2. 第二章 规划回顾

2015年，趋势科技“演化的高级威胁治理战略2.0（Custom Defense）”正式发布。从战略高度提出了高级威胁治理的理论模型、体系支撑和系统架构。也就是我们今天所熟知的一套理论模型：一个中心，四个过程的高级威胁治理自适应方法论模型；两个体系支撑：本地和云端威胁情报双回路体系（体系1 – Double O），全面的威胁联动治理体系（体系2 – Better Together， SOAR 1.0）；一套系统架构：威胁情报网络、管理控制中心、产品支撑平台、专属治理服务。自此开始了体系化的高级威胁治理之路。

2018年，正值检测和响应市场（Detection & Response）爆发的前期，EDR、NDR、NTA、MDR、SOAR、UEBA等概念和技术此起彼伏，在市场还在消化和吸收各种声音的时候，亚信安全“演化的高级威胁治理战略3.0（XDR）”呼之欲出，战略3.0提出了以EDR和NDR为技术支撑、以MDR为服务支撑，以SOAR自动化精密编排为工作流支撑的XDR体系（体系 3 - XDR），同时提出了高级威胁防御的最后一道防线：快速修复补救体系（体系4 – Resilience1.0）。规划3.0的提出，不仅让市场明白了检测和响应的核心业务逻辑，更让观望者看到了一条可以和用户安全运营紧密结合的切实可行的落地之路。

2019年RSAC创新沙盒比赛，Axonius公司的“资产管理”异军突起，给高级威胁治理中如何规划和践行“预防”过程提供了借鉴思路，由此启发补充了基于资产和脆弱性的风险评估管理体系（体系5 - RAM）。

近几年，国家级、行业级、区域级HVV活动如火如荼，让各行各业着实感受了以实网攻防为代表的高级威胁，也使得高级威胁治理在一次次攻防实战中快速进化和升级。随着市场和行业接受度的迅速提升，XDR逐渐从概念产品成为实用产品，从产品和技术角度需要进一步细化定义“检测”和“响应”，于是有了XDR 2.0（体系3 - XDR 2.0升级）；HVV过程同样催生了用户对“预防”环节的重视，HVV之前的资产摸排、查缺补漏、风险管理（风险评估管理体系，体系5 - RAM）和渗透测试、入侵模拟以及攻防演习（实网攻防体系，体系6 – Cyber Range）已经成为HVV开战前的标准动作流程，这两大体系共同组成了高级威胁治理的持续评估体系（体系7 – Continuous Assessment）；同时，随着欺骗诱捕技术的逐渐成熟，在HVV中的实战效果惹人注目，欺骗诱捕体系（体系8 - Deception Defense）也成为高级威胁治理中不可或缺的组成部分；HVV活动同样深刻影响着安全运营领域，对用户和厂商的安全运营团队、技战术、资源、标准、流程、知识提出了新的挑战，也使得用户和厂商对安全运营体系（体系9 - Security Operations）的认知提升到了一个全新的高度。以上内容，构成了2020年“演化的高级威胁治理战略 4.0 （All In）”。

/******************************************************************************

注释：演化的高级威胁治理战略4.0取名“All in”，意为“全面开战”，有两层含义：1. 高级威胁治理体系框架的日趋丰富和成熟，初步具备体系化对抗高级威胁的能力，一个有目共睹的结果就是今年HVV防守侧的表现明显高出往年；2. 这些年高级威胁治理战略的规划和实践逐渐被市场和行业所接受，被用户和厂商所认可，充分证明了战略规划的前瞻性和有效性，也使得该战略更加稳固，有更加可期的发展和未来。

******************************************************************************/

从2015年战略规划2.0（Custom Defense）的提出，到2018年战略规划3.0（XDR）的演进，再到2020年战略规划4.0（All In）的全面深化，高级威胁治理战略不断演化发展，接下来我将按时间顺序为大家详述高级威胁治理规划的方法论、框架体系、业务支撑、核心构成、演化的逻辑和发展的历程。

