实现威胁主动感知的五个关键点

本文是微步在线威胁情报沙龙华南站的嘉宾黄雅芳的现场分享。黄雅芳是微步在线的产品负责人，她将分享微步在线旗下威胁检测平台的产品理念及价值点。

我是微步在线的产品负责人雅芳，我来和大家交流一下我们威胁情报产品的落地实践。今天我的主题是智能化威胁检测与持续监控。提到安全智能化，大家第一反应可能是“用系统替代人”，但我的观点是，安全运营需要很强的体系化，“人”、“流程“和”系统“之间不能互相代替，而应当协同起来实现效率和效果的最优。

因此，带着这样的愿景，我们在设计微步在线的威胁检测平台时，把辅助了安全人员提升效率，推动了流程最优作为首要目标，围绕以下五个价值点输出我们的产品能力：

一、在事件发生之前

第一个价值点，是在早于事件发生之前，及时做好定位和阻断，防止造成进一步损失。我把大家都熟知的攻击链划分为为四个环节，传统的防护设备主要作用于防护的环节，但现在的攻击手法越来越高级，更多的攻击工具在市面上流通，能够绕过传统安全防护的威胁已经越来越多。我们现在的产品TDP（Threat Detection Platform）主要是帮助企业客户去做好全局的威胁监控，帮助企业去发现那些绕过边界防护、进入到组织内部的威胁，完善企业的监控Sensor。

企业监控的Sensor完整后，整个监控的链条也能更加完整，企业能及时发现、阻断正在入侵的威胁，防止造成更多的损失。整个TDP产品就是围绕威胁监控来设计，而失陷是依赖于TDP后台复杂的检测机制，并不是像我们设想的那样，仅仅依靠威胁情报。我们应用大量的关联规则、统计模型、深度学习方法，发现各类威胁事件，如外联C2、下载恶意软件、利用隐蔽通道传输数据等。

二、快速获取最新情报

第二个价值点就是可以最快速度获取最新的威胁情报数据。作为一家专业的威胁情报公司，我们的产品可以实现分钟级情报更新，而且支持离线包。2017年5月12日，WannaCry事件大规模爆发，在第二天，也就是5月13号，我们关于WannaCry秘密开关的情报报告就已经发放给客户了。同时我们的情报指标也第一时间下发到我们的TDP产品中，部署了产品的客户在第一时间在流量中去发现开关的访问，快速定位到内部受感染机器，安全人员第一时间锁定这些机器进行处理避免了更大范围的感染和损失。

三、全面丰富的上下文信息

第三个价值点，提供丰富、全面的上下文信息。我们的产品有别于传统的IDS、IPS，不仅能提供报警的机器和类型，还能提供丰富、全面的上下文信息。这些上下文数据中外部攻击者信息是重要的一部分，包括威胁类型、关联组织、关联重大事件、关联样本、地理位置、其他情报的信息，对应的网络基础数据如注册人、解析IP等；同时这些上下文数据还包括告警发生时候内部信息，比如对应的网络数据包、使用了什么协议、端口信息、网络是否连通，还连接了其他什么地址，传输了多少数据等。此外，我们还提供了针对特定威胁的处置建议。

企业的安全团队有一个巨大的痛点：报警发生后，安全团队拿到了攻击信息，甚至也能拿到完整的网络数据包，但是不知道攻击包在终端上是如何运行，人工取证和排查的难度很高，很多选择用杀软跑一下，如果找不到就放弃了。针对这一痛点，我们提供终端定位工具，改定位工具基于Windows的轻量工具Sysmon，安装后自动连通企业安装的TDP平台，并提供一键定位能力。定位后我们就可以看到攻击信息中C2的连接是如何发起的、在终端上是由哪个进程执行的，这个进程的位置、由谁发起、还做了什么事情，都会提供给我们的用户。

此外，单次攻击发生后，TDP产品还能够提供相应的溯源能力，呈现和C2C主机关联的机器，以及内部的一些关联威胁点，帮助企业去做全方位的内部失陷主机发现。

四、自动连接分析师的MDR服务

前面三个价值点以定位内部威胁为中心，后面两点是在我们很多客户的实践和落地当中沉淀出来的需求。第四个价值点是自动：用户信赖我们的专业度，希望使用我们专业安全分析师的能力，有些情况下需要快速连接到我们的后台服务。为了减小人工操作和沟通的成本，在产品上我们会提供一个叫MDR的服务，自动连接在线的安全分析师。企业用户可以一键选择上传需要分析的样本或报警，安全分析师会提供24小时之内的专业服务，把相应的报告提供给我们的客户，同时会挖掘出有效的lOC，返回到TDP的检测平台，进入到持续监控的列表当中。

五、持续性监控

最后一个价值点是持续性，我们的客户会将TDP定位到的威胁、收集到的终端和网络的数据等信息，用于日常的安全监控当中，这样客户在面对关键事件需要响应时，就能够从这些数据中得到极大支持。TDP会提供网络原始日志的高效检索、终端行为的检索、报警的检索和关键信息的呈现，此外TDP同时支持接入其他安全设备的告警，这样TDP就成为了一个相对集中和一站式的统一监控的平台，能够给大家呈现当前内部行为威胁，以及其他安全设备的报警情况。

部署结构

我们在互联网和金融领域的客户比较多，他们会把我们的这个产品用于日常的威胁监控，产品部署相对简单，在互联网的出口直接部署一套TDP的平台就可以了。TDP部署支持软件和硬件两种方式，当客户需要多点部署的时候，TDP支持横向扩展和级联模式，比如企业会有多个办公网和一个生产网的情况，这个时候我们会提供一个总控的平台，总览模式下可以看到各个区域的网络行为，以及在网络中和终端上的威胁情况。我们的TDP对外具有比较好的开放性，我们支持将产品产生的报警、解析的流量日志、终端数据以标准可配置的方式输出到其他设备中。页面结构独立性较好，支持其他系统的嵌入。在客户实际应用中，无论是作为独立的检测设备，还是作为态势感知中的威胁感知增强模块，我们的产品都发挥了很好的作用。

马上我们会推出一个服务器版本的TDP-S的版本，在原来TDP的基础之上，我们会提供更多的针对于服务器场景的威胁分析能力，去帮助我们提升整个生产网的安全。比如，我们在未知威胁发现方面会联动我们的沙箱能力，当我们在生产网当中发现一些特定的网络外联的时候，我们会提取可疑URL出来，在云端进行分析下载，然后提交到微步在线云沙箱和多引擎做相应的行为分析，提取出来更多有效的情报信息，再回到TDP平台当中，这对我们提升未知威胁分析能力具有重要作用。

今天我的分享就到此为止，谢谢大家。