傳統(tǒng)網(wǎng)絡(luò)安全解決方案向來采取以預(yù)防為核心的實施戰(zhàn)略，其重點在于阻止網(wǎng)絡(luò)攻擊活動。雖然這一點仍然非常重要，但如今的眾多高水平惡意攻擊者完全擁有動機及能力以繞過邊界防御體系，利用種種創(chuàng)造性、隱匿性、有針對性及持續(xù)性的攻擊手段長時間潛伏在目標系統(tǒng)之內(nèi)而無法被及時發(fā)現(xiàn)。

為了應(yīng)對以往以預(yù)防為中心的安全戰(zhàn)略的既有缺陷并確保IT環(huán)境能夠在日益復(fù)雜的安全挑戰(zhàn)中得以幸存，各組織機構(gòu)應(yīng)積極轉(zhuǎn)移自身資源，并將重點放在以威脅檢測與應(yīng)對措施為中心的新型戰(zhàn)略層面。高度重視如何削減平均檢測時間（簡稱MTTD）與平均修復(fù)時間（簡稱MTTR）等指標的安全團隊能夠借此有效降低遭遇高影響力網(wǎng)絡(luò)事故或者數(shù)據(jù)泄露的可能性。

幸運的是，如果大家使用端到端威脅管理流程進行快速檢測與響應(yīng)，則能夠顯著提升自身對于高影響力網(wǎng)絡(luò)事故的抗御能力。當黑客對某一環(huán)境加以攻擊時，其必然遵循從初步入侵到最終數(shù)據(jù)泄露的整個流程——前提是該威脅執(zhí)行者始終未被安全體系所察覺?，F(xiàn)代網(wǎng)絡(luò)安全方案需要關(guān)注如何降低MTTD與MTTR，即在威脅活動的生命周期之初將其扼殺，最終避免可能引發(fā)的后續(xù)結(jié)果與損失。

在入侵活動當中，攻擊者往往采取以下幾個典型步驟：

第一階段在于確定潛在目標滿足攻擊者實施入侵的條件（例如具備理想的經(jīng)濟收益、有針對性地獲取敏感信息或者造成品牌損害）。一旦確定了現(xiàn)有防御機制之后，攻擊者將據(jù)此選擇自己的攻擊武器——具體包括利用零日安全漏洞、實施魚叉式網(wǎng)絡(luò)釣魚活動或者收買賄賂內(nèi)部員工等等。

在初步入侵當中，攻擊者通常會繞過邊界防御機制并通過存在安全漏洞的系統(tǒng)或者用戶帳戶訪問機制滲透至內(nèi)部網(wǎng)絡(luò)當中。

已遭入侵的設(shè)備隨后會被作為接入組織內(nèi)部的跳板。一般來講，攻擊者會利用其下載并安裝遠程訪問木馬（簡稱RAT），以便建立針對目標環(huán)境的持久性長期遠程訪問能力。

一旦攻擊者與內(nèi)部網(wǎng)絡(luò)建立起連接，其即會試圖危害其它系統(tǒng)及用戶帳戶。攻擊者通常會冒充授權(quán)用戶，因此安全方案將很難發(fā)現(xiàn)系統(tǒng)遭遇入侵的證據(jù)。

在這一階段當中，攻擊者通常已經(jīng)建立起多個遠程訪問入口點，并可能已經(jīng)成功入侵了數(shù)百（甚至數(shù)千）套內(nèi)部系統(tǒng)及用戶帳戶。他們深入了解IT環(huán)境中的各方面狀況，并能夠順利實現(xiàn)自己的惡意目標。

如果未能有效扼止惡意活動，企業(yè)將在最終階段中遭受嚴重的經(jīng)濟損失。在此階段中，攻擊者將逐步實現(xiàn)其任務(wù)的終極目標，包括竊取知識產(chǎn)權(quán)或其它敏感數(shù)據(jù)、破壞關(guān)鍵性任務(wù)系統(tǒng)并常常會中斷您的正常業(yè)務(wù)運營。

