等。

亞信安全APT攻擊的十年治理

亞信安全針對(duì)APT攻擊治理已走過了漫長的十年。

2008年形成了APT治理戰(zhàn)略1.0的戰(zhàn)略雛形。

2009年發(fā)現(xiàn)了大量的APT攻擊事件，并且嘗試做大規(guī)模的跟蹤。

2010年積極幫助了像谷歌極光事件以及郵件攻擊事件的處理。

2011年協(xié)助企業(yè)降低受到APT的攻擊風(fēng)險(xiǎn)。

2013年韓國爆發(fā)的大規(guī)模APT攻擊事件，導(dǎo)致大量的機(jī)構(gòu)和媒體全部癱瘓，韓國的大民銀行由于采用了趨勢(shì)科技的產(chǎn)品，提前做出響應(yīng)，成功抵御了APT攻擊。

2014年對(duì)整個(gè)產(chǎn)品線做不斷的擴(kuò)充和升級(jí)，加入了郵件的網(wǎng)管，加入了終端威脅取證的相關(guān)產(chǎn)品，將APT治理平臺(tái)不斷地演化和提升。

2015年7月，發(fā)布了整個(gè)APT治理戰(zhàn)略2.0，包括了兩大內(nèi)容：一是發(fā)布了整個(gè)戰(zhàn)略2.0理論模型，也叫威脅迭代的威脅治理模式，二是發(fā)布了兩大支持體系，即本地和云端威脅情報(bào)雙回路體系及全面的威脅聯(lián)動(dòng)治理體系。

2017年開始，針對(duì)大量客戶的反饋和反彈，為客戶提供快速恢復(fù)補(bǔ)救能力，以幫助客戶制定相關(guān)的響應(yīng)預(yù)案，做相關(guān)的自動(dòng)化編排，以及如何和客戶現(xiàn)有的平臺(tái)進(jìn)行對(duì)接、調(diào)查等等。

揭密亞信安全APT治理策略

亞信安全APT治理策略包括一個(gè)中心+四個(gè)過程，即以監(jiān)控為中心，以偵測(cè)、分析、響應(yīng)、預(yù)防為四個(gè)過程。

第一個(gè)過程是偵測(cè)，偵測(cè)是指檢測(cè)的是高級(jí)威脅，傳統(tǒng)方式無法識(shí)別，而不是現(xiàn)在已知的威脅。在檢測(cè)到威脅的時(shí)候，確認(rèn)這個(gè)威脅是否真的發(fā)生，并判斷攻擊的本質(zhì)，包括攻擊者的意圖，通過回溯攻擊場(chǎng)景來定量的評(píng)估這個(gè)威脅對(duì)企業(yè)的影響和范圍;

第二個(gè)過程是定性和定量的分析，通過定性定量分析，判斷這是一個(gè)什么樣類型的攻擊，會(huì)造成了什么樣的影響，才能對(duì)癥下藥;

第三個(gè)過程是提出并執(zhí)行相關(guān)的響應(yīng)策略，最后做進(jìn)一步的威脅響應(yīng)。

第四個(gè)過程是預(yù)防階段，當(dāng)黑客進(jìn)行攻擊，其意圖要么是破壞要么是竊取。因此，企業(yè)管理者要明確企業(yè)的核心信息資產(chǎn)，通過相關(guān)的數(shù)據(jù)挖掘方法，再通過加密、防泄露、應(yīng)用控制等技術(shù)，預(yù)防信息資產(chǎn)被黑客找到、破壞或者竊取。