路沙

纵观2018年的全球数据泄密事件着实让人有些不忍卒睹。无论是大型网络服务公司、庞大的跨国金融机构，还是航线遍及世界的航空公司以及国家层级的政府机构，尽管已经部署了下一代防火墙（NGFW）、入侵防御系统（IPS）、web应用防火墙（WAF）、防毒墙及Anti-APT等层层堆栈的安全设备，但仍然无法避免敏感资料的外泄。

正所谓“知己知彼、百战不殆”，既然凭借被动的审查机制不足以防范黑客的侵入，便有专家提出新观念，不妨设法在风险尚在酝酿时就予以拦阻，其中要义就在于“威胁情报拦截”，相当于在各地构筑众多的高空卫星、地面雷达，借以架设密集的信息通报网。如此一来，一旦出现安全威胁隐患，便可以将之扼杀在襁褓当中，从而大幅提升防护功效。

基于此，NETSCOUT Arbor推出了“Arbor Edge Defense”（以下简称“AED”）全新解决方案，可作为独立的威胁拦截设备TIG，承载百万、千万甚至上亿等级的入侵指标（Indicators of Compromise;IOC），与企业既有的安全设备并肩作战，做到制敌于先。

多项因素牵绊 让安全防御大打折扣

平心而论，不少企业有心防御，积极部署多项安全设备，意图构筑强大的防御体系，却往往无法发挥预期成效。

对此，在NETSCOUT Arbor大中华区总经理金大刚看来，一是太多的恶意行为皆可通过企业的层层检查机制。如果被突破的关卡都仅是依据现有特征码或指纹库做查核比对，这很容易理解，因为敌人可能运用未知的零日攻击手法，所以无从辨识。但问题在于不少企业都已部署Anti-APT（例如沙盒技术），其用意就在于查找出未知恶意软件并转换为已知特征码，然而即使这样最终效果依旧令人失望。

二是现今已有高达70%以上的网络流量都采用加密方式传递，为了防范潜藏其中的网络威胁，安全设备就必须加强并提升对于网络流量可视化展现的能力，例如增加SSL加解密设备。这种做法，一方面需要部署凭证，另一方面需要考虑现有的环境与设备是否能够配合，对于建设成本与管理复杂度要求较高，中小企业或学校无力负担，从而不得不做出相应的妥协，到最后只能任由加密流量肆意通过、不做检查，导致内网环境愈来愈“脏”。

三是从企业的角度来讲，为了解决复杂的安全问题，自然需要众多的方案，但就实际执行面来看，仍存在诸多盲点。安全设备的建设目的都是为了防御并产生告警，但是为了强化防御造成安全设备日渐增多的同时，相对的告警事件也持续增加。

同时，不论NGFW、IPS、WAF防毒系统或Anti-APT，皆各自为政，即使厂商提出完整的解决方案企业也会担心如果威胁穿透同一品牌系统的防御，连带所有产品都可能无法侦测到威胁攻击，因此大多数大型企业都会建设跨品牌的防御架构，期望增强自身的防御能力。但彼此信息并不互通，众多的安全设备又产生巨量的事件纪录，让企业安全管理人员很难根据片段信息完整地串联与梳理出攻击者的轨迹脉络。

载不动大量IOC 难以落实威胁拦截

有感于威胁情报搜集与分享的重要性与日俱增，世界各国纷纷加强推动ISAC（Information Sharing and Analysis Center）组织，针对国家层级（N-ISAC）及其下属领域的政府（G-ISAC）、金融服务（FS-ISAC）、水资源（W-ISAC）、油电燃气（ONG-ISAC）等众多领域，分头成立一个个ISAC机制，希望借此成功打造威胁情报平台（TIP）。

今天，安全行业所提倡的ISAC，某种程度上类似烽火台概念。不论是企业、政府机构或教育机构，如果只想着如何在要塞地带设置一道又一道检查哨，靠自己的兵力与检验设施来找出安全威胁，终究可能百密一疏。

反观一旦结合外界情报，用户很容易就能知道安全特征身在何处、有什么样的特征，从而快速精准地给予迎头痛击。

金大刚指出，环顾全球的ISAC演进趋势，可归纳出一个成功的ISAC，必须蕴含三个关键要素，即“实时”、“自动化”与“标准格式”。简单来说，威胁情报必须借助自动化机制实时共享，并且为了避免情报的互通过程出现断层，所以需要以标准格式为基础;比方说STIX、TAXII，前者定义信息描述的XML格式，后者定义信息分享的通讯协议，近年来已获得国际安全行业的普遍采纳，加以利用便可加速实现跨技术平台信息的整合与交换。

随着ISAC的发展，在学术界，已开始出现进一步的“筑墙”推动计划，此计划评估学术网络可以搜集到数万笔IOC，内含大量恶意的IP、URL、Domain。计划认为可望成为协助教育界与学术界实现情报拦截的有力素材，故而结合国产使用分析工具，发起筑墙计划。

只可惜，测试过程并非一帆风顺。因为无论NGFW或其他安全设备，近年纷纷开始加入愈来愈多功能，而每一项功能，皆需固定占用一定程度的内存与运算资源。换言之，安全设备所剩余的内存空间，不足以承载多达数万笔的IOC，当汇入数千笔，甚至上万笔IOC时就已到达瓶颈。

凭借无状态架构技术 拦截能力将可大幅扩充

基于此，安全行业开始酝酿的一个新的解决方案，正是TIG，由它作为一台独立的设备，专门负责承载不计其数的大量IOC，借以大幅减轻NGFW、IPS等安全设备的负荷。然而，虽然TIG能够有效解决系统负载问题，但是碍于多数企业或机构的安全架构，已经层层堆栈得太过复杂，实在无法承受再添加一个独立型设备，除非TIG能够被整合到某一类必要的安全设备当中，并且能更简易、更自动化地运作，避免为安全管理团队制造新的负担。

为此，NETSCOUT Arbor首先在行业内推出了AED （Arbor Edge Defense）解决方案。众所周知，NETSCOUT Arbor的DDoS攻击防护设备“APS”，由于优异的防护效果，已获得许多机构的青睐，而如今应运而生的AED，便是APS加上TIG的集合体。换言之，既有APS用户只需通过简易条件的升级程序，便可迅速应用TIG功能。

一直以来，APS始终在Anti-DDoS业界引领风骚，其间所倚仗的独特优势：一是处在介于路由器与防火墙之间的特殊位置;二是掌握无状态封包处理引擎技术;三是拥有ATLAS全球威胁情报作为后盾。而如今的AED，自然也将承袭这些优质基因。

首先，由于AED在网络边缘的独特位置，很适合作为进阶网络威胁的第一道及最后一道防线，既能防止由外对内的各种威胁，也可阻断已被入侵的内部主机对外通信。其次AED继承APS无状态表技术的基因，有能力協助NGFW或IPS等状态设备减轻负荷，面对任何状态耗尽攻击都能有效完成阻击任务。

更重要的是，NETSCOUT Arbor ATLAS现与全球400家电信运营商建立合作，得以将大量搜集器广布于许多电信骨干网络，每日获取140Tbps流量信息，并且利用如此庞大的可视化基础，每日侦测到多达20万个新增的DDoS攻击与恶意活动，从而将相关攻击策略发布到Arbor产品当中。

相关链接

如今，威胁情报的搜集与分享日渐重要，而威胁情报是什么，可以引用Gartner做出的定义：“威胁情报是基于证据的知识，包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的，或者是即将出现的针对资产的威胁或危险的，可为主体响应相关威胁或危险提供决策信息。”