亞信安全:揭密APT攻擊治理策略

責(zé)任編輯:jcao

作者:曹建菊

2018-12-06 15:09:44

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

過去客戶在安全上采取的策略普遍采用“木桶理論”, 采購A家具有優(yōu)勢的防火墻,B家的入侵檢測,C家的防毒墻等,如果ABC都沒有擋住,客戶便覺得自己已經(jīng)盡力了。但木桶理論最大的問題是由于產(chǎn)品來自于不同公司,所以協(xié)作很差。木桶上的每一個(gè)板子似乎都很長,可是板子與板子之間有很大的縫隙,所以導(dǎo)致了

病毒威脅演化到今天,已走過了三個(gè)階段。從嘩眾取寵的一戰(zhàn)成名,到為了得到大量黑產(chǎn)變現(xiàn),安全威脅手段已經(jīng)越來越普遍,而危害也越來越大。猶記得《亞信安全 2015 年及未來安全預(yù)測》中摘要里的一句話:APT 攻擊將會(huì)像普通病毒攻擊一樣普遍!”記得當(dāng)時(shí)還引發(fā)過小范圍討論。但當(dāng)伊朗布什爾核電站遭受Stuxnet 蠕蟲攻擊,到Target 超市、eBay 、iCloud、索尼影視等企業(yè)遭受各種不同類型的APT攻擊屢屢損失嚴(yán)重時(shí),這些事實(shí)不斷在提醒我們,APT已經(jīng)成為最具攻擊性、隱蔽性、破壞性的網(wǎng)絡(luò)威脅。

安全治理:從“老三樣“到精密編排聯(lián)動(dòng)

從網(wǎng)絡(luò)安全最原始的“老三樣建設(shè)”:防火墻、入侵檢測、防毒墻,到今天下一代技術(shù)開始大規(guī)模被客戶接受,中國的安全廠商走過了一條艱辛之路。而成立三年的亞信安全,卻在抵抗APT攻擊之路上已走過了十條(亞信安全的前身是趨勢科技)。亞信安全通用安全產(chǎn)品總經(jīng)理童寧指出:“APT的本質(zhì)就是環(huán)境不太可信,而可信有兩個(gè)維度,一個(gè)是系統(tǒng)提供方給你的是可信的,第二個(gè)就是運(yùn)行過程中這個(gè)系統(tǒng)是不是你認(rèn)知的當(dāng)年的系統(tǒng),它有沒有“變心”。而判斷這兩個(gè)維度或者從判斷到治理需要一套完整的方案,亞信安全發(fā)布的XDR戰(zhàn)略是發(fā)現(xiàn)、響應(yīng)、預(yù)測相關(guān)的一整套解決方案“。

上圖為:亞信安全通用安全產(chǎn)品總經(jīng)理童寧

過去客戶在安全上采取的策略普遍采用“木桶理論”, 采購A家具有優(yōu)勢的防火墻,B家的入侵檢測,C家的防毒墻等,如果ABC都沒有擋住,客戶便覺得自己已經(jīng)盡力了。但木桶理論最大的問題是由于產(chǎn)品來自于不同公司,所以協(xié)作很差。木桶上的每一個(gè)板子似乎都很長,可是板子與板子之間有很大的縫隙,所以導(dǎo)致了防御體系有很大的漏洞。新的安全策略需要“精密編排的聯(lián)動(dòng)”。

精密編排聯(lián)動(dòng)是指先做好安全預(yù)案,再要求安全產(chǎn)品聯(lián)動(dòng),強(qiáng)調(diào)精密編排、相互聯(lián)動(dòng)的作用。也就是安全產(chǎn)品之間和系統(tǒng)之間要非常緊密的融合,做到精密編排,出了問題知道應(yīng)該怎么快速解決,并且平常就要開展網(wǎng)絡(luò)安全相關(guān)的應(yīng)急響應(yīng)訓(xùn)練等等。

亞信安全APT攻擊的十年治理

亞信安全針對APT攻擊治理已走過了漫長的十年。

2008年形成了APT治理戰(zhàn)略1.0的戰(zhàn)略雛形。

2009年發(fā)現(xiàn)了大量的APT攻擊事件,并且嘗試做大規(guī)模的跟蹤。

2010年積極幫助了像谷歌極光事件以及郵件攻擊事件的處理。

2011年協(xié)助企業(yè)降低受到APT的攻擊風(fēng)險(xiǎn)。

2013年韓國爆發(fā)的大規(guī)模APT攻擊事件,導(dǎo)致大量的機(jī)構(gòu)和媒體全部癱瘓,韓國的大民銀行由于采用了趨勢科技的產(chǎn)品,提前做出響應(yīng),成功抵御了APT攻擊。

2014年對整個(gè)產(chǎn)品線做不斷的擴(kuò)充和升級(jí),加入了郵件的網(wǎng)管,加入了終端威脅取證的相關(guān)產(chǎn)品,將APT治理平臺(tái)不斷地演化和提升。

2015年7月,發(fā)布了整個(gè)APT治理戰(zhàn)略2.0,包括了兩大內(nèi)容:一是發(fā)布了整個(gè)戰(zhàn)略2.0理論模型,也叫威脅迭代的威脅治理模式,二是發(fā)布了兩大支持體系,即本地和云端威脅情報(bào)雙回路體系及全面的威脅聯(lián)動(dòng)治理體系。

2017年開始,針對大量客戶的反饋和反彈,為客戶提供快速恢復(fù)補(bǔ)救能力,以幫助客戶制定相關(guān)的響應(yīng)預(yù)案,做相關(guān)的自動(dòng)化編排,以及如何和客戶現(xiàn)有的平臺(tái)進(jìn)行對接、調(diào)查等等。

揭密亞信安全APT治理策略

亞信安全APT治理策略包括一個(gè)中心+四個(gè)過程,即以監(jiān)控為中心,以偵測、分析、響應(yīng)、預(yù)防為四個(gè)過程。

第一個(gè)過程是偵測,偵測是指檢測的是高級(jí)威脅,傳統(tǒng)方式無法識(shí)別,而不是現(xiàn)在已知的威脅。在檢測到威脅的時(shí)候,確認(rèn)這個(gè)威脅是否真的發(fā)生,并判斷攻擊的本質(zhì),包括攻擊者的意圖,通過回溯攻擊場景來定量的評(píng)估這個(gè)威脅對企業(yè)的影響和范圍;

第二個(gè)過程是定性和定量的分析,通過定性定量分析,判斷這是一個(gè)什么樣類型的攻擊,會(huì)造成了什么樣的影響,才能對癥下藥;

第三個(gè)過程是提出并執(zhí)行相關(guān)的響應(yīng)策略,最后做進(jìn)一步的威脅響應(yīng)。

第四個(gè)過程是預(yù)防階段,當(dāng)黑客進(jìn)行攻擊,其意圖要么是破壞要么是竊取。因此,企業(yè)管理者要明確企業(yè)的核心信息資產(chǎn),通過相關(guān)的數(shù)據(jù)挖掘方法,再通過加密、防泄露、應(yīng)用控制等技術(shù),預(yù)防信息資產(chǎn)被黑客找到、破壞或者竊取。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)