安全419《高级威胁检测与响应解决方案》系列访谈——科来篇

伴随着对云计算的拥抱、新的DevOps流程的普及、物联网设备的蔓延、供应链的复杂交织以及更多数字基建的涌现，新一代网络攻击手段也在持续演进，有效的威胁检测与响应能力作为重要的攻防手段，是提升实战化对抗能力的关键因素。

安全419推出《高级威胁检测与响应解决方案》系列访谈，邀请相关安全厂商分享主动感知、分析、防御、溯源高级威胁的成功经验，及其方案服务的能力和特色，为企业用户提升安全建设水平提供一定参考。

本期，我们走进科来网络技术股份有限公司（以下简称“科来”），一睹他们在该领域的观察思考和实践。

科来成立于2003年，专注于网络流量分析技术研究与产品开发，在国内率先提出“全流量”、“回溯”概念，并推出了以网络全流量采集与分析技术为基础的网络回溯产品，形成了面向政府、金融、能源、运营商、交通等不同行业、不同规模、不同应用的解决方案，广泛应用于国内外用户的网络智能运维与网络安全分析等关键领域。

根据科来观察，现在的网络攻击更为复杂化，尤其当下的攻击工具存在相对泛滥性与易得性，比如一些攻击武器，如新的漏洞、攻击代码等等都比以往更容易获取。换句话说，从整个攻击成本和困难程度而言，攻击相对更加容易了。

另一方面，防守的难度却在加大——面向目前的网络安全市场，大多数的客户的业务都趋于精细化，维护与防御的难度更大，同时盘根错节的业务流程由数字工具承载，且暴露于互联网上，这就导致很容易被攻击。此消彼长，当下整体的网络安全态势更为严峻，主要表现在：很多攻击不再是单一作战，如国内外的APT组织依然活跃，其攻击手法也更为复杂；除了传统的窃取信件、植入木马等等惯用手段，针对虚拟环境、甚至发展到控制运营商网络的高级攻击不时发生；而威胁的影响范围，除了会针对传统的重点单位和关基设施之外，近两年通过攻击供应链来制造破坏的情况也在变多，进而一举辐射牵连到成百上千的组织，危害性较大。

在这些新兴的、严峻的威胁攻击手法面前，企业正面临前所未有的安全挑战：

第一点是难以发现。现在许多新型攻击手段往往能绕过防火墙、杀毒软件这类传统的安全检测设备，如果企业仅仅沿用过去的防御手段，就会产生防护盲区和漏洞。

第二点是难以回溯。通常，企业的安全团队发现了内部（或横向）的一些异常，但是不能完整地复现整个攻击过程，包括攻击如何产生、如何进入、控制了谁、横向内部攻击了谁。无法还原整个攻击链就如同盲人摸象，不能掌握整个攻击的发展趋势，在后续的防御中也会比较被动。

第三点是难以溯源。更艰难的是，除了不知道对方是怎么攻击你的之外，还不知道是谁在攻击你。站在企业的角度，如果想要了解是什么因素引发了攻击、攻击者的背景等等信息，对很多企业来说是不小的挑战。

面对逐级进化的威胁攻击态势，安全防守也并不是一成不变的。科来为我们总结了安全检测技术的演化路径，早期比较常见的防御手段是部署防火墙、网络隔离，以及比较原始的一代检测技术，如基于漏洞库以及威胁特征的IDS、WAF等产品。随着一些新型威胁的出现，比如通过钓鱼邮件进行内部感染，沙箱技术就是随之出现的检测方法。

在国内攻防演练形成常态之后，安全人员发现，在面对高可疑攻击行为的时候，对抗的关键点在于怎样去快速验证、研判以及扩线分析。这么一来，怎样去提升研判效率与准确度，就成为防守方的取胜要诀。在这种情况下，如果能够具备对于网络流量的全协议解析、保存、分析能力，实现对于告警数据的全量全包、以及全协议检测，无疑能大大提升对于攻击的研判准确率。目前，网络流量分析技术成为应对未知威胁的技术发展趋势，并曾被Gartner评为十一项顶级安全技术之一。

据了解，科来在发展早期就决定独立研发面向国内的网络流量分析产品。在其与客户的交流中，得到反馈发现网络流量分析技术在诸多方面可以满足用户对于网络安全的需求。

传统的基于策略、特征的安全产品，在面临诸如APT攻击等高级未知威胁对抗的时候，很难成功察觉，为了更清楚地透析威胁情况、破坏范围与攻击走向，更需要对全流量采集、存储与分析，对流量进行挖掘，获取里面的线索情报，并回溯整个安全事件，让客户知道整个安全事件是怎么发展的，比如网络遭受攻击的原因、是否产生了横向扩展、扩展后的行为等等，让客户对整个攻击路径、攻击者情况等等都有清晰的了解。

“再高级的攻击也会产生流量”，科来强调，流量分析技术对于安全防御体系建设，有着不可或缺的作用。

作为一项重要、底层的基础技术，全流量分析在实际业务中有众多的应用场景。首先，可以对企业的业务资产和未知的业务访问关系进行梳理，帮助企业有效收敛业务暴露面，从而提升防御的强度。同时，针对APT攻击、隐蔽信道传输以及高级木马等威胁，基于高检出效率的流量分析进行的异常行为建模，也是当下使用广泛的安全防御措施，在各种安全事件响应、攻防演练场景下广受重视和应用。

科来介绍，其全流量分析是建立在海量数据的保存和处理基础上的检测技术，结合大数据处理、机器学习、深度学习等技术，通过全流量分析设备，实现网络全流量采集与保存、全行为分析与全流量回溯，并提取网络元数据上传到大数据分析平台，从而满足客户更为细致与丰富的需求。

安全防御的能力取决于安全感知能力，而安全感知能力的重点则在于对未知安全威胁的感知能力上。从流量视角来看，这种能力就体现在对于协议的理解和解析上。

科来在全量数据采集与保存的基础上，实现了全行为建模与分析、全流量回溯，能够在网络攻防对抗中精准发现与确认攻击威胁。“无论是针对攻击的隐蔽信道，还是发现网络中传输协议的异常流量，当我们能透析更多的网络流量内容，那么我们就能看得更清楚、更透彻、更全面，这样一来，利用协议漏洞的网络攻击就无所遁形。”

随着未来数字化系统越来越多地应用到社会关键基础设施，数字化系统自身的安全、稳定、可靠将至关重要。以往，如果只依靠关键词的反馈会产生大量的告警，安全设备提供的告警验证只让安全人员看到单个请求或响应包的情况，不仅无法及时确认真正的威胁所在之处，也不能对攻击行为进行进一步的研判与分析。科来分析，未来整体技术趋势正在转向智能化与聚合化，从单一警报转向事件集合，来进一步赋能安全体系，以实现对于企业精细化安全防御的完善与补充。

科来表示，网络流量分析技术是一项在不同领域有着丰富应用场景的底层基础技术，可以衍生出更多的可能。未来将进一步围绕数字化互联智能系统保障的相关技术产品开发，在网络流量分析技术、网络性能分析、网络安全分析等产品和技术开发的基础上寻求更多可能，为围绕数字化互联智能系统保障的相关技术产品的开发，成为真正的数字化互联智能时代的守护者。