云安全说丨 亚信安全：每天上千条高危报警，企业该如何“破案”？

勒索软件、恶意移动软件、APT攻击等网络攻击对企业用户的网络安全防护能力提出了全新挑战，但云安全技术也在进行着持续的演进，不断提升着对安全威胁的对抗能力。如今，走过十年的云安全在国内发展到了什么阶段？

云安全（Secure Cloud），自2008年由趋势科技首次提出之后，发展至今刚好“十岁”。由趋势科技提出的APT高级威胁治理战略，“螺旋迭代”的立体化治理模型，以及威胁联动治理体系，至今仍被多数厂商沿用类似体系。

2015年，趋势科技中国被亚信科技收购，并融合成立全新的公司品牌——亚信安全。在对趋势科技的技术和产品体系持续演化过程中，亚信安全已分别在云安全、身份安全、终端安全、态势感知、高级威胁治理，以及威胁情报领域拥有业界领先技术，是中国云安全领域的领跑者。

同时，亚信安全是首家利用AI等新兴技术防御WannaCry病毒的安全企业，此次科技云报道专访亚信网络安全产业技术研究院副院长刘政平，就勒索病毒威胁态势、网络安全威胁的防御以及企业云安全防御体系建设现状等问题进行深入交流。

亚信网络安全产业技术研究院副院长刘政平

用户对云安全重视程度走高

回顾2017年，正是勒索病毒WannaCry肆虐全球，给企业和机构造成大规模损失的一年。虽然这一事件已经过去快两年时间，但勒索病毒的话题热度至今仍居高不下。为什么勒索病毒能在行业内引起如此大的关注，并且有愈演愈烈的趋势？刘政平认为，这个问题可以从四个方面来看：

第一，勒索病毒成本低，但收益高，导致勒索病毒传播迅猛。在黑市上，只要几千元就可以购买一个勒索病毒，成功一次就可以获利几十万甚至上百万元。然而，勒索病毒的防护却非常麻烦，因为它简单粗暴，直接对文件加密，传统的安全防护措施对这种不讲道理的攻击手段束手无策。

第二，在传统IT和云混合的环境中，安全管理有难度。从漏洞出现到软件厂商更新补丁程序，再部署到现有系统里安装，这中间有一个时间差。2018年，有很多医院设备、工厂智能设备被勒索病毒攻陷，原因都在于对内部设备安全管理不敏感。

第三，对业务造成了大规模的影响。勒索病毒利用漏洞传播，以站内勒索为主体，造成了全球大规模的业务中断，直接影响了业务的连续性。部分企业没有做好事前、事中、事后的保护，也没有备份数据的准备，企业损失极为惨重。

最后，数据安全法规的出台，对企业数据泄露的处罚变得更加严厉。目前，各国的数据安全法律法规相继出台，违规企业将面临高额的罚金。而面对愈发严格的法律规定，勒索病毒抓住企业唯恐违规的心理，反而生成一种“生意模式”，一旦企业因感染勒索病毒造成数据泄露，其将面临在缴纳巨额罚金和勒索赎金之间做抉择，而这更进一步刺激了勒索病毒模式的延续。

因此，面对严峻的现实和政策监管的双重压力，国内企业用户已经开始改变思维，在安全方面成长得很快。“以前企业安全做到合规就可以了，现在企业不仅是合规，而是真正有了攻防意识，企业认识到没防住也是要担责的。”

一方面，企业开始大幅增加安全预算。虽然与欧美等发达国家的信息安全市场相比，中国信息安全投入占IT整体投入的比重仅为1%，远低于欧美市场8%-12%的比例，但可以预见，随着信息化程度和支付能力的走高，国内企业在安全投入上会有大幅上涨。

另一方面，行业性的安全标准开始启动。近一年来，金融、运营商、能源等行业都出台了相关的安全标准，这说明安全正在成为一种行业共识，被提升到很重要的位置。

从亚信安全自身数据看，亚信安全云安全业务增长率已连续三年超过40%，政府、金融、运营商等领域增长率达到70%-80%，从侧面也验证了国内安全市场正在进入爆发期。

因此亚信安全认为，2018年国内仍处于企业消化政策的阶段，2019年中国云安全市场会得到真正的爆发。

在云安全防御体系下“破案”

在传统的网络安全建设中，防火墙、入侵检测、防毒墙被称为“老三样”。在如今的网络攻击形势下，企业用户意识到“老三样”远远不够，开始积极采用下一代安全技术，主动部署各种各样的安全防御体系。

然而，在实际应用中企业却遇到了新的难题：各种安全系统每天会监测到大量可疑攻击和威胁，自动形成上千条高危报警。由于威胁情报太多，事件量太大，系统无法做自动化处理，而企业安全运维人员由于自身能力有限，也没办法判断哪些是真正有价值的情报，更不知道如何确认威胁本质和攻击意图。

