普通感冒這種小病，對人類來說已經(jīng)不構(gòu)成生命威脅，甚至可以說已經(jīng)是朝夕相處、稀松平常，怎么會成為絕癥呢?

這是一個常掛在嘴邊的段子：是艾滋病危險還是感冒危險?艾滋病雖然致命，但只要控制潔身自好，就很難患病;而感冒雖然病癥不重，但一不小心就會得上，而且如果不重視，就會發(fā)展其他嚴(yán)重并發(fā)癥。

回看Wannacry，它就像這樣一場感冒，卻最終發(fā)展成了絕癥。

??

[[192307]]

Wannacry的威脅程度微不足道

說Wannacry是“感冒”，真的不是我看不起它，而是因為它的本質(zhì)就只是操作系統(tǒng)漏洞，而且這個漏洞三月份就被微軟打補丁修復(fù)了，事件后所有廠商給出的意見，最終還是打補丁封端口，這實在是太初級也太好修復(fù)了。相比動輒出現(xiàn)在各類宣傳中技術(shù)高超的0day和APT2.0們，實在是見了面都不好意思打招呼。但就是這么一位“感冒”老兄，掀起的浪花一點都不比“艾滋”大哥小，搞得大批高校政府能源單位損失慘重，現(xiàn)身說法地詮釋了別把豆包不當(dāng)干糧這句至理名言。

Wannacry讓這個幾個系統(tǒng)漏洞這個感冒，在上周末瞬間發(fā)展成了禽流感、甲流、甚至非典。我們緊急就醫(yī)后剛剛松口氣的同時，不得不冷靜下來，反思這一切的原因。

??

反思1：你在明我在暗:，防御者處于天然劣勢

在攻防兩端的較量中，攻擊者可以選擇任意時間、任意地點、任意漏洞利用、任意攻擊面發(fā)起攻擊，而防御者必須在全時間、全網(wǎng)絡(luò)、全攻擊面上全部進行防御。從概率、難度和工作量上來說，攻擊方占據(jù)天然的優(yōu)勢。

回過頭來，我們站在攻擊者的角度來調(diào)研，100%的攻擊者表示只要有人能訪問你的數(shù)據(jù)，數(shù)據(jù)就一定會丟失，88%的受訪攻擊者聲稱他們12小時就能攻破一個目標(biāo)，69%的受訪者表示安全團隊幾乎從未抓到過他們的行蹤。這個結(jié)果告訴我們一個殘酷的事實：攻擊者實際成功率其實很高，已經(jīng)部署的防御系統(tǒng)實際失效率很高。

所以，在跟攻擊者做斗爭時，防御者要放下架子：不要總想著一拳把人家KO，而要多多周旋，以智退敵。問題不再是是否被黑，而是什么時候被黑和什么時候發(fā)現(xiàn)被黑。當(dāng)攻擊者的成本越來越高，攻擊者自然更傾向于半途知難而退，這更像一種“勸降”。

??

反思2：意識比技術(shù)更重要

我們常常在足球比賽中提到“意識”這個詞，一名球員在體力和速度上可能落后0.5秒，但上佳的意識可以讓他提早啟動1秒和選擇最優(yōu)路線，最終還是可以成功搶點破門。

在網(wǎng)絡(luò)安全領(lǐng)域亦是如此，防御技術(shù)上部署了再多再高端的安全設(shè)備，意識不到位依然無效。

沒有意識到風(fēng)險是最大的風(fēng)險。

網(wǎng)絡(luò)安全具有很強的隱蔽性，

一個技術(shù)漏洞、安全風(fēng)險可能隱藏幾年都發(fā)現(xiàn)不了。

結(jié)果是“誰進來了不知道、是敵是友不知道、干了什么不知道”，長期“潛伏”在里面，一旦有事就發(fā)作了。

以上這段講話簡直就是Wannacry的神預(yù)測：3月份就存在的漏洞，長期潛伏無人處置，一旦有事被利用就發(fā)作了。我相信此次中招的單位中，絕大部分部署了安全設(shè)備和措施，技術(shù)能力上是可以防御此次勒索病毒的，但是結(jié)果為何事與愿違?這說明網(wǎng)絡(luò)安全意識還不夠，需要工具來提醒和呈現(xiàn)，來加強和鞏固意識。

