2019（第二屆）中國金融科技產(chǎn)業(yè)峰會于10月31日——11月1日在北京國際會議中心隆重召開。在11月1日下午召開的“金融業(yè)網(wǎng)絡(luò)信息安全”分論壇上，亞信科技成都有限公司產(chǎn)品管理部總經(jīng)理汪晨帶來了《威脅可感知、安全可運維》的主題演講。

我來自亞信安全。今天給大家分享的主題叫《威脅可感知、安全可運維》，這是亞信安全設(shè)計的產(chǎn)品理念，更快速更早期幫客戶甄別出來威脅，幫助用戶減少運維投入。

一、網(wǎng)絡(luò)安全發(fā)展態(tài)勢

據(jù)目前統(tǒng)計，2019年第二季度，中國的勒索軟件感染量一躍位居榜首，云服務(wù)器，占全球總數(shù)的20%，勒索病毒在我們周邊愈演愈烈。第二，網(wǎng)絡(luò)攻擊的挑戰(zhàn)越來越多。最近5年安全泄露事件增加67%，2018年網(wǎng)絡(luò)犯罪攻擊造成的損失有1300億。大家都記得Facebook泄露之后，當天的股價暴跌損失了360億，大家可以想象暴跌股價可以買多少網(wǎng)絡(luò)安全公司。第三，平均攻擊識別時間增加至197天，攻擊之后恢復時間平均達到69天。

在護網(wǎng)過程中大量報警，從數(shù)據(jù)可以看到每天安全運維人員每天面對海量安全告警，超過50%以上的企業(yè)用各種獨立的安全技術(shù)，巨量的告警難以方向未知的威脅。目前據(jù)數(shù)據(jù)統(tǒng)計，有2900萬安全人員的缺口。護網(wǎng)期間，我們公司和友商公司的辦公室基本都是空的，跑過去幫助用戶護網(wǎng)了。

二、用什么技術(shù)做這件事情？

今天講EDR。EDR是從國外引入的名詞，源于2013年業(yè)務(wù)量在博文上有一個“EDR”詞匯，它為了定義的是什么？定義的是有些工具能夠幫助以后早期發(fā)現(xiàn)蛛絲馬跡并且做相應的調(diào)查。EDR在誕生之初就是為了及早的感知威脅。比較形象的來說，我經(jīng)常跟我同事講，EDR其實解決幾個問題，就像我們生病一樣，第一，解決我到底有沒有生病，第二，我病的嚴重不嚴重？第三，我的病該怎么治？EDR是一樣的道理：我的企業(yè)有沒有受到攻擊？我的攻擊嚴重不嚴重？我如何恢復受損的攻擊？

如果EDR能夠達到剛才講的幾個目的，首先要做就的是記錄，在主機冊相應的記錄，但是這是技術(shù)活，記錄越多，系統(tǒng)越重，所以必須要精準做記錄，這是有一定門檻的。第二，做調(diào)查，我們可以形象比喻調(diào)查，到醫(yī)院以后，醫(yī)生第一件事情是讓你做一系列檢查、出相應的報告。調(diào)研報告也一樣，今天調(diào)研這件事情必須給客戶出具相應的報告：這個威脅是不是威脅、它是怎么進來的，跟醫(yī)生拿到的報告一樣，各項指標是什么樣的，醫(yī)生才知道你到底有沒有生病、病的嚴重不嚴重、接下來該怎么治。

在治的方面存在兩個環(huán)節(jié)，一個是遏制，一個是修復，遏制就是你中招了，我需要把你隔離起來，修復意味著你要做大量記錄，為什么？你要知道黑客是怎么攻擊的，它是今天修改了你的注冊表？還是埋了啟動項去做壞事？只有拿到這樣精準信息以后才能幫助客戶做優(yōu)秀的動作。

三、XDR解決方案

這張表第一映入眼簾的是SOAR，2017年Gartner提出來的，它需要對接廠商很多產(chǎn)品，做自動化。亞信安全怎么做？我們看看它組成的三個維度，我經(jīng)常打比方，像我們聽交響樂團一樣，有拉小提琴的、彈鋼琴的，重要的是要有樂譜，有預先編排好的預案，還要聽指揮，否則沒辦法讓大家比較容易去欣賞演奏，一樣的道理。

XDR解決方案有專業(yè)的調(diào)查工具、標準的工作手冊、安全響應專家。

這是目前呈現(xiàn)給客戶的XDR解決方案，我們網(wǎng)絡(luò)惻有網(wǎng)關(guān)型檢測產(chǎn)品，有郵件安全產(chǎn)品，端點惻有端點側(cè)安全產(chǎn)品，云主機側(cè)也有產(chǎn)品，云、管、端的產(chǎn)品線比較整齊。同時，通過威脅區(qū)別庫識別已知的威脅和未知的威脅，同時在上面有運維托管的服務(wù)。無論是EDR的技術(shù)還是機器學習的技術(shù)，更強調(diào)對灰色檢測，但是網(wǎng)絡(luò)安全里沒有一個萬能丹，阻止很重要，云管端產(chǎn)品線必須有相應的產(chǎn)品做攔截，因為毫秒級就可以解決問題。

四、目前的實踐

剛才介紹了技術(shù)和方案，我們可以看下目前的實踐：

實戰(zhàn)案例1：10分鐘自動攔截最新勒索病毒變種。我們可以看看這個編曲是怎么編的，首先在DDEI郵件側(cè)網(wǎng)管如果發(fā)現(xiàn)有疑似郵件附件情況下，會按照預先編排送給我們的郵件沙盒，云服務(wù)器租用，通過沙盒偵測發(fā)現(xiàn)它到底是不是威脅。如果是威脅的話，我們會把威脅情報發(fā)給云管端設(shè)備，形成攔截。大家看看這個效果，這也是大家都知道的案例，我們在銀行里2019年3月11號6點零9分DDEI發(fā)現(xiàn)有一個可疑的病毒釣魚郵件，按照預先編排會送給沙箱，6點17分零5秒完成樣本分析，10分鐘之內(nèi)幾十萬臺終端都獲得本地威脅情報更新，有效阻止病毒最新變種。大家可以看到這個效率在10分鐘之內(nèi)，如果靠人工或者靠原來手工提交給病毒中心去驗證，這個周期是超長的。