安全公司Demisto一项调查研究显示，有公司的安全团队疲于应付每周17.4万条的安全警报，然而安全分析师每周能审查并响应的安全警报最多1.2万个，面临这种现实困境的企业并不在少数。

“这就好像每天都有人在门口砸窗户，但是到底是谁在扔砖头，企业自己也不知道。”刘政平打了一个比方，当企业受到攻击时，先处理哪条报警，后处理哪条线索，需要有一个优先级。在亚信安全内部，这个过程被称为给网络空间“验伤”。

由此，无论是云化还是非云化的环境，亚信安全认为企业做好安全防御就两件事：黑客是怎么进来的？黑客进来后内部该如何应对？

如果将安全防御的过程比作破案，那么分析大量的监控数据，就如同查看犯罪现场，还原罪犯的行为动机和轨迹，比如，黑客怎么进来，进来后做了什么，偷了什么数据，在哪儿发动攻击等等，把这些都调查清楚之后，才能够真正做到防御响应和补救。

在这个过程中，亚信安全再一次延伸了安全理念，即“新木桶理论”：木桶的水位高度，不仅要看它的最短板，还要把木板之间的缝隙全部堵住，才能保持最高水位。

因此，亚信安全依托SOAR理念发布XDR战略，以安全运营视角打造了一套精密编排的联动安全解决方案，相当于堵上了传统安全防御体系上的漏洞。

据介绍，XDR从发现到响应分为四步：

告警受理：对告警进行分类和优先级划分；

定性分析：判断威胁的真实性，确认威胁的本质及攻击者意图；

定量分析：回溯攻击场景，评估威胁的严重性、影响和范围；

响应：根据响应脚本，执行响应策略。

而有了方法论还要有非常好的工具。亚信安全在XDR战略中引入了EDR、NDR、MDR等新工具，来实现威胁从发现、分析到响应的闭环。

例如，EDR终端监控程序，能够录制黑客行为，在安全事件发生时结合威胁情报做分析，看看哪些线索是事件的起源，哪些是被其他事件引发的警报，哪些地方是真正的入侵点等等。

“就像拆粽子一样，从千头万绪的粽子线中找到最关键的那一条，轻轻一拉粽子就解开了。”刘政平介绍道。

目前，亚信安全针对大型企业和政府已经形成了成熟的行业安全解决方案，通过标准的预案、专业的调查工具、以及安全响应专家保障，从而应对不断爆发的高级威胁。

例如，在平安城市建设方面，亚信安全与成都市政府携手打造“网络安全第一城”，共同建立了城市安全运营中心，进行常态化的态势感知，内部安全风险通报，外部威胁预警，安全事件处置等全生命周期的安全运营和管理，帮助各委办局做好大型网络安全运营。

在运营商安全运营方面，安全亚信从2000年开始做运营商业务，目前运营商70%以上的核心系统都是由亚信安全在保护。亚信安全和运营商共同建设的电信业反欺诈态势平台，自2016年二季度投产以来，已破获该类案件1895起，帮助240万人次免遭网络恶意欺诈，挽回用户损失72亿元。

2019年云安全的三大挑战

虽然中国网络安全市场已出现高速发展的态势，但刘政平认为，2019年企业在云安全建设上依然有很多挑战，主要体现在三个方面：

第一，上云和云安全建设不同步。企业认识到云的优势，很多会先将业务上云，业务稳定后再考虑安全，或者因为安全自动化策略和自身业务有冲突，多云环境的复杂性等原因，导致云安全建设比较滞后，这其实是本末倒置。正确的做法应该是安全前置，否则云上和物理环境的安全配置没有及时做好，造成的漏洞就会给黑客提供机会。

第二，企业对云安全责任共担模式的理解有待深化。企业认为上了公有云，云安全就可以托付给云厂商来做。但实际上云安全是责任共担模式，云基础架构安全由云厂商负责，云上安全应用业务由企业用户自己负责，很多企业对这个模式还不是很理解。

第三，2019年将爆发大量数据外泄事件。正因为企业对云安全建设的认识还不够清晰，安全建设中存在大量漏洞和隐患，可以预见，伴随着高级持续性的网络攻击，企业数据外泄事件将不可避免。

基于企业上云的种种趋势，刘政平表示，2019年亚信安全将为企业用户提供更丰富的混合云安全解决方案，并且加强安全产业生态建设，确保企业用户数据“跨云行走”的安全性，为云计算打造坚固防线。

在不断演化的网络安全领域，未来必将出现比高级持续性威胁更具挑战性的对手。当更多的未知威胁穿透当前的安全防御体系后，如何尽快地做出响应，锁定攻击范围，最大程度地减少损失，将成为最有价值的创新。

【科技云报道原创】

转载请注明“科技云报道”并附本文链接