以平臺和流量為代表的消費互聯(lián)網(wǎng)時代正在離我們遠去，而作為“互聯(lián)網(wǎng)下半場”的產(chǎn)業(yè)互聯(lián)網(wǎng)時代已經(jīng)來臨。隨著大數(shù)據(jù)、云計算、人工智能等為代表的新技術(shù)逐漸成為驅(qū)動社會發(fā)展的新動能，而由此衍生的網(wǎng)絡(luò)安全問題則已成為影響各國發(fā)展的重要問題。針對這種情況，亞信安全副總裁劉政平在第七屆互聯(lián)網(wǎng)安全大會(ISC 2019)上，提出“從實戰(zhàn)出發(fā)提升網(wǎng)絡(luò)安全的檢測與響應(yīng)能力”，得到了與會嘉賓的廣泛贊同。
 

【亞信安全副總裁劉政平】

 
產(chǎn)業(yè)互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)安全應(yīng)從實戰(zhàn)出發(fā)
 
在產(chǎn)業(yè)互聯(lián)網(wǎng)時代，網(wǎng)絡(luò)安全的戰(zhàn)場從網(wǎng)絡(luò)和操作系統(tǒng)，轉(zhuǎn)移到了“云大物移智+5G”，對手則從個體黑客越來越多的演變到黑產(chǎn)和國家間對抗，勒索軟件、挖礦病毒等新型的網(wǎng)絡(luò)安全威脅通過定向、可持續(xù)的方式對于企業(yè)的數(shù)據(jù)資產(chǎn)帶來了越來越嚴(yán)重的挑戰(zhàn)。同時，網(wǎng)絡(luò)安全法、等保2.0等法律法規(guī)也要求企業(yè)更加重視網(wǎng)絡(luò)安全保護，并建立應(yīng)急預(yù)案、應(yīng)急演練和應(yīng)急處置能力。
 
為應(yīng)對不斷變化的網(wǎng)絡(luò)安全需求，亞信安全副總裁劉政平表示：“相關(guān)組織、機構(gòu)應(yīng)該建立以身份為基礎(chǔ)、以攻防為視角、以聯(lián)動為策略、以運維為關(guān)鍵，構(gòu)建從實戰(zhàn)出發(fā)的多層次防御體系。在安全運營能力建設(shè)方面，用戶可以從‘偵測、分析、響應(yīng)、防御’這四個階段入手，打造統(tǒng)一的安全管理平臺，以適應(yīng)防護變化的要求，及時洞悉安全威脅的產(chǎn)生與傳播，并作出及時響應(yīng)，防止信息資產(chǎn)被非法訪問或外泄。”
 
精密編排，打造未來安全
 
伴隨著5G時代的來臨，以及網(wǎng)絡(luò)技術(shù)的不斷創(chuàng)新，應(yīng)用逐級深化的速度和廣度將大大超過以往，網(wǎng)絡(luò)病毒、黑客攻擊、信息泄露等信息安全問題的影響范圍和破壞程度也將更加驚人，這給個人、企業(yè)、社會乃至國家安全造成了極大的威脅。提升網(wǎng)絡(luò)安全的檢測與響應(yīng)能力，是新時代對未來安全的重要要求。
 

 
在此背景下，自適應(yīng)安全架構(gòu)成為應(yīng)對網(wǎng)絡(luò)安全風(fēng)險的關(guān)鍵所在。劉政平建議企業(yè)構(gòu)建基于XDR的威脅檢測與應(yīng)急響應(yīng)體系，XDR戰(zhàn)略包括“準(zhǔn)備、發(fā)現(xiàn)、分析、遏制、消除、恢復(fù)、優(yōu)化”7個階段，通過網(wǎng)絡(luò)深度威脅發(fā)現(xiàn)、未知威脅分析、終端響應(yīng)及阻斷、網(wǎng)絡(luò)威脅阻斷和威脅情報平臺，實現(xiàn)多產(chǎn)品間的智能安全聯(lián)動，以精密編排提升事件響應(yīng)能力。
 
而對于XDR落地的關(guān)鍵，可歸納為三個核心要素：標(biāo)準(zhǔn)的預(yù)案、專業(yè)的調(diào)查工具、安全響應(yīng)專家。
 
