享全面信息 建安全策略

■Palo Alto Networks 網絡安全專家 Scott Simkin

以前的互聯網安全，企業面臨的是只是操作系統的安全問題，用軟件就能夠解決。但是進入萬物互聯的時代以后，包括智能攝像機、路由器、汽車，甚至隨身穿戴、智能醫療設備等，都趨于智能化、網絡化，解決這些智能硬件的安全問題，僅僅依靠傳統的網絡安全解決方案是無法完成的，這其中，便包括不斷增長且有愈演愈烈趨勢的APT(高持續性威脅)。

根據網絡安全實驗室公布的數據顯示，目前針對國內的APT(高持續性威脅)就已覆蓋著全國30多個省市，均是涉及針對科技、教育等多個領域的定向攻擊，60%的案例里，攻擊者幾分鐘就可攻擊得手，70%-90%的惡意樣本都是有針對性的，75%的攻擊會在一天內從一個受害者快速地擴散到其他受害者。

因此，從網絡攻擊的嚴重性來說，對安全事件細節了解的越多，就越能有助于更好的構建防御系統防止類似攻擊事件的再次發生。

傳統安全手段是典型的“廣撒網后祈禱”模式：他們提供管控并阻止那些已知的破壞活動，而在遭受攻擊之后進行的后續和補充調查則非常有限。

有越來越多的大型企業開始部署諸如沙箱等技術來探測并阻止那些之前從未發現的未知攻擊。而受到攻擊后，安全團隊往往只將注意力集中在該事件本身，忽略了對攻擊以及周邊環境的調查和分析。

但是，這些方法都沒有顧及到高級攻擊的最基本事實：高級攻擊的發生并非轉瞬即逝，而是持續數周、甚至有可能轉化為持續數月或者數年的事件。高級攻擊者會實施一系列行動，如深度識別、啟動探針、小規模感染到傳送2期或3期惡意軟件，以及更多。相當長的一段時間之后，當這些持續性行動發展到頂點的時候，便形成破壞。這一過程中的每一步，都是網絡攻擊生命周期中的重要一環，同時也是探測并阻擊對手的絕佳機會。

當人們試圖去補救某次成功攻擊造成的后果，或者阻止某個特定活動以期將來不再發生時，人們已經失去了絕佳機會來獲得這次事件的相關信息，如作案者是誰，他/她是怎樣作案的以及為什么要作案。說的更明白一點，那就是人們從這些事件中獲得的信息越多，安全策略就會構建的越好，就能防止類似事件的再次發生。

那些惡意行為的實施者，可以很容易地變換其使用的惡意軟件，但卻很難增強其手中的工具、技巧和處理過程 (TTP)，未來可以利用這一點來探測群組中的活動。

你還可以更加有效地利用安全團隊用在分析事件上的有限時間，比如，對低級別網絡犯罪集團和國家支持級別的網絡間諜活動的反應會有著天壤之別，這是因為兩者之間的復雜程度相差很大，并且安全團隊非常清楚這兩者之間的優先級。

值得慶幸的是，在這場戰斗中，你并不孤單。各種各樣的公共資源、信息共享組織、供應商研究發布以及分析服務都有助于獲取對手情報。獲得的信息越多，分析的效果越好，你制定的安全策略就會越好，就會杜絕某個特定對手對你的企業造成的破壞。當攻擊出現時，可以利用這個機會好好進行檢查，找出那些試圖破壞網絡的幕后真兇，并采取相應的措施防止再次發生類似的襲擊。