规划是不断修正纠偏和推陈出新的过程，早期规划会存在很多历史和认知的局限性，存在偏颇和不足，我会以注释的方式写明。

 

3. 第三章 2015年战略2.0 – Custom Defense

3.1 方法论

2015年，战略2.0正式提出了以“监控”为中心，以“检测、分析、响应、预防”为过程的高级威胁治理自适应方法论模型，或称之为“一个中心，四个过程”，以下简称“方法论”。

图6：高级威胁治理自适应方法论模型

3.1.1 以“监控”为中心

“监控”是高级威胁治理规划的“指挥控制系统”，它贯穿整个治理周期的始终。通过全程监控形成“自适应”的治理模式，用户可以了解完整威胁态势、共享威胁情报、编排检测及响应流程，对威胁和攻击进行验伤、取证和溯源，接入远程安全托管服务，还可以持续深度威胁分析，定位核心资产，评估漏洞及风险，预测威胁趋势、提前感知告警，提供主动防护策略。

3.1.2 以“检测、分析、响应、预防”为过程

 “检测”是高级威胁治理的“发现告警系统”，检测攻击者所使用的，传统防御无法识别的恶意对象、通讯及行为等威胁。和传统攻击检测不同，由于攻击者在每次攻击时会利用高度定制化的恶意程序、URL、脚本，甚至零日漏洞或N日漏洞，其目的就是为了绕开传统基于特征码或策略的威胁检测机制，增强对目标渗透和攻击的成功率。使用非特征码的新型检测技术通过对终端、主机和网络的异常监控，能帮助用户发现可疑的威胁活动。例如：正在使用的应用程序存在风险、移动设备访问和活动、流量与数据传输模式异常等等。无论是社交工程钓鱼、零日漏洞攻击、水坑式攻击，还是加密勒索软件攻击、挖矿攻击或无文件攻击，治理过程都能从这里开始。

前面说过，威胁的描述可以划分为“点、线、面、体”四个层次，我们需要提供四个层次的威胁检测能力作为技术支撑。然而，安全行业针对高级威胁治理的发展也是按照威胁“点、线、面、体”四层次顺序依次演化和发展的，当前市场发展还处于检测的初级阶段，因此，基于基本威胁元素和单一威胁活动的检测技术相对较多，比如：威胁情报（Threat Intelligence），沙箱（Sandbox），ATT&CK TTPs技战术框架等，用于检测可疑文件、IP、URL、域名、漏洞以及恶意行为特征等基本威胁元素；比如：终端检测和响应EDR以及网络检测和响应 NDR，主要针对单一威胁活动的检测，较少涉及完整威胁和攻击事件的检测；虽然这些年如火如荼的态势感知被定位于全面威胁态势的分析和预测，但客观地评价，态势感知主要还是针对威胁的“点”和“线”来做展现，远远没达到“面”和“体”的检测和感知能力，假以时日，当未来安全技术可以支撑到“面”和“体”，态势感知才真正体现出该有的价值。

/****************************************************************************

注释：EDR好比家庭摄像头，NDR好比小区摄像头。在单一终端、主机或网络上看到的不过是攻击的某个现场，无法了解一个完整攻击的来龙去脉，比如：攻击者如何进入到小区？（尾随？翻墙？用了别人的钥匙？安保漏洞？）攻击者怎样进入你家的？攻击者从你家又如何翻到别人家的？除了摸了你家的门还去了谁家？有没有在小区留下后门便于下次来访？CISO需要一个更加完整的攻击事件调查，也就是将终端、主机和网络的单一威胁活动（event）关联起来，回溯和还原出一个完整的攻击事件（incident），这也是XDR的由来。