反思3：病不在重而在于拖

近幾天在網(wǎng)絡(luò)上流行了一個段子，叫做扁鵲見蔡桓公"之"微軟見客戶"：

微軟見用戶，立有間，微軟曰：“君有漏洞在電腦，不治將恐深?！庇脩粼唬骸肮讶藷o疾?！蔽④洺觯脩粼唬骸搬t(yī)之好治不病以為功!”

居十日，微軟復(fù)見，曰：“君之病在端口，不治將益深。”用戶不應(yīng)。微軟出，用戶又不悅。

居十日，微軟復(fù)見，曰：“君之病在病毒，不治將益深。”用戶又不應(yīng)。微軟出，用戶又不悅。

居十日，微軟望用戶而還走。用戶故使人問之，微軟曰：“疾在漏洞，補丁之所及也;在端口，組策略之所及也;在病毒，defender類殺軟之所及也;已中毒，司命之所屬，無奈何也。今已中毒，臣是以無請也?！?/p>

居五月，用戶電腦被鎖，使人索微軟，微軟復(fù)述如上。用戶文件遂亡。

上述段子生動形象地再現(xiàn)了小病擴大的過程，它告訴我們在網(wǎng)絡(luò)安全領(lǐng)域處理威脅要及時，威脅潛伏的時間越長，其威脅能力就越大，破壞力就越強，拖延癥的后果可不是鬧著玩的，拖到最后威脅就變得致命。

??

[[192308]]

反思4：檢測要持續(xù)，響應(yīng)要快速

傳統(tǒng)安全設(shè)備的日志，或者集中匯總到SOC上的日志，常常進行短暫但不持續(xù)的檢測。前面我們看到，一次攻擊可能持續(xù)12個小時以上，這次攻擊可能偽造成從N個點發(fā)起，又針對N個攻擊面，按照每分鐘10條日志的保守計算，這次攻擊將要產(chǎn)生1200條日志，在沒有規(guī)律的情況下這些日志看似獨立難以綜合分析。收集到這種海量日志，又缺乏進行關(guān)聯(lián)分析的方法，對攻擊防御幾乎無法起到任何作用。

所以面對這樣的對手，防御者要進行持續(xù)可跟蹤的檢測和快速地響應(yīng)。Gartner指出，用戶應(yīng)該大幅提升安全檢測手段的投資，應(yīng)該占到整體安全投資的30%以上，預(yù)計到2020年，安全檢測和響應(yīng)的投資將從10%增長到60%。在網(wǎng)絡(luò)安全法的第五章第五十一條，也明確提到：國家建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警和信息通報制度。國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門加強網(wǎng)絡(luò)安全信息收集、分析和通報工作，按照規(guī)定統(tǒng)一發(fā)布網(wǎng)絡(luò)安全監(jiān)測預(yù)警信息。所以不論國內(nèi)外的聲音都告訴我們，需要構(gòu)建持續(xù)監(jiān)測和快速響應(yīng)的防御系統(tǒng)。

??

??

可視化安全威脅態(tài)勢感知方案的目標(biāo)

通過以上的反思和總結(jié)，以Gartner提出的新一代自適應(yīng)安全防御架構(gòu)和Tim Bass提出的態(tài)勢感知框架為指導(dǎo)思想，安博通在業(yè)界率先發(fā)布了可視化安全威脅態(tài)勢方案，該套方案放棄了傳統(tǒng)方案萬能防護、被動防護和短時防護的弊端，致力于實現(xiàn)以下目標(biāo)：縮小暴露面、延長攻擊時間、加強風(fēng)險意識以及降低發(fā)現(xiàn)成本。

??

??

