【51CTO.com原創稿件】在近日召開的亞信安全高級威脅治理十周年暨XDR戰略發布會上，亞信安全通用安全產品總經理童寧回憶起APT概念未被廣泛認知前這樣說到：“十年前，我們開始警惕APT，并告知用戶也要警惕，但沒人能聽得懂，也沒人意識到APT的存在。隨著數據泄露事件的增多，大家將其歸為數據安全問題或者監管安全問題，其實它本質上是APT。”

通過不斷的演化發展，APT已經成為最具攻擊性、隱蔽性、破壞性的網絡威脅。如今，在APT攻擊的穹廬之下，幾乎所有國家、所有行業都無一幸免。

[[253099]]

亞信安全通用安全產品總經理童寧

回顧威脅治理的這十年，童寧表示: “十年間，我們經歷了摸索、創新、融合、螺旋迭代的過程，與不法分子的博弈成就了亞信安全在高級威脅治理領域的引領。這是一場漫長的對決，關乎未來，以及未來的未來。”

十年，不斷演化的高級威脅治理戰略

亞信安全產品總監白日表示，整個安全威脅的演化在20年左右，從90年代末病毒的大規模爆發到2005年左右銷聲匿跡，再到2007年典型APT攻擊事件不斷出現，威脅演化可劃分為三個階段：

第一個階段，大規模病毒爆發時期，有很多的黑客和攻擊者是為了一戰成名，而制作傳播惡意病毒;

第二個階段，威脅攻擊手段主要應用于國家和國家之間，含有政治意圖包;

第三個階段，威脅中蘊含著大量的黑產。黑產從業者通過有針對性的勒索軟件攻擊等形式，獲取現金利益。

由此可見，威脅演化的每一個階段所在的本質和性質也不一樣，所以在每一個階段，相關威脅的治理手段和措施也不一樣。

因此，十年來，亞信安全的高級威脅治理戰略也在隨之不斷演化。2008年，趨勢科技(2015年亞信科技收購趨勢科技中國，成立亞信安全)正式發布APT高級威脅治理戰略，形成了1.0的戰略雛形。

2015年，亞信安全發布了“螺旋迭代”的APT治理戰略2.0，該戰略治理模型以監控為中心，以偵測、分析、響應、預防為四個治理過程，此外，還提出兩大支撐體系，即本地和云端威脅情報雙回路，以及全面的威脅聯動治理體系，產品維度實現了“云、管、端”全線安全產品的聯動;管理維度實現了從偵測、分析，到響應、阻止的全過程聯動。

（圖片內容來自亞信安全）

下一個十年的APT高級威脅治理

如上所述,為過去十年亞信安全的高級威脅治理戰略，下一個十年，亞信安全有何治理戰略對策呢?

“現在，亞信安全從安全運維的視角出發，提出了通過SOAR平臺的精密編排能力，打造一套安全聯動運維體系的理念，這也是下一代威脅治理戰略3.0的雛形。”白日表示。

從過去十年，APT威脅治理能力的發展來看，通過技術和產品的不斷演化、組合、聯動，用戶基本可以做到發現、分析，然而對于響應和預測來說，其實現的難度正在逐步加大。例如，當用戶接收到的海量的告警時，由于用戶技術能力有限而無法做出快速的響應，缺乏快速恢復不救的能力，更無法確認攻擊意圖溯源。

思及此，亞信安全開始全面打造精密編排的往來空間恢復補救能力，在高級威脅治理3.0戰略中，亞信安全提供了快速響應能力。

亞信安全認為，從發現到響應的能力構成包含四個方面：告警處理，分類并劃分安全事件優先級;定性分析，判斷威脅的真實性，確認威脅的本質和意圖;定量分析，回溯攻擊場景，評估威脅的嚴重性、影響和范圍;快速響應，根據響應腳本，執行響應策略。這四個方面，組成了亞信安全以安全運維為視角的SOAR框架。

（圖片內容來自亞信安全）

亞信安全的SOAR框架利用精密編排的聯動安全解決方案，將安全產品以及安全流程連接和整合起來，通過全面收集的安全數據和告警，集成人工專家以及機器學習的力量來進行事故分析。

SOAR能帶來什么樣的價值呢?對此，白日向記者介紹說，第一，可以縮短應急響應時間，提高應急響應效率;第二，可以減少和優化傳統SOC中不必要和冗余的工作;第三，安全產品整合的API加速了自動化過程;第四，能做豐富的相關的數據安全的服務，比如威脅情報平臺;第五，提高告警分析質量和偵測發現能力;第六，提高工作精準度;第七，減少培訓新安全運維分析人員的代價;第八，提高整體衡量管理安全的運維能力。

亞信安全發布XDR戰略，應對未來高級威脅

基于SOAR，亞信安全正式推出了高級威脅治理3.0戰略雛形——XDR戰略。亞信安全通用產品管理副總經理劉政平表示，“X”代表未知，代表各種應用場景，例如車聯網、智慧醫療等;“D”代表傳感器，無論是云架構、網絡架構，還是終端上均需要建立不同的監控機制和數據還原機制，以及數據還原機制;“R”代表響應機制，借助SOAR框架，實現精密編排的聯動響應。

亞信安全的XDR方案包括了“準備、發現、分析、遏制、消除、恢復、優化”這7個階段，準備階段包括了針對每一種黑客攻擊類型的標準預案，自發現威脅數據之后，將數據集中到本地威脅情報和云端威脅情報做分析，利用機器學習和專家團隊，通過分析黑客進攻的時間、路徑、工具等所有細節，其特征提取出來，再進行遏制、清除、恢復和優化。

劉政平表示，盡管過去未去，但未來已來。“我們要加強精密編排的預案，把響應過程非常嚴謹的寫下來，并變成知識沉淀，讓更多的人可以去學習。最終實現，讓人的行業經驗迭代起來，記錄預案并不斷優化它。”然而，有了好的方法論還不夠，還需要好的工具。

（圖片內容來自亞信安全）

在XDR戰略中，亞信安全引入了EDR、NDR、MDR等新工具，包括深度威脅發現設備TDA、深度威脅分析設備DDAN、深度威脅安全網關Deep Edge、深度威脅郵件網關DDEI、服務器深度安全防護系統 Deep Security，以及能夠統一聯動管理的控制管理中心Control Manager和APT治理專屬咨詢服務，進而實現威脅從發現、分析到響應的閉環。

最后，劉政平總結說：“我們希望在不確定的網絡安全世界里，尋找一個確定性的方法，幫助用戶真正提升網絡空間恢復補救的能力。”

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】