*****************************************************************************/

 “分析”是高级威胁治理的“验伤取证系统”，一旦通过终端、主机或网络检测到可疑威胁对象、通讯及行为等攻击活动，就需要验证攻击活动是否在服务器或终端设备中真的发生，通过回溯攻击场景，分析攻击的本质和攻击者的意图，并评估威胁的严重性、影响、范围以及带来的风险，为下一步响应策略的制定提供依据。

各个看似单独的威胁活动并不是偶然发生的，要回溯完整的攻击事件，就必须将各个零散的单一威胁活动关联起来，统一进行分析。对于完整攻击事件的验伤、取证和溯源，需要搭配完整的终端/主机/网络存取证工具，以及MDR安全专家分析服务。终端和主机存取证工具能记录终端和主机系统内核层面的重要活动和通讯事件，包括文件访问、进程启停、网络通讯、注册表及账户活动等重要信息；网络存取证工具会记录关键网络活动的完整数据包，便于攻击活动回放、确认以及关联分析。EDR/NDR产生的威胁告警通常会被认为某种攻击迹象 （例如：发现新的恶意软件、网络中显示 C&C 活性、产生了横向移动行为等），安全专家借助终端/主机/网络存取证工具对系统渗透、恶意C&C 通讯、可疑账户活动、恶意程序或其他违规行进行确认，并以此为线索继续搜索与这些恶意行为相关的威胁活动，将多个相关的威胁活动关联起来，通过点、线、面关联绘制完整的攻击场景，完成从单一攻击活动到完整攻击事件的验伤、取证和溯源（该过程我们为“综合验伤取证”），实现对完整攻击事件的定性分析和定量分析，并依照分析结果为下一个过程制定客观而科学的响应策略。

随着分析过程的不断扩大和深入，这个阶段还会发现并确认一些新型威胁对象，比如新的恶意文件、URL、IP、域名、漏洞以及攻击特征等。定向攻击都是针对特定目标的，每个组织所遇到的威胁各有不同，因此每个组织所检测到的新型威胁对象也各异，由于这些新型威胁对象极具针对性和目标性，因此，由这些新型威胁对象构成的本地威胁情报在实战攻防过程中具有非常重要的价值，可用于下一步的威胁响应和持续的威胁检测。

/****************************************************************************

注释：从“检测”到“响应”，绕不开“分析”这个关键阶段。然而，无论是Gartner还是其他第三方分析报告，对“分析”这个环节都没有给出太多的解释，Gartner甚至没有将“分析”列入其自适应防护模型的关键阶段，但无论如何“分析”所承载的正是从“检测”到“响应”的核心业务逻辑。

*****************************************************************************/

“响应”是高级威胁治理的“修复补救系统”。如果通过验伤、取证和溯源对攻击做到了定性和定量分析，那么就需要进一步制定、下发相应的响应策略，执行修复补救（Resilience）措施。一方面，可以将分析阶段发现的本地威胁情报共享给各安全节点，对终端/主机已驻留的恶意程序进行清除，阻止恶意活动进一步扩散，还可以通过网络层的加固，防止此类威胁重复入侵；另一方面，修复补救还体现在对现有系统和业务的快速恢复能力，即业务弹性或业务健壮性（Resilience），这需要工作手册的指导，工作流的保证，以及日常演练来提升。

 “预防”是高级威胁治理的“风险管控系统”。较之前面的三个过程，该过程相对独立，顾名思义，该过程包括了“预测（Prediction）”和“防止（Prevention）”两方面内容。“预测”是通过大数据分析、机器学习、AI、关联分析、统计学分析、模式分析、UEBA分析等技术发现新的威胁特征、威胁活动、威胁事件，以及威胁发展趋势，具备威胁感知和预测能力，做到提前预测；“防止”是为防止攻击者发现并窃取企业的信息资产，用户需要通过数据发掘等技术手段确定企业信息资产的位置，并结合加密、防泄漏、应用控制、APT追踪等技术，防止信息资产被非法访问或外泄，因此，“资产管理”是这个阶段所重点涉及的内容，“资产管理”不仅仅是针对网络设备、主机、终端以及安全产品的管理，更重要的是针对“核心信息资产”的管理。另外，“风险评估”也是这个阶段需要重要关注的内容，“风险”意味着黑客入侵或攻击一个目标的可能性，正确和全面的做好风险评估，可有利于加固自身安全建设，减少目标被攻击的概率，提高攻击者的攻击复杂度，也可以让用户对自身的安全状况有更明确的认识，并为进一步安全建设提供方向和策略。

