新边界防御的三大能力重塑（三）——高效处置，构建执行力

在之前的两次《系列解读：新边界防御的三大能力重塑》中，我们就协同联动、安全大数据、可视化展现等新一代安全技术在边界安全方案中的运用进行了分析。通过一系列新技术的运用，边界防御相较传统已大幅提升了对抗威胁的防护力、并构建了感知威胁的洞察力。

当前，恶性安全事件呈现高发、频发态势。以高危漏洞为例，漏洞永存、无法预知，意味着每一次漏洞事件曝出，对于用户而言都是突发事件。众所周之，在争分夺秒的攻防对抗中，谁赢得了时间，谁才有可能争取主动。因此，应急处置已被认为是当前威胁环境下重塑安全能力的重要一环。

无疑，除了技术因素以外，“人”的因素往往是决定应急处置成败的关键，当前，用户必须以更强的执行力确保处置策略的时效性和准确性。

从“小而土”的管理问题看执行力

回顾今年5月份“永恒之蓝”勒索蠕虫事件的应急响应过程，5月12日事件发生后，安全厂商迅速发布安全预警通告和处置方案，封禁TCP445端口、更新威胁特征库、实施DNS诱导等一系列网络处置措施被源源不断的通过各种途径推至用户。

然而，相当一部分用户面对预警通告、处置建议依然是一脸茫然，他们中的多数由于防护措施没有落实，应急处置不够及时，最终遭受了严重损失。

事后反思，很多管理员无法及时得知告警、无法评估受影响范围、无法升级威胁特征、无法快速下发处置策略、无法了解处置效果……

以本次事件的重灾区某专网为例，由于网络封闭、设备数量多、地理位置分散、管理权限不统一，全网设备及时获取最新的特征推送并执行应急策略，着实是一大难题。又如，一些中小企业用户受限于技术能力、管理水平等因素，及时准确的按照指引执行处置操作则更加困难。

“永恒之蓝”应急响应中暴露的管理问题

以上案例似乎在揭开一个极具讽刺意义的事实，在“应急响应”趋于“持续响应”的当下，往往是这些“小而土”的管理问题未能解决好，而导致了重大的损失。

如何能快速“免疫”新威胁？

必须指出，由于天然的位置优势，当高危漏洞、高级威胁等突发的攻击事件爆发，在网络边界及时封堵漏洞、阻断攻击，相当于为所有网内的终端加上了一层“滤网”，是最为有效的应急处置和预防方案。尤其是在用户管理、技术支撑不到位的情况下，在边界首先完成响应，能够为后续的深入处置争取宝贵的时间。因此，边界安全的防御实时性关乎用户应急响应和处置的成败。

一般而言，针对突发攻击事件的处置效率由两方面决定。一方面，安全厂商需通过先进的技术手段和持续的安全运营，在第一时间感知新威胁的态势，并及时向用户传递对抗新威胁的处置方法，相当于医生给病人“开药”。而另一方面，用户则需要基于厂商的处置建议、所提供的工具，确保应急处置策略能够及时、正确的加载和运用，相当于病人按照医嘱按时、准确的“服药”。

事实上，随着监管机构预警机制的建立、安全产业的生态化和安全厂商间的协作加强，在高危安全事件爆发后，“开药”工作的效率正得以持续提升，而与之反差鲜明的则是用户在“服药”的过程中往往“困惑重重”。

根据经验，用户一旦遭遇突发威胁，会在不同的响应阶段依次提出以下几个问题。而解决这些问题的过程，其实也是针对突发事件完成处置闭环的过程。

1. 处置前：这是什么威胁？什么性质？有多严重？如何防御？

2. 处置中：我已经照办了，但效果如何？

3. 处置后：我处置的及时吗？会不会已经中招了？

由此可见，在应急处置常态化的大背景下，一方面应充分利用威胁情报，以信息共享、集体协作的方式实现关键知识的分发和共享，进一步加快“开药”的效率；而另一方面则应尽可能用自动化的方式代替人工，避免因“人”的因素贻误最佳处置时机，以做到按时、准确“服药”。

产品实践：准自动化的“应急处置”

以360技术和产品实践为例，在威胁爆发的初期，360安全应急响应中心即可通过遍布全球的信息采集点感知并预测其蔓延态势。并且，核心攻防团队一旦完成对新威胁的首先响应后，用于检测新威胁的情报IOC、威胁特征等关键知识将通过“天御云”（智慧防火墙专属的安全云服务）主动推送至所有用户的智慧防火墙和安全管理分析系统（SMAC，智慧防火墙的集中管理与分析平台），从而省去了用户执行手动升级的时间。

同时，在用户授权的情况下，IOC和威胁特征将会自动加载至本地已经启用相关高级功能的安全策略中。对于批量部署智慧防火墙的用户，还可以利用SMAC对全网设备进行统一的特征升级和处置策略分发，从而进一步省去用户执行处置的时间。

最后，智慧防火墙还将对安全策略的配置进行核查，以帮助用户确定处置策略是否已经完全生效。在此过程中，若系统检测到导致处置策略未完全生效的配置项，则会继续向用户进行告警，并提供一键调优配置的指导意见和快捷处理方式。

“360新一代智慧防火墙”自动核查处置策略生效情况

基于以上过程，利用数据协同和人机协同，智慧防火墙实现了“机器”和“人”的能力超越，并提供了快速响应和处置的执行力。

小结：边界安全技术的持续演进

截至本篇，本次“系列解读”已告一段落。新威胁环境下的边界防御体系应围绕防护力、洞察力和执行力进行能力补齐和提升，即在保持网络结构坚固的基础上，不断巩固防线纵深，并持续提升监控、分析和响应能力。

结合我们在系列解读中的观点及对产品实践的深入分析，我们认为边界防护未来的趋势将是这个样子：

第一，在愈演愈烈的攻防战中，边界防护依然发挥着“首道屏障”的重要作用，而真正的纵深防御体系则需要在不同的防线间建立联系，通过协同防御实现更高的安全有效性；

第二，由被动防护迈向积极防御的过程中，安全的目标应是持续降低平均检测时间（MTTD）和平均响应时间（MTTR）。为此，边界安全应尽快补足检测能力和感知全局威胁的能力；

第三，用户应通过安全大数据和消费威胁情报，享受信息共享、集体协作带来的红利，化过往的个体防护为集体对抗，以增强防御的实时性。同时，应通过技术手段确保基础的运维管理工作落地，最大程度避免因“人”的因素贻误防护时机，构建快速响应能力；

最后，下一代安全能力的构建将极大倚重云计算、大数据、威胁情报、安全可视化等新技术的运用，这些新技术将为传统边界安全产品注入新的“智慧”。相应的，边界安全方案的形态已经开始由传统的防火墙“盒子”转向为云端、管道（网络边界）、终端多部件体系化协同联动的平台化方案。