遭遇高級持續(xù)威脅攻擊（APT 攻擊）幾乎是每家企業(yè)的噩夢。這意味著受攻擊企業(yè)的核心數(shù)據(jù)已被盯上，而且很可能遭到泄露。更重要的是，這些企業(yè)大多無法快速有效獨(dú)立做出反應(yīng)，需要借助外部專業(yè)安全能力，實(shí)施應(yīng)急響應(yīng)與溯源取證。不過，互聯(lián)網(wǎng)與金融等技術(shù)水平較高的行業(yè)是例外。由于日常安全設(shè)備與人員投入較大，且具備嚴(yán)格的安全運(yùn)營合規(guī)性，這些領(lǐng)域內(nèi)的企業(yè)基本足以應(yīng)對絕大多數(shù)高級威脅。

某大型互聯(lián)網(wǎng)企業(yè)就是一家這樣的企業(yè)。公司員工人數(shù)上萬，擁有資深的安全能力，對安全建設(shè)要求極高，內(nèi)部安全團(tuán)隊(duì)即可處理90%的日常網(wǎng)絡(luò)威脅。如果尋找外部專業(yè)安全能力支援，多半是遇到了高度復(fù)雜的攻擊。

幾個月前，該企業(yè)通過微步在線威脅感知平臺TDP收到了高級持續(xù)威脅攻擊的告警，并內(nèi)部優(yōu)先處理、取證。然而該企業(yè)安全團(tuán)隊(duì)發(fā)現(xiàn)，這次威脅的取證難度相比往常更難，經(jīng)歷一段時間的內(nèi)部研判、調(diào)查與取證后，仍舊無法找到突破口。

最終該企業(yè)選擇采用微步在線的MDR服務(wù)。在微步在線的協(xié)助下，通過安全分析師獨(dú)特的分析手法，成功將威脅定位到具體服務(wù)器，并進(jìn)行了后續(xù)處置。

APT攻擊雖與地緣政治有關(guān)，主要攻擊對象更多集中在政府與軍工等行業(yè)，但針對互聯(lián)網(wǎng)軟件行業(yè)的APT攻擊近兩年也頻頻發(fā)生。被攻擊企業(yè)大多人員規(guī)模龐大，業(yè)務(wù)覆蓋面廣，具有重要的行業(yè)地位，此類企業(yè)面臨的安全挑戰(zhàn)主要在于：

• 企業(yè)人員規(guī)模大，互聯(lián)網(wǎng)業(yè)務(wù)多，使得辦公網(wǎng)對外訪問流量大，存在資產(chǎn)暴露面大，同時對檢測能力，尤其是新型威脅檢測能力要求極高；

• 安全設(shè)備多，告警量大，安全人員容易產(chǎn)生告警疲勞，增加真實(shí)威脅遺漏的幾率，給企業(yè)帶來潛在安全風(fēng)險；

• 安全人員配置較多，核心能力以常規(guī)安全運(yùn)營為主，但整體事件處理與響應(yīng)能力無法滿足實(shí)際安全需求。

“我們每天守著將近10個G的出口流量，表面看上去毫無波瀾，但我們知道，事實(shí)上有很多新型攻擊在悄悄上演，對我們這些企業(yè)的安全能力，提出了有更高的要求。”該大型互聯(lián)網(wǎng)企業(yè)相關(guān)安全人員說道。

因此，該大型互聯(lián)網(wǎng)企業(yè)結(jié)合自身安全需求，最終通過效果測試從多家廠商中選擇與中國新一代網(wǎng)絡(luò)安全代表企業(yè)、威脅發(fā)現(xiàn)與響應(yīng)領(lǐng)軍企業(yè)微步在線達(dá)成合作。微步在線以“威脅感知平臺TDP+本地威脅情報管理平臺TIP”為核心的解決方案，將TDP集群部署接入該企業(yè)辦公網(wǎng)流量并保證高性能穩(wěn)定檢測，TIP打通已有日志管理平臺與業(yè)務(wù)風(fēng)控系統(tǒng)，從威脅檢測能力、威脅告警準(zhǔn)確性與告警噪音、事件溯源與響應(yīng)能力三個維度增強(qiáng)安全建設(shè)。

全流量覆蓋與針對性攻擊識別，提升復(fù)雜、新型、高級威脅檢出能力

通常而言，高級持續(xù)網(wǎng)絡(luò)攻擊目標(biāo)旨在企業(yè)高價值資產(chǎn)，前期會經(jīng)過精心策劃與長時間隱藏摸排，從而確定攻擊入口，且在攻擊成功后，清除相關(guān)登錄日志，前后期發(fā)現(xiàn)難度均非常大。該大型互聯(lián)網(wǎng)企業(yè)雖然部署了傳統(tǒng)的防火墻、IDS/IPS、終端殺軟及WAF等產(chǎn)品，大多只能抵御已知特定威脅，無法針對APT攻擊、定制化惡意軟件及0day等新型威脅進(jìn)行有效檢出。面對每天上萬人的巨大辦公網(wǎng)流量，如果無法做到穩(wěn)定有效檢測，可能對安全帶來重大隱患。