/******************************************************************************

注释：在2015年战略2.0中，最后一个阶段定义为 “阻止（Prevention）”，2019年战略3.0中更新为“预防”，增加了“预测”的相关定义，在近期的战略5.0规划中，该部分还会有更加宽泛和细化的定义，这里暂且不表。

******************************************************************************/

以“监控”为中心，以“检测、分析、响应、预防”为过程的高级威胁治理自适应方法论模型是一种“螺旋迭代”“进化提升”的演化结构，每经历一个迭代周期，就意味着防护系统对某种新型威胁执行了完整的治理周期，具备了应对此类威胁的免疫能力，也意味着防御系统较之前有更进一步的能力提升，具备更强的高级威胁防御和治理能力。

3.2 体系支撑

2015发布的战略2.0提出了高级威胁治理规划的前两个重要支撑体系：本地和云端威胁情报双回路体系- Double O，以及全面的威胁联动治理体系 - Better Together，即SOAR 1.0。

3.2.1 体系一：本地和云端威胁情报双回路体系 - Double O

趋势科技云安全智能防护网络（Smart Protection Network，SPN） 为高级威胁治理战略规划中的相关产品和服务提供全球威胁情报支撑，也称之为云端威胁情报。

图7：趋势科技云安全智能防护网络SPN

趋势科技是全球最早提出、建设、运营、研究和使用威胁情报的安全厂商之一，体系化的SPN 由文件信誉、Web 信誉、邮件信誉、App应用信誉，以及漏洞攻击检测等技术组成，同时安全研究人员会调查“地下网络”、跟踪黑客的动态，利用大数据分析每天收到的海量威胁数据，并交叉关联不同层面的各种攻击，发掘攻击线索和规律，总结威胁特征，持续更新全球威胁情报。SPN 的设计就是要搜集大量资料来发掘未知威胁、检测定向攻击和大规模攻击。利用遍布全球的沙箱网络、威胁反馈机制、地毯式搜索，以及客户、合作伙伴与研究人员所组成的网络，SPN 可持续搜寻各种不同潜在威胁来源，包括：IP、URL、DNS、文档、漏洞与漏洞攻击、移动 App 程序、幕后操纵通讯C&C、网络通讯以及网络犯罪者。

图8：本地和云端威胁情报双回路体系 - Double O

趋势科技云安全智能防护网络SPN通过本地“监控”中心，定期将云端威胁情报下发给本地各安全节点，各安全节点根据更新的威胁情报 “检测”和“响应”已知威胁，这个过程构成了“云端威胁情报下发”。

前面介绍过，在“检测”和“分析”过程中会发现并确认一些新型威胁对象，比如新的恶意文件、URL、IP、域名、漏洞以及攻击特征等，这些构成了本地威胁情报，并通过“监控”中心共享给本地各安全节点用于威胁响应和检测，这个过程构成了从“检测”到本地可疑威胁对象，“分析”确认为本地威胁情报，然后共享到各安全节点完成“响应”和进一步“检测”的完整回路，也称之为“本地威胁情报回路”。

本地威胁情报除共享给各本地各安全节点用于威胁检测和响应之外，还通过“监控”中心进一步反馈给趋势科技云安全智能防护网络SPN进一步分析和确认，并借助其全球威胁情报分发机制，共享给全球的安全节点、用户及合作伙伴，共同检测并响应这种新型威胁，这个过程称之为“本地威胁情报反馈”。

