■Palo Alto Networks 網(wǎng)絡(luò)安全專家 Scott Simkin

以前的互聯(lián)網(wǎng)安全，企業(yè)面臨的是只是操作系統(tǒng)的安全問題，用軟件就能夠解決。但是進(jìn)入萬物互聯(lián)的時代以后，包括智能攝像機(jī)、路由器、汽車，甚至隨身穿戴、智能醫(yī)療設(shè)備等，都趨于智能化、網(wǎng)絡(luò)化，解決這些智能硬件的安全問題，僅僅依靠傳統(tǒng)的網(wǎng)絡(luò)安全解決方案是無法完成的，這其中，便包括不斷增長且有愈演愈烈趨勢的APT(高持續(xù)性威脅)。

根據(jù)網(wǎng)絡(luò)安全實(shí)驗(yàn)室公布的數(shù)據(jù)顯示，目前針對國內(nèi)的APT(高持續(xù)性威脅)就已覆蓋著全國30多個省市，均是涉及針對科技、教育等多個領(lǐng)域的定向攻擊，60%的案例里，攻擊者幾分鐘就可攻擊得手，70%-90%的惡意樣本都是有針對性的，75%的攻擊會在一天內(nèi)從一個受害者快速地?cái)U(kuò)散到其他受害者。

因此，從網(wǎng)絡(luò)攻擊的嚴(yán)重性來說，對安全事件細(xì)節(jié)了解的越多，就越能有助于更好的構(gòu)建防御系統(tǒng)防止類似攻擊事件的再次發(fā)生。

傳統(tǒng)安全手段是典型的“廣撒網(wǎng)后祈禱”模式：他們提供管控并阻止那些已知的破壞活動，而在遭受攻擊之后進(jìn)行的后續(xù)和補(bǔ)充調(diào)查則非常有限。

有越來越多的大型企業(yè)開始部署諸如沙箱等技術(shù)來探測并阻止那些之前從未發(fā)現(xiàn)的未知攻擊。而受到攻擊后，安全團(tuán)隊(duì)往往只將注意力集中在該事件本身，忽略了對攻擊以及周邊環(huán)境的調(diào)查和分析。

但是，這些方法都沒有顧及到高級攻擊的最基本事實(shí)：高級攻擊的發(fā)生并非轉(zhuǎn)瞬即逝，而是持續(xù)數(shù)周、甚至有可能轉(zhuǎn)化為持續(xù)數(shù)月或者數(shù)年的事件。高級攻擊者會實(shí)施一系列行動，如深度識別、啟動探針、小規(guī)模感染到傳送2期或3期惡意軟件，以及更多。相當(dāng)長的一段時間之后，當(dāng)這些持續(xù)性行動發(fā)展到頂點(diǎn)的時候，便形成破壞。這一過程中的每一步，都是網(wǎng)絡(luò)攻擊生命周期中的重要一環(huán)，同時也是探測并阻擊對手的絕佳機(jī)會。

當(dāng)人們試圖去補(bǔ)救某次成功攻擊造成的后果，或者阻止某個特定活動以期將來不再發(fā)生時，人們已經(jīng)失去了絕佳機(jī)會來獲得這次事件的相關(guān)信息，如作案者是誰，他/她是怎樣作案的以及為什么要作案。說的更明白一點(diǎn)，那就是人們從這些事件中獲得的信息越多，安全策略就會構(gòu)建的越好，就能防止類似事件的再次發(fā)生。

那些惡意行為的實(shí)施者，可以很容易地變換其使用的惡意軟件，但卻很難增強(qiáng)其手中的工具、技巧和處理過程 (TTP)，未來可以利用這一點(diǎn)來探測群組中的活動。

你還可以更加有效地利用安全團(tuán)隊(duì)用在分析事件上的有限時間，比如，對低級別網(wǎng)絡(luò)犯罪集團(tuán)和國家支持級別的網(wǎng)絡(luò)間諜活動的反應(yīng)會有著天壤之別，這是因?yàn)閮烧咧g的復(fù)雜程度相差很大，并且安全團(tuán)隊(duì)非常清楚這兩者之間的優(yōu)先級。

值得慶幸的是，在這場戰(zhàn)斗中，你并不孤單。各種各樣的公共資源、信息共享組織、供應(yīng)商研究發(fā)布以及分析服務(wù)都有助于獲取對手情報(bào)。獲得的信息越多，分析的效果越好，你制定的安全策略就會越好，就會杜絕某個特定對手對你的企業(yè)造成的破壞。當(dāng)攻擊出現(xiàn)時，可以利用這個機(jī)會好好進(jìn)行檢查，找出那些試圖破壞網(wǎng)絡(luò)的幕后真兇，并采取相應(yīng)的措施防止再次發(fā)生類似的襲擊。