APT攻防博弈中，亚信安全采取了什么样的高级威胁治理战略

【51CTO.com原创稿件】在近日召开的亚信安全高级威胁治理十周年暨XDR战略发布会上，亚信安全通用安全产品总经理童宁回忆起APT概念未被广泛认知前这样说到：“十年前，我们开始警惕APT，并告知用户也要警惕，但没人能听得懂，也没人意识到APT的存在。随着数据泄露事件的增多，大家将其归为数据安全问题或者监管安全问题，其实它本质上是APT。”

通过不断的演化发展，APT已经成为最具攻击性、隐蔽性、破坏性的网络威胁。如今，在APT攻击的穹庐之下，几乎所有国家、所有行业都无一幸免。

亚信安全通用安全产品总经理童宁

回顾威胁治理的这十年，童宁表示: “十年间，我们经历了摸索、创新、融合、螺旋迭代的过程，与不法分子的博弈成就了亚信安全在高级威胁治理领域的引领。这是一场漫长的对决，关乎未来，以及未来的未来。”

十年，不断演化的高级威胁治理战略

亚信安全产品总监白日表示，整个安全威胁的演化在20年左右，从90年代末病毒的大规模爆发到2005年左右销声匿迹，再到2007年典型APT攻击事件不断出现，威胁演化可划分为三个阶段：

第一个阶段，大规模病毒爆发时期，有很多的黑客和攻击者是为了一战成名，而制作传播恶意病毒;

第二个阶段，威胁攻击手段主要应用于国家和国家之间，含有政治意图包;

第三个阶段，威胁中蕴含着大量的黑产。黑产从业者通过有针对性的勒索软件攻击等形式，获取现金利益。

由此可见，威胁演化的每一个阶段所在的本质和性质也不一样，所以在每一个阶段，相关威胁的治理手段和措施也不一样。

因此，十年来，亚信安全的高级威胁治理战略也在随之不断演化。2008年，趋势科技(2015年亚信科技收购趋势科技中国，成立亚信安全)正式发布APT高级威胁治理战略，形成了1.0的战略雏形。

2015年，亚信安全发布了“螺旋迭代”的APT治理战略2.0，该战略治理模型以监控为中心，以侦测、分析、响应、预防为四个治理过程，此外，还提出两大支撑体系，即本地和云端威胁情报双回路，以及全面的威胁联动治理体系，产品维度实现了“云、管、端”全线安全产品的联动;管理维度实现了从侦测、分析，到响应、阻止的全过程联动。

（图片内容来自亚信安全）

下一个十年的APT高级威胁治理

如上所述,为过去十年亚信安全的高级威胁治理战略，下一个十年，亚信安全有何治理战略对策呢?

“现在，亚信安全从安全运维的视角出发，提出了通过SOAR平台的精密编排能力，打造一套安全联动运维体系的理念，这也是下一代威胁治理战略3.0的雏形。”白日表示。

从过去十年，APT威胁治理能力的发展来看，通过技术和产品的不断演化、组合、联动，用户基本可以做到发现、分析，然而对于响应和预测来说，其实现的难度正在逐步加大。例如，当用户接收到的海量的告警时，由于用户技术能力有限而无法做出快速的响应，缺乏快速恢复不救的能力，更无法确认攻击意图溯源。

思及此，亚信安全开始全面打造精密编排的往来空间恢复补救能力，在高级威胁治理3.0战略中，亚信安全提供了快速响应能力。

亚信安全认为，从发现到响应的能力构成包含四个方面：告警处理，分类并划分安全事件优先级;定性分析，判断威胁的真实性，确认威胁的本质和意图;定量分析，回溯攻击场景，评估威胁的严重性、影响和范围;快速响应，根据响应脚本，执行响应策略。这四个方面，组成了亚信安全以安全运维为视角的SOAR框架。

（图片内容来自亚信安全）

亚信安全的SOAR框架利用精密编排的联动安全解决方案，将安全产品以及安全流程连接和整合起来，通过全面收集的安全数据和告警，集成人工专家以及机器学习的力量来进行事故分析。

SOAR能带来什么样的价值呢?对此，白日向记者介绍说，第一，可以缩短应急响应时间，提高应急响应效率;第二，可以减少和优化传统SOC中不必要和冗余的工作;第三，安全产品整合的API加速了自动化过程;第四，能做丰富的相关的数据安全的服务，比如威胁情报平台;第五，提高告警分析质量和侦测发现能力;第六，提高工作精准度;第七，减少培训新安全运维分析人员的代价;第八，提高整体衡量管理安全的运维能力。

亚信安全发布XDR战略，应对未来高级威胁

基于SOAR，亚信安全正式推出了高级威胁治理3.0战略雏形——XDR战略。亚信安全通用产品管理副总经理刘政平表示，“X”代表未知，代表各种应用场景，例如车联网、智慧医疗等;“D”代表传感器，无论是云架构、网络架构，还是终端上均需要建立不同的监控机制和数据还原机制，以及数据还原机制;“R”代表响应机制，借助SOAR框架，实现精密编排的联动响应。

亚信安全的XDR方案包括了“准备、发现、分析、遏制、消除、恢复、优化”这7个阶段，准备阶段包括了针对每一种黑客攻击类型的标准预案，自发现威胁数据之后，将数据集中到本地威胁情报和云端威胁情报做分析，利用机器学习和专家团队，通过分析黑客进攻的时间、路径、 工具 等所有细节，其特征提取出来，再进行遏制、清除、恢复和优化。

刘政平表示，尽管过去未去，但未来已来。“我们要加强精密编排的预案，把响应过程非常严谨的写下来，并变成知识沉淀，让更多的人可以去学习。最终实现，让人的行业经验迭代起来，记录预案并不断优化它。”然而，有了好的方法论还不够，还需要好的工具。

（图片内容来自亚信安全）

在XDR战略中，亚信安全引入了EDR、NDR、MDR等新工具，包括深度威胁发现设备TDA、深度威胁分析设备DDAN、深度威胁安全网关Deep Edge、深度威胁邮件网关DDEI、服务器深度安全防护系统 Deep Security，以及能够统一联动管理的控制管理中心Control Manager和APT治理专属咨询服务，进而实现威胁从发现、分析到响应的闭环。

最后，刘政平总结说：“我们希望在不确定的网络安全世界里，寻找一个确定性的方法，帮助用户真正提升网络空间恢复补救的能力。”

【51CTO原创稿件，合作站点转载请注明原文作者和出处为51CTO.com】