APT治理這十年,“響·當然”也是亞信安全
作者 | 張戈 (公眾號ID:TechECR)
“響·當然”是對亞信安全XDR戰略的另一種演繹,具體如何解釋,後文闡述。但反派主角可先登場,“世界上只有兩類大型企業,一類企業知道已被APT***,另一類是並不知道。”這是美國聯邦調查局高官,對APT“影響力”的描述,而此種威脅至今已持續10餘年。
2007年之後的“俺怕他”
有意思的現象。2007年之後,就沒有爆發過大規模病毒事件(除2017年的WannaCry之外)。當然這一現象並不有意思,不是***們金盆洗手,只是他們改變策略,變“搶”為“偷”,採用APT(高階持續性威脅)手段進行,進行間諜活動。
APT,可演繹翻譯為“俺怕他”。例如,Google 遭受Aurora(極光)***;Stuxnet蠕蟲***伊朗布什爾核電站;***組織“和平衛士”盜取索尼影視公司數萬名員工資訊,以及多部未發行電影拷貝,這都屬於典型APT***事件。
究其特徵,APT威脅確實不像WannaCry那樣大馬金刀,動輒就橫掃***150餘個國家,但受過諜戰片教育的人,都知道什麼叫“冷棋閒子”。***潛入企業業務系統,但通常不急於動手,平均潛伏期甚至長達559天,而一旦時機成熟,就盜取“情報”,製造混亂,拿走企業關鍵資料。
APT治理的史前階段
“十年前,我們開始警惕,並告知使用者也要警惕APT,但沒人能聽得懂,也沒人意識到APT的存在。”童寧,亞信安全通用安全產品總經理,他回憶APT概念未被廣泛認知前,極容易與其他威脅混淆:“當時多數資料洩露事件,都歸結為資料安全,或企業安全管理漏洞。”
言歸正傳。2008年,趨勢科技正式釋出APT高階威脅治理戰略(2015年,趨勢科技中國被亞信科技收購,成立亞信安全),這在安全業內也是一個具有標誌性的事件,標誌著APT已經作為一個單獨的門類,被產業所重視,並有相關企業提出了體系化的解決方案,以及落地戰略。
其實,1999年時,趨勢科技已經發現梅利莎病毒,這是最早期形態的APT***;2002年,趨勢科技推出里程碑式的企業安全防護戰略(EPS),這此後成為該公司APT治理戰略中,產品聯動解決方案的雛形;2003年,趨勢科技於業內首家提出“雲安全”概念,這也是利用雲安全智慧防護網路,幫助使用者治理APT的起點;2005年,APT一詞首次出現在美國官方報告中,趨勢科技TDA第一代產品問世。
此後即是,2007年,趨勢科技Deep Discovery深度威脅發現解決方案問世。2008年,趨勢科技又將相關產品,以及APT治理經驗進行整合,正式釋出APT高階威脅治理戰略1.0。
APT治理這十年
到此為止,可稱為APT治理的史前階段。此時趨勢科技針對APT治理,戰略性地引入了“雲安全”的概念,也開始形成病毒全生命週期管理思路,以及安全裝置協同聯動理念。此後數年間,趨勢科技又不斷豐富產品線,新增了安全郵件閘道器、終端威脅取證等產品。
2015年,又一個重要時間節點。趨勢科技釋出APT高階威脅治理戰略2.0,以1箇中心、4個過程、6個抑制點為基礎,形成了“螺旋迭代”的立體化治理模型。該模型是以“監控”為中心,“偵測、分析、響應、阻止”為4個治理過程,在APT ***過程的6個階段分別建立抑制點。
此外,APT高階威脅治理戰略2.0還有另一貢獻,即建立了全面的威脅聯動治理體系。產品維度實現了“雲、管、端”全線安全產品的聯動;管理維度實現了從偵測、分析,到響應、阻止的全過程聯動。