TDP背靠亞洲最大的情報搜索引擎和共享社區(qū)“X情報社區(qū)”，具備秒級更新一手情報，情報能力強(qiáng)大。通過對請求返回雙向流量檢測，TDP不僅能夠?qū)崿F(xiàn)辦公網(wǎng)絡(luò)威脅全面覆蓋，穩(wěn)定檢測，同時可針對內(nèi)網(wǎng)主機(jī)對外訪問或下載文件的URL、上傳流量中還原的文件樣本進(jìn)行云端深度分析檢測。通過TDP，在攻擊早期即可快速發(fā)現(xiàn)未知威脅與APT攻擊，提前做好準(zhǔn)備應(yīng)對各種風(fēng)險。

聚焦真實(shí)威脅，降低告警噪音，緩解運(yùn)維壓力

安全告警噪音是另一個重要問題。某大型互聯(lián)網(wǎng)企業(yè)自研日志管理平臺，用于對安全設(shè)備、DNS服務(wù)器、終端等告警日志進(jìn)行統(tǒng)一采集、處理與呈現(xiàn)，但無法關(guān)聯(lián)分析，存在海量檢測告警，每日可疑攻擊IP達(dá)上百萬，存在大量誤報，給企業(yè)安全人員帶來巨大的處理壓力，久而久之安全人員產(chǎn)生告警疲勞，可能導(dǎo)致無法有效發(fā)現(xiàn)真實(shí)威脅，帶來潛在安全風(fēng)險。

事實(shí)上，對于海量的告警威脅，其中很多威脅可能并未攻擊成功，甚至未給企業(yè)造成真實(shí)的危害，因此在安全運(yùn)營中需要重點(diǎn)關(guān)注的，應(yīng)該是那些真實(shí)的威脅。TDP基于雙向全流量檢測，能夠從多個維度捕獲攻擊，自動查看返回內(nèi)容從而判定攻擊是否成功，最大化減少告警噪音。另一方面，微步在線本地威脅情報管理平臺TIP結(jié)合實(shí)時多源情報，能夠與企業(yè)已有日志管理平臺聯(lián)動，將日志管理平臺檢測到的告警信息進(jìn)一步快速自動化檢測分析，消除告警噪音，聚焦企業(yè)面臨的真正威脅，從而緩解安全運(yùn)維人員壓力，節(jié)省更多時間處理高優(yōu)先級安全威脅事件。

專業(yè)分析、7x24服務(wù)，提升SOC安全事件處置效率

當(dāng)下大多企業(yè)整體網(wǎng)絡(luò)安全意識與防護(hù)能力在不斷提升，但仍與實(shí)際安全需求存在一定差距，普遍需要更加專業(yè)、自動化、高效的安全處置能力。該大型互聯(lián)網(wǎng)企業(yè)雖然部署了多種安全設(shè)備，且安全團(tuán)隊(duì)能力比較資深，但面對巨大的辦公網(wǎng)出口流量與大量的告警，內(nèi)部不同平臺處置流程時長、處置響應(yīng)系統(tǒng)之間割裂、自動化程度，處置效率等問題逐漸凸顯。

通過TDP不僅能夠及時發(fā)現(xiàn)各種潛在的未知新型威脅，還可與現(xiàn)有安全設(shè)備及工單系統(tǒng)聯(lián)動，為高危、嚴(yán)重告警及時創(chuàng)建工單，以短信或郵件方式推送至相關(guān)安全人員，實(shí)現(xiàn)針對大流量場景，高效、穩(wěn)定的新型威脅檢測與運(yùn)營處置閉環(huán)。同時，基于高質(zhì)量的威脅情報IOC，TDP可對攻擊者畫像與手法進(jìn)行歸類識別，對高級威脅事件進(jìn)行驗(yàn)證，能夠讓企業(yè)提前了解自身基礎(chǔ)設(shè)施風(fēng)險點(diǎn)，提升事件溯源能力與主動防御能力。此外，微步在線為企業(yè)提供快速、專業(yè)的應(yīng)急響應(yīng)服務(wù)，以及定位、處置、溯源安全、追蹤安全事件能力，助力保障企業(yè)重要活動期間業(yè)務(wù)正常運(yùn)轉(zhuǎn)，提升日常安全運(yùn)營效果。

強(qiáng)大的安全能力不是一天建設(shè)起來的，最靠譜的方式，還是結(jié)合企業(yè)需求特點(diǎn)及當(dāng)下安全態(tài)勢，劃出重點(diǎn)后，或查漏補(bǔ)缺，或持續(xù)精進(jìn)。微步在線不僅為該大型互聯(lián)網(wǎng)企業(yè)提供了豐富準(zhǔn)確的情報能力，同時還增強(qiáng)了企業(yè)的日常安全運(yùn)營能力，提高了對于新型重要威脅的檢測能力，保證日常大流量穩(wěn)定檢測，同時極大釋放了企業(yè)安全人員人效，為企業(yè)建立更加牢固的安全體系，贏得了更多時間與精力。