亚信安全：揭密APT攻击治理策略

病毒威胁演化到今天，已走过了三个阶段。从哗众取宠的一战成名，到为了得到大量黑产变现，安全威胁手段已经越来越普遍，而危害也越来越大。犹记得《亚信安全 2015 年及未来安全预测》中摘要里的一句话：APT 攻击将会像普通病毒攻击一样普遍!”记得当时还引发过小范围讨论。但当伊朗布什尔核电站遭受Stuxnet 蠕虫攻击，到Target 超市、eBay 、iCloud、索尼影视等企业遭受各种不同类型的APT攻击屡屡损失严重时，这些事实不断在提醒我们，APT已经成为最具攻击性、隐蔽性、破坏性的网络威胁。

安全治理：从“老三样“到精密编排联动

从网络安全最原始的“老三样建设”：防火墙、入侵检测、防毒墙，到今天下一代技术开始大规模被客户接受，中国的安全厂商走过了一条艰辛之路。而成立三年的亚信安全，却在抵抗APT攻击之路上已走过了十条(亚信安全的前身是趋势科技)。亚信安全通用安全产品总经理童宁指出：“APT的本质就是环境不太可信，而可信有两个维度，一个是系统提供方给你的是可信的，第二个就是运行过程中这个系统是不是你认知的当年的系统，它有没有“变心”。而判断这两个维度或者从判断到治理需要一套完整的方案，亚信安全发布的XDR战略是发现、响应、预测相关的一整套解决方案“。

上图为：亚信安全通用安全产品总经理童宁

过去客户在安全上采取的策略普遍采用“木桶理论”， 采购A家具有优势的防火墙，B家的入侵检测，C家的防毒墙等，如果ABC都没有挡住，客户便觉得自己已经尽力了。但木桶理论最大的问题是由于产品来自于不同公司，所以协作很差。木桶上的每一个板子似乎都很长，可是板子与板子之间有很大的缝隙，所以导致了防御体系有很大的漏洞。新的安全策略需要“精密编排的联动”。

精密编排联动是指先做好安全预案，再要求安全产品联动，强调精密编排、相互联动的作用。也就是安全产品之间和系统之间要非常紧密的融合，做到精密编排，出了问题知道应该怎么快速解决，并且平常就要开展网络安全相关的应急响应训练等等。

亚信安全APT攻击的十年治理

亚信安全针对APT攻击治理已走过了漫长的十年。

2008年形成了APT治理战略1.0的战略雏形。

2009年发现了大量的APT攻击事件，并且尝试做大规模的跟踪。

2010年积极帮助了像谷歌极光事件以及邮件攻击事件的处理。

2011年协助企业降低受到APT的攻击风险。

2013年韩国爆发的大规模APT攻击事件，导致大量的机构和媒体全部瘫痪，韩国的大民银行由于采用了趋势科技的产品，提前做出响应，成功抵御了APT攻击。

2014年对整个产品线做不断的扩充和升级，加入了邮件的网管，加入了终端威胁取证的相关产品，将APT治理平台不断地演化和提升。

2015年7月，发布了整个APT治理战略2.0，包括了两大内容：一是发布了整个战略2.0理论模型，也叫威胁迭代的威胁治理模式，二是发布了两大支持体系，即本地和云端威胁情报双回路体系及全面的威胁联动治理体系。

2017年开始，针对大量客户的反馈和反弹，为客户提供快速恢复补救能力，以帮助客户制定相关的响应预案，做相关的自动化编排，以及如何和客户现有的平台进行对接、调查等等。

揭密亚信安全APT治理策略

亚信安全APT治理策略包括一个中心+四个过程，即以监控为中心，以侦测、分析、响应、预防为四个过程。

第一个过程是侦测，侦测是指检测的是高级威胁，传统方式无法识别，而不是现在已知的威胁。在检测到威胁的时候，确认这个威胁是否真的发生，并判断攻击的本质，包括攻击者的意图，通过回溯攻击场景来定量的评估这个威胁对企业的影响和范围;

第二个过程是定性和定量的分析，通过定性定量分析，判断这是一个什么样类型的攻击，会造成了什么样的影响，才能对症下药;

第三个过程是提出并执行相关的响应策略，最后做进一步的威胁响应。

第四个过程是预防阶段，当黑客进行攻击，其意图要么是破坏要么是窃取。因此，企业管理者要明确企业的核心信息资产，通过相关的数据挖掘方法，再通过加密、防泄露、应用控制等技术，预防信息资产被黑客找到、破坏或者窃取。