如果把態(tài)勢感知系統(tǒng)比作人體的話，負(fù)責(zé)風(fēng)險威脅防范的安全設(shè)備的策略就是“血肉”，安全策略管理就是“靈魂”。那么當(dāng)四肢感覺到威脅，將信息傳回大腦，而后大腦反應(yīng)決策再做出響應(yīng)過程中，傳導(dǎo)信號的“神經(jīng)元”是什么呢?安博通認(rèn)為，可視化系統(tǒng)就是這里的神經(jīng)元，起到承上啟下傳導(dǎo)的重要作用，而本套方案亦能進行安全策略的管理。

??

可視化安全威脅態(tài)勢感知方案預(yù)防Wannacry勒索案例

在安博通可視化安全威脅態(tài)勢感知系統(tǒng)防護下，可以使用以下三層要件來預(yù)防Wannacry勒索行為。

層級一：基于安全域架構(gòu)的安全策略可視化

將安全域和安全策略可視化后，通過電子版的策略合規(guī)基線圖，可以清晰地呈現(xiàn)訪問路徑。針對Wannacry勒索，此時，防御者應(yīng)該可以清楚地發(fā)現(xiàn)從互聯(lián)網(wǎng)區(qū)域到內(nèi)部區(qū)域存在非法訪問行為，并且系統(tǒng)發(fā)出告警。

??

層級2：流量實時監(jiān)控與主動探測

在這一層級，我們試圖把路徑上的流量呈現(xiàn)出來，對異常流量進行告警，并對業(yè)務(wù)質(zhì)量和網(wǎng)絡(luò)質(zhì)量進行主動探測。針對Wannacry勒索，此時，防御者在收到前文所述的路徑告警信息后，可以查詢到該非法路徑上的流量為目標(biāo)445端口的SMB文件共享，從外到內(nèi)的文件共享明顯是非法異常流量，系統(tǒng)將繼續(xù)告警。至此，即時意識不到位，一名安全防御者應(yīng)該已經(jīng)意識到事態(tài)有問題。

??

層級3：縱深安全事件數(shù)據(jù)的疊加與分析

在這一層級，我們把各個層面的信息匯總起來疊加到系統(tǒng)上，得到更為立體的安全態(tài)勢分析。針對Wannacry勒索，此時用戶根據(jù)路徑和流量的告警繼續(xù)查詢，發(fā)現(xiàn)路徑上的IDS設(shè)備正在上報利用漏洞的日志，而終端安全組件也在上報未打補丁的日志。至此，防御者不僅應(yīng)該很輕易地意識到存在攻擊，而且能夠結(jié)合安全事件情報定位到攻擊手段和防御方法，并通過系統(tǒng)迅速下發(fā)策略響應(yīng)解決此問題。

??

可視化安全威脅態(tài)勢感知平臺部署展示

安博通可視化安全威脅態(tài)勢平臺設(shè)計為數(shù)據(jù)采集層、數(shù)據(jù)處理層和數(shù)據(jù)應(yīng)用層，并進行統(tǒng)一運維管理：

??

以下是各個可視化呈現(xiàn)維度截圖，請各位看官自行欣賞：

安全域基礎(chǔ)架構(gòu)可視化

??

安全路徑可視化分析與查詢

??

合規(guī)矩陣可視化監(jiān)控

??

安全策略可視化管理

??

業(yè)務(wù)質(zhì)量可視化

??

網(wǎng)絡(luò)質(zhì)量可視化

??

用戶行為可視化

??

安全態(tài)勢感知綜合可視化展現(xiàn)

??

打造網(wǎng)絡(luò)作戰(zhàn)全景圖

安博通可視化安全威脅態(tài)勢感知平臺可適配大屏展現(xiàn)，真正為安全防御者提供網(wǎng)絡(luò)作戰(zhàn)的全景地圖，通過可視化展現(xiàn)提升安全意識和減小暴露面，通過路徑、流量和威脅情報的層面延長攻擊時間和提升攻擊成本，讓W(xué)annacry這樣的低級威脅無法潛伏，也讓高級持續(xù)性攻擊無所遁形。

??