APT治理这十年，“响·当然”也是亚信安全

“响·当然”是对亚信安全XDR战略的另一种演绎，具体如何解释，后文阐述。但反派主角可先登场，“世界上只有两类大型企业，一类企业知道已被APT攻击，另一类是并不知道。”这是美国联邦调查局高官，对APT“影响力”的描述，而此种威胁至今已持续10余年。

2007年之后的“俺怕他”

有意思的现象。2007年之后，就没有爆发过大规模病毒事件（除2017年的WannaCry之外）。当然这一现象并不有意思，不是黑客们金盆洗手，只是他们改变策略，变“抢”为“偷”，采用APT（高级持续性威胁）手段进行，进行间谍活动。

APT，可演绎翻译为“俺怕他”。例如，Google 遭受Aurora（极光）攻击；Stuxnet蠕虫攻击伊朗布什尔核电站；黑客组织“和平卫士”盗取索尼影视公司数万名员工信息，以及多部未发行电影拷贝，这都属于典型APT攻击事件。

究其特征，APT威胁确实不像WannaCry那样大马金刀，动辄就横扫攻击150余个国家，但受过谍战片教育的人，都知道什么叫“冷棋闲子”。黑客潜入企业业务系统，但通常不急于动手，平均潜伏期甚至长达559天，而一旦时机成熟，就盗取“情 ”，制造混乱，拿走企业关键数据。

APT治理的史前阶段

“十年前，我们开始警惕，并告知用户也要警惕APT，但没人能听得懂，也没人意识到APT的存在。”童宁，亚信安全通用安全产品总经理，他回忆APT概念未被广泛认知前，极容易与其他威胁混淆：“当时多数数据泄露事件，都归结为数据安全，或企业安全管理漏洞。”

言归正传。2008年，趋势科技正式发布APT高级威胁治理战略（2015年，趋势科技中国被亚信科技收购，成立亚信安全），这在安全业内也是一个具有标志性的事件，标志着APT已经作为一个单独的门类，被产业所重视，并有相关企业提出了体系化的解决方案，以及落地战略。

其实，1999年时，趋势科技已经发现梅利莎病毒，这是最早期形态的APT攻击；2002年，趋势科技推出里程碑式的企业安全防护战略（EPS），这此后成为该公司APT治理战略中，产品联动解决方案的雏形；2003年，趋势科技于业内首家提出“云安全”概念，这也是利用云安全智能防护 络，帮助用户治理APT的起点；2005年，APT一词首次出现在美国官方 告中，趋势科技TDA第一代产品问世。

此后即是，2007年，趋势科技Deep Discovery深度威胁发现解决方案问世。2008年，趋势科技又将相关产品，以及APT治理经验进行整合，正式发布APT高级威胁治理战略1.0。

APT治理这十年

到此为止，可称为APT治理的史前阶段。此时趋势科技针对APT治理，战略性地引入了“云安全”的概念，也开始形成病毒全生命周期管理思路，以及安全设备协同联动理念。此后数年间，趋势科技又不断丰富产品线，新增了安全邮件 关、终端威胁取证等产品。

2015年，又一个重要时间节点。趋势科技发布APT高级威胁治理战略2.0，以1个中心、4个过程、6个抑制点为基础，形成了“螺旋迭代”的立体化治理模型。该模型是以“监控”为中心，“侦测、分析、响应、阻止”为4个治理过程，在APT 攻击过程的6个阶段分别建立抑制点。

此外，APT高级威胁治理战略2.0还有另一贡献，即建立了全面的威胁联动治理体系。产品维度实现了“云、管、端”全线安全产品的联动；管理维度实现了从侦测、分析，到响应、阻止的全过程联动。

过多技术细节内容不必赘述，但突出介绍一点，“螺旋迭代”的立体化治理模型，以及威胁联动治理体系，支撑了趋势科技的APT治理战略，至今多数厂商也还在沿用类似体系。当然，还要插入介绍一句。同样是2015年，趋势科技中国被亚信科技收购，并融合成立了全新的公司品牌——亚信安全。

APT治理的下一个十年

这就是APT治理的近十年，而未来已来，“现在，亚信安全从安全运维视角出发，提出了通过SOAR平台的精密编排能力，打造一套安全联动运维体系的理念，这也是APT高级威胁治理战略3.0的雏形。”亚信安全产品总监白日说。

从过去十年，APT威胁治理能力的发展水平看，通过技术和产品的不断演化、组合、联动，用户基本可以做到发现、分析，然而对于响应、预测，还是有些偏头痛。举例说明，在用户购买了态势感知等解决方案后，每天都会产生海量告警，发现大量可疑攻击和威胁，但用户或是因为自身技术能力有限，或是没有完善的知识体系，不知如何确认威胁本质，以及攻击意图，更无法还原攻击场景。

这就是现实。当然，管杀不管埋，只“发现”不“响应”，不是亚信安全的性格。也就是说，在APT高级威胁治理战略3.0中，亚信安全为客户提供的是快速恢复补救能力，即快速响应能力。

亚信安全所定义的“响应能力”由四部分构成：告警处理，分类并划分安全事件优先级；定性分析，判断威胁的真实性，确认威胁的本质和意图；定量分析，回溯攻击场景，评估威胁的严重性；快速响应，根据响应脚本，执行响应策略。

此四部分能力，组成了亚信安全以安全运维为视角的SOAR框架，即利用SOA精密编排的联动安全解决方案；IR安全事故应急响应平台；TIP威胁情 平台，将安全产品以及安全流程连接和整合起来。也可类比解释，每座城市都已建立应急响应系统，一旦触发火情 警，119、110、120等不同城市管理部门，就可参考事前预案，立即协同联动，这也是SOAR框架的最通俗理解。

“响·当然”也是亚信安全

当然，上述解决方案即构成了亚信安全的APT高级威胁治理战略3.0，其另一个名字叫做“XDR战略”。其中，“X”代表智能时代的诸多应用场景，例如无人驾驶、工业互联 、智慧医疗、智慧零售等；“D”代表传感器，“云、管、端”均需要建立不同的监控机制，以及数据还原机制；“R”则代表快速响应，借助SOAR框架，实现精密编排的联动响应。

同时，亚信安全还已明确了XDR战略的落地应用解决方案，其包括了“准备、发现、分析、遏制、消除、恢复、优化”这7个阶段。准备阶段包括了针对每一种黑客攻击类型的标准预案，自发现威胁数据之后，将数据集中到本地威胁情 和云端威胁情 做分析，利用机器学习和专家团队，通过分析黑客进攻的时间、路径、工具等所有细节，其特征提取出来，再进行遏制、清除、恢复和优化。

而最后，回到文章开头，XDR战略另一种演绎，也可以解释为，“响·当然”战略，即实现对APT威胁的快速“响应”，“当然”是亚信安全。因为只有其可提升响应环节的效率，只有其具有高效敏捷的精密编排能力，而这才是未来APT治理的解决之道。

【TechECR】关注科技企业生态体系建设，这里有思考、有观点；有点头咂嘴，也有会心一笑。创始人：张戈，曾任《商业伙伴》、《电脑商 》副总编，不码字，不写稿子、只输出有质感的文章。以生态合作为视角，研究IT产业18年，常年保持对ICT企业、IT方案商、IT渠道商保持高频度采访。同名专栏现已入驻各大主流媒体平台。合作联系：zg777zg@sina.com