過多技術細節內容不必贅述,但突出介紹一點,“螺旋迭代”的立體化治理模型,以及威脅聯動治理體系,支撐了趨勢科技的APT治理戰略,至今多數廠商也還在沿用類似體系。當然,還要插入介紹一句。同樣是2015年,趨勢科技中國被亞信科技收購,並融合成立了全新的公司品牌——亞信安全。
APT治理的下一個十年
這就是APT治理的近十年,而未來已來,“現在,亞信安全從安全運維視角出發,提出了通過SOAR平臺的精密編排能力,打造一套安全聯動運維體系的理念,這也是APT高階威脅治理戰略3.0的雛形。”亞信安全產品總監白日說。
從過去十年,APT威脅治理能力的發展水平看,通過技術和產品的不斷演化、組合、聯動,使用者基本可以做到發現、分析,然而對於響應、預測,還是有些偏頭痛。舉例說明,在使用者購買了態勢感知等解決方案後,每天都會產生海量告警,發現大量可疑***和威脅,但使用者或是因為自身技術能力有限,或是沒有完善的知識體系,不知如何確認威脅本質,以及***意圖,更無法還原***場景。
這就是現實。當然,管殺不管埋,只“發現”不“響應”,不是亞信安全的性格。也就是說,在APT高階威脅治理戰略3.0中,亞信安全為客戶提供的是快速恢復補救能力,即快速響應能力。
亞信安全所定義的“響應能力”由四部分構成:告警處理,分類並劃分安全事件優先順序;定性分析,判斷威脅的真實性,確認威脅的本質和意圖;定量分析,回溯***場景,評估威脅的嚴重性;快速響應,根據響應指令碼,執行響應策略。
此四部分能力,組成了亞信安全以安全運維為視角的SOAR框架,即利用SOA精密編排的聯動安全解決方案;IR安全事故應急響應平臺;TIP威脅情報平臺,將安全產品以及安全流程連線和整合起來。也可類比解釋,每座城市都已建立應急響應系統,一旦觸發火情報警,119、110、120等不同城市管理部門,就可參考事前預案,立即協同聯動,這也是SOAR框架的最通俗理解。
“響·當然”也是亞信安全
當然,上述解決方案即構成了亞信安全的APT高階威脅治理戰略3.0,其另一個名字叫做“XDR戰略”。其中,“X”代表智慧時代的諸多應用場景,例如無人駕駛、工業網際網路、智慧醫療、智慧零售等;“D”代表感測器,“雲、管、端”均需要建立不同的監控機制,以及資料還原機制;“R”則代表快速響應,藉助SOAR框架,實現精密編排的聯動響應。
同時,亞信安全還已明確了XDR戰略的落地應用解決方案,其包括了“準備、發現、分析、遏制、消除、恢復、優化”這7個階段。準備階段包括了針對每一種******型別的標準預案,自發現威脅資料之後,將資料集中到本地威脅情報和雲端威脅情報做分析,利用機器學習和專家團隊,通過分析***進攻的時間、路徑、工具等所有細節,其特徵提取出來,再進行遏制、清除、恢復和優化。
而最後,回到文章開頭,XDR戰略另一種演繹,也可以解釋為,“響·當然”戰略,即實現對APT威脅的快速“響應”,“當然”是亞信安全。因為只有其可提升響應環節的效率,只有其具有高效敏捷的精密編排能力,而這才是未來APT治理的解決之道。
【TechECR】關注科技企業生態體系建設,這裡有思考、有觀點;有點頭咂嘴,也有會心一笑。創始人:張戈,曾任《商業夥伴》、《電腦商報》副總編,不碼字,不寫稿子、只輸出有質感的文章。以生態合作為視角,研究IT產業18年,常年保持對ICT企業、IT方案商、IT渠道商保持高頻度採訪。同名專欄現已入駐各大主流媒體平臺。合作聯絡:[email protected]