與APT的十年博弈 下一步棋將子落何方?

提到APT攻擊，相信業內人士已經非常熟悉。APT不是一個新名詞，尤其是近年來，APT攻擊對企業業務的正常運轉構成了嚴重的威脅。有人曾經說過這樣一段話：世界上有兩種企業，一種是知道自己的企業已經被黑客APT入侵，還有一種是企業已經被APT入侵，但自己卻渾然未知。

其實對于有些企業來講，它可能堆疊了大量傳統的網絡安全設備，防火墻、入侵檢測以及防病毒等安全老三樣設備一應俱全，那為什么APT攻擊依舊防不勝防?說到底還是APT攻擊的偽裝性在起作用。對于企業來講每天都可能面臨大量的安全告警和情報，但安全管理人員大都疲于分析應對，尤其是對于未知安全威脅更是無從下手，由此也就導致APT攻擊愈發囂張。

也正是由于APT攻擊極強的偽裝性，如何及時發現APT攻擊并進行有效防御成為一大難題!為了解決這一問題，不少安全廠商可以說是煞費苦心。經過不斷討論研究，2015年Gartner最終推出了一個全新的安全防御理念——SOAR。

從SOAR到威脅治理戰略3.0

目前亞信安全從安全運營的角度出發，提出基于SOAR模型的精密編排的自動化檢測及響應-XDR體系，這也是下一代威脅治理戰略3.0的雛形。根據亞信安全產品總監白日介紹，SOAR體系主要由三大核心構成，分別是SOA精密編排的聯動安全解決方案、IR安全事故應急響應平臺或服務以及TIP威脅情報平臺。

那SOAR究竟能為網絡安全防御帶來哪些價值呢?總結下來其價值主要包括以下幾點：首先SOAR能夠大大縮短應急響應時間，提高應急響應效率;能夠減少和優化傳統SOC中不必要和冗余的工作;此外，安全產品整合的API能夠加速自動化進程;SOAR還能夠進行豐富的相關的數據安全服務，包括威脅情報平臺部分;除此之外，SOAR還可以提高告警分析質量和偵測發現能力，提高工作精準度，并減少培訓新安全運維分析人員的代價，以及提高整體衡量管理安全的運維能力。

也就是說通過SOAR平臺能夠將情報收集工作、安全告警、情報分析以及響應工作整合在一起，從而形成一套完備的安全自動化解決方案。而這一套完備的安全理念和亞信安全最新發布的威脅治理戰略3.0不謀而合!

與APT攻擊的十年“抗戰”

近日，亞信安全成功舉辦了高級威脅治理十周年暨XDR戰略發布活動。從最初的威脅治理戰略1.0到2.0再到最新提出的威脅治理戰略3.0，亞信安全(前身趨勢科技)與APT攻擊已經對抗十年有余。亞信安全通用安全產品總經理童寧表示: “十年間，我們經歷了摸索、創新、融合、螺旋迭代的過程，與不法分子的博弈成就了亞信安全在高級威脅治理領域的引領。這是一場漫長的對決，關乎未來，以及未來的未來。”

白日表示，亞信安全最新提出的威脅治理戰略3.0是和1.0、2.0一脈相承的。通過對企業業務安全需求的調查，亞信安全認為當前企業客戶遇到的最大問題在于不知如何對威脅進行分析;不知道如何針對威脅進行快速響應;更不知道在整個過程中應該如何與安全運營緊密結合在一起，而這些都是威脅治理戰略3.0階段要解決的主要問題。而也正是為了解決這些問題，借助高級威脅治理十周年之際，亞信安推出了全新的安全解決方案——XDR。

亞信安全推出XDR方案的集成和升級

XDR是個什么東?

混跡安全圈的朋友可能聽過EDR(終端檢測與響應)、MDR(托管檢測和響應)、NDR(網絡檢測與響應),那亞信安全的XDR又是什么?

通過了解，XDR方案整體脫胎于SOAR平臺，是一套集發現、響應、預測于一體的整套解決方案。根據亞信安全通用產品管理副總經理劉政平介紹，XDR中的X代表著未來場景，無論黑客通過哪些場景發動攻擊，該解決方案都能夠提供變量的應對方式，D(Detection)代表著檢測，監控機制，主要是對安全威脅的監測。R(Response)代表著響應機制，也就是所謂的精密編排，能夠根據不同的業務特征來編排響應模式，且越來越傾向于自動化。

據介紹，亞信安全的XDR方案包括了“準備、發現、分析、遏制、消除、恢復、優化”7個階段，準備階段包括了針對每一種黑客攻擊類型的標準預案，自發現威脅數據之后，將數據集中到本地威脅情報和云端威脅情報做分析，利用機器學習和專家團隊，通過分析黑客進攻的時間、路徑、工具等所有細節，其特征提取出來，再進行遏制、清除、恢復和優化。

下一步棋將子落何方?

彈指一揮間，亞信安全(前趨勢科技)與APT的博弈已經十年有余，下一步棋將如何落子亞信安全已經給出了他的答案。劉政平表示，未來的網絡安全不能僅依靠專業的人去做，而是要更多的將人工智能融入到網絡安全中，利用人工智能技術對留存的數據進行分析，從而提高運維的戰斗力。而亞信安全基于SOAR最新推出的XDR方案是否能在接下來的博弈中立于不敗之地，讓我們拭目以待!