网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

原标题：新一代杀毒策略 “组合拳”打败网络“高级黑”

　　美国FBI（联邦调查局）一位高管曾说：世界上只有两种企业，一种是知道自己已被黑客APT入侵的；另一种是还浑然未知的。

　　APT指高级持续性威胁（Advanced Persistent Threat），它的“高级”在于“用间谍打头阵”。例如，谷歌遭受的著名的“极光行动”中，黑客研究了一位谷歌普通员工与好友的共同爱好，伪装成其好友向其发送邮件，员工访问邮件后中招，谷歌内部终端被未知恶意程序渗透数月，窃取了大量信息。

　　“它潜伏下来，不做什么坏事，每天像正常‘员工’一样来系统‘上班’，慢慢的传统安全体系会认为它并没有攻击的属性。”亚信安全通用安全产品总经理童宁解释，APT的善伪装、善潜伏、伺机而动，让网络安全的“老三样”（防火墙、入侵检测、杀毒软件）防不胜防，迫切需要一种全新的网络安全治理策略。为此，近日亚信安全发布安全高级威胁治理XDR战略，将发现、响应等能力组合起来，从监测、发现、验伤、应对、止损等多个节点上加强安全治理，打出安全“组合拳”，拆穿黑客中的间谍组织以及背后的主脑“黑手”。

　　攻击手段“大集锦”，辨识黑客“门派”

　　现实中的案件发生后，警方会把周边的摄像头数据全部调出来，关联一下，找到人物和时间线索，很快可以抓到罪犯。但是在虚拟的网络环境里，人们看不到人，看到的只有程序、算法、文件等虚拟的字符串，如何锁定黑客呢？

　　“不同的黑客有不同的‘招法’，就像我们在武侠故事里经常看到的每一个派别都有自己的招法，其实在安全行业里面也是这样，一个黑客是哪个组织的，可以通过看他的攻击手法和特征来判断。”亚信安全通用产品管理副总经理刘政平说，因此针对黑客的行为去建立一些模型或者规则，可以对黑客的攻击进行分析判断，这样的研究被称为IOC，即黑客攻击行为的研究。因此，情报机制非常重要，“虽然黑客在暗、我们在明，但将他们的蛛丝马迹综合起来，将非常有助于对未知威胁的防范。”

　　一个企业对于威胁的侦测能力与其掌握的威胁情报体量和分析威胁情报的能力密切相关。这就好比一个人的知识广度和分析能力决定了他的认知能力。如何能够对于威胁既不“风声鹤唳”，也不“马虎大意”呢？

　　为了更准确预测黑客试探背后的威胁，亚信安全形成了本地和云端威胁情报双回路的体系。刘政平解释，比如当企业中有大量的网络数据流，或者恶意文本，该体系可以据此通过威胁情报去检索，看看这种东西有没有在企业其他地方出现过、发生过，它的攻击本质是什么，如何预防。如果本地没有匹配的威胁情报，将进一步把这些异常表现放到云端威胁情报库匹配，寻找蛛丝马迹。“前者是基于我们帮助企业来做相关的知识库和知识体系；后者是购买、共建的全球范围情报体系。”刘政平说，这两个体系互为补充、互通有无。当本地威胁情报确认后，会交给云端威胁情报共享给全球的其他用户使用。其他用户的本地情报也会参与组建威胁情报，共享共用。

　　练就“火眼金睛”，定性、定量查出真威胁

　　有安全人士慨叹：有了APT，网络的世界也不再是“非黑即白”了。

　　以往的病毒就是病毒，它们的特征会被集合进病毒库，列进“黑名单”中。系统不断更新病毒库，就能不断识别这些被通缉的“病毒”。“人们越来越认识到，防范已知威胁远远不够，未知威胁、高级威胁开始对我们的企业产生巨大的破坏。”亚信安全产品总监白日说，例如，伊朗布什尔核电站遭到Stuxnet蠕虫攻击、乌克兰电厂的勒索病毒爆发……这意味着杀毒软件、身份认证、防火墙的“防守打法”开始不奏效了。

　　2010年开始，包括机器学习、行为学习、大数据、关联分析在内的可预测技术开始帮助人们发现未知的可疑威胁。然而，单纯地发现带来的是“告警”无数的窘况。

　　“就好像每天有无数的嫌犯进入警察的视野，怎么分辨转变成主要问题。”白日说，企业需要处理和响应的威胁告警越来越多，相当大部分需要人工进行干预。企业的痛点是，人力不够，不会处理。

　　“企业看到了告警，但看不懂威胁，不知道该如何判断威胁是不是真实发生了，也不知道该怎么去确认这个威胁的本质，弄清威胁的攻击者有什么意图，随后会产生什么样的影响。”白日解释，也就是说，大部分收到威胁告警的企业不知道下一步怎么去作定性和定量的分析，定性是弄清楚黑客的意图，定量是弄清损失情况及被攻击到哪一步。