【51CTO.com原创稿件】在近日召开的亚信安全高级威胁治理十周年暨XDR战略发布会上,亚信安全通用安全产品总经理童宁回忆起APT概念未被广泛认知前这样说到:“十年前,我们开始警惕APT,并告知用户也要警惕,但没人能听得懂,也没人意识到APT的存在。随着数据泄露事件的增多,大家将其归为数据安全问题或者监管安全问题,其实它本质上是APT。”
通过不断的演化发展,APT已经成为最具攻击性、隐蔽性、破坏性的网络威胁。如今,在APT攻击的穹庐之下,几乎所有国家、所有行业都无一幸免。
亚信安全通用安全产品总经理童宁
回顾威胁治理的这十年,童宁表示: “十年间,我们经历了摸索、创新、融合、螺旋迭代的过程,与不法分子的博弈成就了亚信安全在高级威胁治理领域的引领。这是一场漫长的对决,关乎未来,以及未来的未来。”
十年,不断演化的高级威胁治理战略
亚信安全产品总监白日表示,整个安全威胁的演化在20年左右,从90年代末病毒的大规模爆发到2005年左右销声匿迹,再到2007年典型APT攻击事件不断出现,威胁演化可划分为三个阶段:
第一个阶段,大规模病毒爆发时期,有很多的黑客和攻击者是为了一战成名,而制作传播恶意病毒;
第二个阶段,威胁攻击手段主要应用于国家和国家之间,含有政治意图包;
第三个阶段,威胁中蕴含着大量的黑产。黑产从业者通过有针对性的勒索软件攻击等形式,获取现金利益。
由此可见,威胁演化的每一个阶段所在的本质和性质也不一样,所以在每一个阶段,相关威胁的治理手段和措施也不一样。
因此,十年来,亚信安全的高级威胁治理战略也在随之不断演化。2008年,趋势科技(2015年亚信科技收购趋势科技中国,成立亚信安全)正式发布APT高级威胁治理战略,形成了1.0的战略雏形。
2015年,亚信安全发布了“螺旋迭代”的APT治理战略2.0,该战略治理模型以监控为中心,以侦测、分析、响应、预防为四个治理过程,此外,还提出两大支撑体系,即本地和云端威胁情报双回路,以及全面的威胁联动治理体系,产品维度实现了“云、管、端”全线安全产品的联动;管理维度实现了从侦测、分析,到响应、阻止的全过程联动。
(图片内容来自亚信安全)
下一个十年的APT高级威胁治理
如上所述,为过去十年亚信安全的高级威胁治理战略,下一个十年,亚信安全有何治理战略对策呢?
“现在,亚信安全从安全运维的视角出发,提出了通过SOAR平台的精密编排能力,打造一套安全联动运维体系的理念,这也是下一代威胁治理战略3.0的雏形。”白日表示。
从过去十年,APT威胁治理能力的发展来看,通过技术和产品的不断演化、组合、联动,用户基本可以做到发现、分析,然而对于响应和预测来说,其实现的难度正在逐步加大。例如,当用户接收到的海量的告警时,由于用户技术能力有限而无法做出快速的响应,缺乏快速恢复不救的能力,更无法确认攻击意图溯源。
思及此,亚信安全开始全面打造精密编排的往来空间恢复补救能力,在高级威胁治理3.0战略中,亚信安全提供了快速响应能力。
亚信安全认为,从发现到响应的能力构成包含四个方面:告警处理,分类并划分安全事件优先级;定性分析,判断威胁的真实性,确认威胁的本质和意图;定量分析,回溯攻击场景,评估威胁的严重性、影响和范围;快速响应,根据响应脚本,执行响应策略。这四个方面,组成了亚信安全以安全运维为视角的SOAR框架。
(图片内容来自亚信安全)
亚信安全的SOAR框架利用精密编排的联动安全解决方案,将安全产品以及安全流程连接和整合起来,通过全面收集的安全数据和告警,集成人工专家以及机器学习的力量来进行事故分析。
SOAR能带来什么样的价值呢?对此,白日向记者介绍说,第一,可以缩短应急响应时间,提高应急响应效率;第二,可以减少和优化传统SOC中不必要和冗余的工作;第三,安全产品整合的API加速了自动化过程;第四,能做丰富的相关的数据安全的服务,比如威胁情报平台;第五,提高告警分析质量和侦测发现能力;第六,提高工作精准度;第七,减少培训新安全运维分析人员的代价;第八,提高整体衡量管理安全的运维能力。
亚信安全发布XDR战略,应对未来高级威胁
基于SOAR,亚信安全正式推出了高级威胁治理3.0战略雏形——XDR战略。亚信安全通用产品管理副总经理刘政平表示,“X”代表未知,代表各种应用场景,例如车联网、智慧医疗等;“D”代表传感器,无论是云架构、网络架构,还是终端上均需要建立不同的监控机制和数据还原机制,以及数据还原机制;“R”代表响应机制,借助SOAR框架,实现精密编排的联动响应。
亚信安全的XDR方案包括了“准备、发现、分析、遏制、消除、恢复、优化”这7个阶段,准备阶段包括了针对每一种黑客攻击类型的标准预案,自发现威胁数据之后,将数据集中到本地威胁情报和云端威胁情报做分析,利用机器学习和专家团队,通过分析黑客进攻的时间、路径、工具等所有细节,其特征提取出来,再进行遏制、清除、恢复和优化。
刘政平表示,尽管过去未去,但未来已来。“我们要加强精密编排的预案,把响应过程非常严谨的写下来,并变成知识沉淀,让更多的人可以去学习。最终实现,让人的行业经验迭代起来,记录预案并不断优化它。”然而,有了好的方法论还不够,还需要好的工具。
(图片内容来自亚信安全)
在XDR战略中,亚信安全引入了EDR、NDR、MDR等新工具,包括深度威胁发现设备TDA、深度威胁分析设备DDAN、深度威胁安全网关Deep Edge、深度威胁邮件网关DDEI、服务器深度安全防护系统 Deep Security,以及能够统一联动管理的控制管理中心Control Manager和APT治理专属咨询服务,进而实现威胁从发现、分析到响应的闭环。
最后,刘政平总结说:“我们希望在不确定的网络安全世界里,寻找一个确定性的方法,帮助用户真正提升网络空间恢复补救的能力。”
【51CTO原创稿件,合作站点转载请注明原文作者和出处为51CTO.com】