“云端威胁情报下发”、“本地威胁情报回路”和“本地威胁情报反馈”这三个过程，共同构成了战略2.0在业内首次提出的“本地和云端威胁情报双回路体系 - Double O”，目前这套体系已被业界广为接受和采用。

/******************************************************************************

注释：本地威胁情报的发现和分析能力是一个厂商真正具备高级威胁治理的核心竞争力，也是用户在安全运营中所需要具备的基本能力，同时也是本规划有别于其他厂商的重要区别之一。今天市场被广为谈论的“威胁情报”，是广义上的“全球威胁情报”或“云端威胁情报”，这些情报大部分来自于第三方厂商、开源组织、合作机构、或黑客论坛等。且不论这些威胁情报的质量如何，从某种意义上讲，此类情报是已知的、公开的或半公开的，基于此类威胁情报的检测机制（碰撞和关联分析等）类似传统的“黑白名单”机制，用户只要按照最新的安全情报及时更新本地安全节点的防护策略即可。但是，高级威胁尤其是定向攻击，往往是针对特定的攻击目标，攻击者使用精心定制的攻击工具、恶意文档、脚本甚至零日漏洞发起攻击，这些攻击介质往往具备非常强的反检测能力，更容易绕开用户的安全防护体系，达到入侵的目的。因此，对于可疑威胁，尤其是新型可疑威胁的本地发现和分析能力，就成为高级威胁治理的关键核心能力，将云端威胁情报的检测和分析能力赋能到本地产品和解决方案中，可以极大地提升针对本地新型威胁尤其是定制化威胁的检测和分析能力，通过分析确认的本地新型威胁最终成为本地威胁情报的一部分，通过“监控”中心实时共享给本地各安全节点进一步“响应”和“检测”威胁，这部分构成了“本地威胁情报回路”。

******************************************************************************/

3.2.2 体系二：全面的威胁联动治理体系 - Better Together

战略2.0还在业内首次提出了另一个重要体系：“全面的威胁联动治理体系 - Better Together”。该体系包括两个层面的含义：

图9：全面的威胁联动治理体系 - Better Together

3.2.2.1 全过程联动

“检测”、“分析”和“响应”这三个过程存在业务逻辑上的依赖关系，那么将这三个过程联动起来，以提升自动化检测和响应的效率，这就是全过程联动，该思想也成为“SOAR精密编排的自动化威胁检测和响应体系-XDR”的早期雏形。

3.2.2.2 全产品联动

高级威胁治理规划所涉及的相关产品，无论是检测类型、分析类型、还是响应类型，无论是终端类型、主机类型、还是网络类型，无论是物理形态、虚拟化形态、还是云化形态，在规划中都有明确的产品定位和职能分工，通过核心业务逻辑全面联动起来，共同构成高级威胁治理产品线。

/******************************************************************************

SOAR是2018年战略3.0正式提出的概念，2015年战略2.0中提到的“联动治理”更像是SOAR 的雏形，故定义为SOAR 1.0 简化版，用威胁情报和沙箱代替分析过程，将本地产生和确认的新型威胁情报分享给云管端阻断产品进行联动响应，SOAR 1.0简化版缺少攻击本质、攻击者意图、攻击回溯、威胁严重性、影响和范围评估等定性和定量分析，在响应阶段又缺少修复补救的措施及流程指导，同时缺少与用户现有的安全运营紧密结合，较为适合高级威胁治理的初期阶段，可作为轻量级便捷方案提供给一般企业用户。