1、標(biāo)準(zhǔn)的預(yù)案

從亞信安全協(xié)助用戶做出的大量應(yīng)急響應(yīng)預(yù)案來看，預(yù)案針對每一種類型的黑客攻擊，都采取了XDR的7個階段，進而來確定用戶碰到不同的威脅類型的時候該怎么處置。

例如，很多企業(yè)發(fā)生過終端主機和網(wǎng)絡(luò)流量異常的情況，但是普通用戶層面卻沒有感受到明顯的網(wǎng)絡(luò)攻擊現(xiàn)象。在這個時候，XDR的方法是獲取威脅數(shù)據(jù)，把數(shù)據(jù)集中到本地威脅情報和云端威脅情報做分析，通過分析黑客進攻的時間、路徑、工具等所有細節(jié)，其特征提取出來，再進行遏制、清除、恢復(fù)和優(yōu)化。
 
2、專業(yè)的調(diào)查工具

高效、精準(zhǔn)的應(yīng)急響應(yīng)需要專業(yè)的工具和設(shè)備支撐，這些設(shè)備能夠在網(wǎng)絡(luò)層面、服務(wù)器和終端內(nèi)核層面發(fā)現(xiàn)異常現(xiàn)象，這是確保查清楚黑客到底做了什么、目的是什么，通過什么方式的關(guān)鍵。

這些專業(yè)工具包括：高級威脅終端及主機檢測系統(tǒng)OSCE/DS、終端及主機存取證系統(tǒng)CTDI、高級威脅網(wǎng)絡(luò)檢測系統(tǒng)TDA、高級威脅網(wǎng)絡(luò)存取證系統(tǒng)TRA，高級威脅情報系統(tǒng)TIP、高級威脅分析設(shè)備DDAN、高級威脅綜合取證驗傷分析系統(tǒng)UAP，以及本地和云端威脅情報的“雙回路”機制都是方案中極為重要的工具，它們在精密編排的預(yù)案下聯(lián)動工作，使得各個安全節(jié)點可以對APT定向攻擊、勒索軟件等高級攻擊的特征行為進行發(fā)現(xiàn)、收集、分析和響應(yīng)。

其中，亞信安全的EDR還采用了動態(tài)調(diào)查和審計技術(shù)DIA（Dynamic Investigation & Audit），通過云端和本地威脅情報“雙回路”、沙盒分析、網(wǎng)絡(luò)取證、終端取證、大數(shù)據(jù)關(guān)聯(lián)分析等技術(shù)手段，基于網(wǎng)絡(luò)和終端對黑客行為進行抓取分析，確保了取證內(nèi)容的司法有效性和企業(yè)違規(guī)操作內(nèi)控審計的準(zhǔn)確性。
 
3、MDR高級安全專家服務(wù)

成功的XDR應(yīng)用離不開專業(yè)化高級安全專家服務(wù)。與傳統(tǒng)MSSP主要幫客戶提供安全運維和一般性安全事件響應(yīng)不同，亞信安全MDR的本質(zhì)是以攻防為核心的高級安全專家服務(wù)，該服務(wù)旨在主要幫助重點行業(yè)的重要客戶，為保護核心資產(chǎn)應(yīng)對定向攻擊（Targeted Attack）。亞信安全MDR是XDR圣誕樹體系中最頂端的星星，是“檢測”到“響應(yīng)”的所有技術(shù)和能力支撐中對攻防Know-How要求最高的一個環(huán)節(jié)，它是廠商能力的基石，是客戶的最后一道防線。
 
亞信安全是中國網(wǎng)絡(luò)安全產(chǎn)業(yè)領(lǐng)跑者，在身份安全、APT治理、態(tài)勢感知、大數(shù)據(jù)安全、云安全等核心領(lǐng)域具有全球領(lǐng)先優(yōu)勢，并廣泛服務(wù)于關(guān)鍵基礎(chǔ)設(shè)施領(lǐng)域超過5萬家機構(gòu)。亞信安全將以核心技術(shù)為依托，不斷優(yōu)化安全產(chǎn)品、服務(wù)與解決方案，護航產(chǎn)業(yè)互聯(lián)網(wǎng)，助力清朗網(wǎng)絡(luò)空間。