亞信安全:揭密APT攻擊治理策略
病毒威脅演化到今天,已走過了三個階段。從譁眾取寵的一戰成名,到為了得到大量黑產變現,安全威脅手段已經越來越普遍,而危害也越來越大。猶記得《亞信安全 2015 年及未來安全預測》中摘要裡的一句話:APT 攻擊將會像普通病毒攻擊一樣普遍!”記得當時還引發過小範圍討論。但當伊朗布什爾核電站遭受Stuxnet 蠕蟲攻擊,到Target 超市、eBay 、iCloud、索尼影視等企業遭受各種不同型別的APT攻擊屢屢損失嚴重時,這些事實不斷在提醒我們,APT已經成為最具攻擊性、隱蔽性、破壞性的網路威脅。
安全治理:從“老三樣“到精密編排聯動
從網路安全最原始的“老三樣建設”:防火牆、入侵檢測、防毒牆,到今天下一代技術開始大規模被客戶接受,中國的安全廠商走過了一條艱辛之路。而成立三年的亞信安全,卻在抵抗APT攻擊之路上已走過了十條(亞信安全的前身是趨勢科技)。亞信安全通用安全產品總經理童寧指出:“APT的本質就是環境不太可信,而可信有兩個維度,一個是系統提供方給你的是可信的,第二個就是執行過程中這個系統是不是你認知的當年的系統,它有沒有“變心”。而判斷這兩個維度或者從判斷到治理需要一套完整的方案,亞信安全釋出的XDR戰略是發現、響應、預測相關的一整套解決方案“。
上圖為:亞信安全通用安全產品總經理童寧
過去客戶在安全上採取的策略普遍採用“木桶理論”, 採購A傢俱有優勢的防火牆,B家的入侵檢測,C家的防毒牆等,如果ABC都沒有擋住,客戶便覺得自己已經盡力了。但木桶理論最大的問題是由於產品來自於不同公司,所以協作很差。木桶上的每一個板子似乎都很長,可是板子與板子之間有很大的縫隙,所以導致了防禦體系有很大的漏洞。新的安全策略需要“精密編排的聯動”。
精密編排聯動是指先做好安全預案,再要求安全產品聯動,強調精密編排、相互聯動的作用。也就是安全產品之間和系統之間要非常緊密的融合,做到精密編排,出了問題知道應該怎麼快速解決,並且平常就要開展網路安全相關的應急響應訓練等等。
亞信安全APT攻擊的十年治理
亞信安全針對APT攻擊治理已走過了漫長的十年。
2008年形成了APT治理戰略1.0的戰略雛形。
2009年發現了大量的APT攻擊事件,並且嘗試做大規模的跟蹤。
2010年積極幫助了像谷歌極光事件以及郵件攻擊事件的處理。
2011年協助企業降低受到APT的攻擊風險。
2013年韓國爆發的大規模APT攻擊事件,導致大量的機構和媒體全部癱瘓,韓國的大民銀行由於採用了趨勢科技的產品,提前做出響應,成功抵禦了APT攻擊。
2014年對整個產品線做不斷的擴充和升級,加入了郵件的網管,加入了終端威脅取證的相關產品,將APT治理平臺不斷地演化和提升。
2015年7月,釋出了整個APT治理戰略2.0,包括了兩大內容:一是釋出了整個戰略2.0理論模型,也叫威脅迭代的威脅治理模式,二是釋出了兩大支援體系,即本地和雲端威脅情報雙迴路體系及全面的威脅聯動治理體系。
2017年開始,針對大量客戶的反饋和反彈,為客戶提供快速恢復補救能力,以幫助客戶制定相關的響應預案,做相關的自動化編排,以及如何和客戶現有的平臺進行對接、調查等等。
揭密亞信安全APT治理策略
亞信安全APT治理策略包括一箇中心+四個過程,即以監控為中心,以偵測、分析、響應、預防為四個過程。
第一個過程是偵測,偵測是指檢測的是高階威脅,傳統方式無法識別,而不是現在已知的威脅。在檢測到威脅的時候,確認這個威脅是否真的發生,並判斷攻擊的本質,包括攻擊者的意圖,通過回溯攻擊場景來定量的評估這個威脅對企業的影響和範圍;
第二個過程是定性和定量的分析,通過定性定量分析,判斷這是一個什麼樣型別的攻擊,會造成了什麼樣的影響,才能對症下藥;
第三個過程是提出並執行相關的響應策略,最後做進一步的威脅響應。
第四個過程是預防階段,當黑客進行攻擊,其意圖要麼是破壞要麼是竊取。因此,企業管理者要明確企業的核心資訊資產,通過相關的資料探勘方法,再通過加密、防洩露、應用控制等技術,預防資訊資產被黑客找到、破壞或者竊取。