對此類威脅活動的早期檢測與響應(yīng)能力正是保護網(wǎng)絡(luò)免受大規(guī)模惡意影響的關(guān)鍵所在。趁早檢測并響應(yīng)攻擊活動，企業(yè)需要承擔的最終成本也就越低。為了降低MTTD與MTTR，企業(yè)需要實現(xiàn)端到端檢測與響應(yīng)流程——即實現(xiàn)威脅生命周期管理（簡稱TLM）。

威脅生命周期管理代表的是一系列具有一致性的安全操作能力與過程，首先包括能夠在IT環(huán)境中廣泛并深入進行“觀察”的能力，另外企業(yè)還需要有能力在安全事故發(fā)生后快速進行應(yīng)對與恢復(fù)。

在檢測到任何威脅跡象之前，企業(yè)必須確保IT環(huán)境下的攻擊行為證據(jù)皆具備可見性。由于威脅活動針對IT基礎(chǔ)設(shè)施中的各個層面，因此大家能夠觀察到的區(qū)域越廣，實現(xiàn)成功檢測的可能性就越高。在這方面，大家應(yīng)當高度關(guān)注三種原則性數(shù)據(jù)類型，具體優(yōu)先級按次序分為：安全事件與報警數(shù)據(jù)、日志與機器數(shù)據(jù)以及傳感器取證數(shù)據(jù)。

盡管安全事件與警報數(shù)據(jù)通常屬于安全團隊所能掌握的最具價值的數(shù)據(jù)源，但我們往往很難快速判斷應(yīng)關(guān)注哪些事件或者哪些警報信息。日志數(shù)據(jù)在這方面能夠提供更為深入的IT環(huán)境可見性，包括幫助我們判斷誰在哪里于何時做過什么。

現(xiàn)有的安全解決方案在安全威脅管理方面仍處于初級階段，SOC往往受制于日志采集來源以及分析能力的不足，IDS、NGFW等產(chǎn)品可以基于流量中的異常進行檢測，但都停留在入侵嘗試階段，大量的無用告警讓使用者無所適從，無法感知真正的安全事件，近年來各廠商開始推出基于深度檢測的APT產(chǎn)品，但重點和方向各異，實際對安全威脅管理的效果也差別較大，比較典型的是以病毒木馬檢測配合沙箱技術(shù)的傳統(tǒng)安全廠商，但隨著攻防對抗的升級，也有一些新的思路出現(xiàn)，比如安恒的明御APT產(chǎn)品就是以APT攻擊事件分析、基于行為和沙箱的場景化分析、DGA檢測算法等新技術(shù)為核心，在安全威脅管理方面可以較為全面的涵蓋到六個階段。一旦企業(yè)能夠有效收集其安全日志數(shù)據(jù)，則可隨后配合傳感器取證數(shù)據(jù)以實現(xiàn)更具深度與廣度的可見能力。

在建立起這種可見能力之后，企業(yè)即可檢測并響應(yīng)各類威脅活動。潛在威脅的發(fā)現(xiàn)應(yīng)通過搜索與機器分析將結(jié)合的方式實現(xiàn)。已被發(fā)現(xiàn)的威脅活動必須迅速進行評估，包括考量其對于業(yè)務(wù)的潛在影響以及相關(guān)響應(yīng)舉措的緊迫程度。在對事件進行定性之后，企業(yè)應(yīng)實施相關(guān)緩解措施以降低并最終消除由此給業(yè)務(wù)帶來的風險。而一旦事故中止且業(yè)務(wù)風險受到有效控制，企業(yè)則可以開始推進全面的恢復(fù)性工作。

通過投資威脅生命周期管理方案，企業(yè)遭遇破壞性網(wǎng)絡(luò)事故或者數(shù)據(jù)泄露的風險將大大降低。盡管仍面臨著諸多內(nèi)部與外部威脅，但企業(yè)足以憑借著由此帶來的更為強大的檢測與響應(yīng)能力對自身環(huán)境加以管理，最終削減惡意活動造成巨大影響乃至高昂代價的可能性。