******************************************************************************/

3.3 系统架构

战略2.0的核心系统架构包括4部分：威胁情报网络、管理控制中心、产品支撑平台（用于高级威胁检测和分析的产品系列）以及专属治理服务。

3.3.1 威胁情报网络

可参考上述“体系1 - 本地和云端威胁情报双回路”，这里不再重复。

3.3.2 管理控制中心

趋势科技控制管理中心TMCM，可对多个安全层面和所有安全节点进行管理和监控，收集和分享威胁情报。通过定制威胁关注点，可查看威胁事件统计及其详情，能迅速识别威胁，评估并响应威胁事件；通过用户可视化，可以看到每个用户在终端的活动状况，审计用户接触的所有内容并调整用户策略；如遭遇网络攻击，可跟踪了解攻击的传播动态，把控攻击的影响和范围，凭借对安全事件更深入的了解，做到防范于未然。同时还可以通过趋势科技威胁百科门户，获取趋势科技全球威胁情报，从而进一步评估攻击的本质、风险和起源，探究攻击者以及攻击方法之间的复杂关系。

3.3.3 产品支撑平台

趋势科技深度威胁发现平台（Deep Discovery）核心构成包括：深度威胁网络发现设备TDA（NDR的前身）、深度威胁邮件安全网关DDEI（邮件沙箱）、深度威胁终端取证及行为分析系统DDES（EDR的前身）、深度威胁分析设备DDAN（沙箱），该产品平台能与趋势科技网络网关、服务器与终端、云和虚拟化安全产品以及第三方安全产品整合，构建完整的高级威胁治理产品体系。

图10：趋势科技深度威胁发现平台Deep Discovery

3.3.4 专属治理服务

防范高级威胁的全面解决方案不仅包括产品和技术，还包括人和流程。无论是项目实施、日常运维还是事件响应，具备一个支持体系显得至关重要。很多企业存在着缺少培训、地域分散、缺乏熟练的专业人员、没有取证分析工具等问题，所以，常常需要通过外部资源来为解决方案的实施、运行和事件响应提供支持。趋势科技提供的高级威胁专属治理服务包括派遣专业人员帮助企业进行产品实施、分析、监控和事件响应。常规的攻击事件响应周期包括侦测、告警、分析、寻找方案和采取措施五个阶段。当检测到攻击事件之后，会向用户的安全管理人员发出告警，管理员需要查证分析并评估攻击事件的影响和范围，然后将威胁样本提交给安全厂商，接到安全厂商提供解决方案之后再实施相关处理措施。大多数用户在告警分析和寻找方案时会遇到资源及技能操作时会遇到资源及技能方面的问题，向安全厂商请求服务支持可以成为用户的选择之一，为此，趋势科技提供了两大服务支撑，携手用户共同应对不断演化的高级威胁攻击，这部分构成了早期的MDR服务：

1）病毒实验室对本地和全球的威胁进行7×24的研究和分析

趋势科技拥有许多专家团队，从专门分析和研究最新威胁的专家，到为产品实施和事件响应提供支持的专家。其中，TrendLabs（趋势科技全球防毒研发暨技术支持中心）是一个 全球团队，负责分析最新威胁、创建反病毒特征码，并将其分发给全球的趋势科技产品。

2）7×24威胁响应服务

提供7×24不间断的威胁监控与响应支持, 通过主动式安全告警、威胁管理报表、威胁事件分析报表、主动上门巡检等服务，帮助企业客户及时处理威胁事件、减少业务损失，并提高威胁侦测设备的利用率。其中，7×24小时专家响应，通过专属服务通道，提供7×24不间断的专家在线咨询，帮助客户快速有效的解决各安全节点侦测到的威胁和产品方面的疑难杂症。

专属治理服务将产品与服务有效结合，通过分析相关产品的原始日志，协助用户查证并分析威胁的本质及其因，并帮助客户完成攻击受损评估，并提供威胁处理建议和措施，通过制定并实施安全加固策略，确保用户免遭同类型威胁的攻击。

以上是战略2.0的主要内容，详细内容可参考趋势科技2015年发布的《演化的APT治理战略2.0白皮书》：

图11：趋势科技2015《演化的APT治理战略2.0白皮书》下载地址

接下来将为大家继续阐述2018年“演化的高级威胁治理战略3.0 - XDR”的完整过程。

（未完待续）

原文始发于微信公众号（白日放歌须纵9）：连载：演化的高级威胁治理（二）