宋辰

我们已经不可能关上网络的潘多拉魔盒，网络安全专家们能做的，只有尽早预判，并且做出更趋合理的响应。

潘多拉的魔盒早已打开，只要还有利益的诱惑，网络攻击的宽度就会和生命的长度一样，永远潜伏在我们身边。

来自埃森哲的数据显示，最近5年内，安全泄露事件增长67%，2018年网络犯罪攻击造成的损失达到1300亿美元，平均攻击识别时间增加至197天，平均攻击修复时间增加至69天。可以看到，由于安全问题，企业需要承担更多的业务损失。

在亚信安全发布的2019年第二季度安全威胁报告显示，中国已经上升为勒索软件感染量最大的国家，占到了全球总数的20%。

如果说从冷兵器时代到热兵器时代，杀伤力是从个体到团灭的区别。那么，在网络触角已经延伸到我们身边每一个细枝末节的程度来看，网络战争的杀伤力就是呈几何级数增长的。

在网络威胁持续升级的当下，安全领域的“老司机”亚信安全提出了“XDR全景”战略，通过感知+运维的核心理念来提升事件响应能力。提到安全事件处置，感知+运维听起来并不新鲜，那么，亚信安全的XDR全景战略到底有何不同呢？

威胁，一石激起千层浪

一切都要从“演习”说起。

2016年，公安部、民航局、国家电网三个事业单位展开了一次网络攻防的模拟演习。在这之后的几年，每年都会有一场对相关网站和信息系统展开的网络安全演习大作战，也陆续有更多的政府部门、企事业单位加入。也就是说，随着2016年《网络安全法》的颁布，“护网行动”成为惯例。

到了今年，工信、安全、武警、交通、铁路、民航、能源、新闻广电、电信运营商等单位都加入了“护网2019”行动。这足以证明网络安全在数字社会的重要性，也从一个侧面说明网络安全态势的严峻。

随着5G、工业互联网时代的到来，以及云计算的普及，IT基础架构的演变带来了新的网络安全挑战。这些安全问题中，有意义的可视化能力极为关键，但却很难做到。超过55%的IT安全专家每天收到超10000次的安全告警，超过50%的企业使用超过25种的独立安全技术，面对这些巨量告警，看似有效的可视化侦测技术却把安全运维人员带入了极其混沌的空间，当面对大规模网络中的海量安全数据，安全人员淹没其中，根本不能有效地发现攻击。

亚信安全总裁陆光明指出：“巨量的告警信息，以及孤立产品的数据孤岛，让许多用户难以发挥威胁检测和威胁感知技术的能力。与此同时，高级安全人员的匮乏，以及端点检测与响应技术（EDR）的孤掌难鸣，都限制了企业网络安全治理的水平，致使各类威胁入侵频繁得手、数据泄密事件有增无减。”

而网络安全的攻守双方信息永远是不对称的，当威胁来临的时候，一旦关键节点被击穿，受攻击的一方随时都有可能“一失万无”。

在面对无服务计算、容器、数据整合、检测分析，以及“看到”未知威胁这些应用需求时就非常有难度。因此，能够实现跨越安全层，达成关联分析，归并离散的威胁告警，提炼带有上下文扩展属性的安全事件，优先联动处理，将是下一代威胁治理技术的关键所在。

不做“泛泛的安全”

2017 年时，Gartner 提出未来5年企业将改变他们的安全支出战略，从仅采取阻止措施转向更侧重于检测（Detection）和响应（Response），也就是现在安全领域常常提到的D和R。

而这，还需要追溯到时间更早的2013年。那一年，Gartner首次用“端点威胁检测和响应 （Endpoint Threat Detection and Response，ETDR） ”这一术语用来定义 “检测和调查主机 / 端点上可疑活动（及其痕迹）” 的工具，后来通常称为端点检测和响应 （EDR）。之后的2014年，EDR就进入Gartner评选出的十大顶级安全技术之列，并逐步成为网络安全的必备技能之一。

亚信安全XDR全景中的“D”和“R”就是指从检测到响应。不过，光有检测和响应是远远不够的，加上了X，就形成了一套精密编排的安全联动解决方案。

亚信安全XDR全景包括了专业调查工具、标准的工作手册和安全响应专家。“从运维到安全威胁事件到真正的安全事件处置响应，全部自动化这是不现实的，而是需要专业安全专家团队基于方案提供相应的服务能力。”亚信安全首席研发官吴湘宁说，“面对实战化的战场，亚信安全一直坚持联动策略，提供安全服务能力和专家能力，并和我们的解决方案进行结合，这个战略很清楚，亚信安全不会大规模地做泛泛的安全服务。”

防御，组团出击才能避免孤掌难鸣

具体来看，亚信安全XDR全景就像一幕大戏，关键技术环节都有不同的“角色”出演。

在专业调查工具里，终端检测及响应EDR就像一名“神探”，从服务器端收集日志并进行关联分析，时时记录客户端系统行为;网络检测及响应NDR就像“千里眼”，24小时监视网络流量，进行流量采集还原和海量数据存储索引;高级威胁情报平台TIP像一位“高僧”，负责汇集全球化、全行业、运营商海量威胁情报数据;威胁感知运维平台UAP则像“千手观音”，通过自动化的威胁检测与共享，将所有信息集中呈现分析。

标准的工作手册是应对各类高级威胁的应急响应预案，它就像一位“军师”，提供从准备、发现、分析，到遏制、消除、恢复、优化过程的各种行动指南。

安全响应专家是“智囊团”，所有产品精密编排联动，最终交由安全响应专家团队组成的托管检测及响应MDR，提供强大的后援保障。

“我们给客户部署的安全产品和解决方案，需要形成有效的战斗力。这一方面需要通过产品的联动，自动化的处置，基于大数据安全的分析、决策;另一方面，是通过专家的介入。这是亚信安全一直坚持的战略。”陆光明强调。

这一点，其实很像是医生的工作——根据病症，利用合理的医疗手段，判断病灶，再采取恰当的治疗手段治愈病灶。高明与低劣的差别，既在于是否合理借助先进的医疗器械与手段，也来自于经年的实践积累。对于亚信安全来说，这么多年沉淀下来的是基于各种各样攻防场景剧本的设计，以及剧本中每一个环节、节点中脚本的执行。

我们已经不可能关上网络的潘多拉魔盒，網络安全专家们能做的，只有尽早预判，并且做出更趋合理的响应。