2019（第二屆）中國金融科技產業峰會于10月31日——11月1日在北京國際會議中心隆重召開。在11月1日下午召開的“金融業網絡信息安全”分論壇上，亞信科技成都有限公司產品管理部總經理汪晨帶來了《威脅可感知、安全可運維》的主題演講。

我來自亞信安全。今天給大家分享的主題叫《威脅可感知、安全可運維》，這是亞信安全設計的產品理念，更快速更早期幫客戶甄別出來威脅，幫助用戶減少運維投入。

一、網絡安全發展態勢

據目前統計，2019年第二季度，中國的勒索軟件感染量一躍位居榜首，云服務器，占全球總數的20%，勒索病毒在我們周邊愈演愈烈。第二，網絡攻擊的挑戰越來越多。最近5年安全泄露事件增加67%，2018年網絡犯罪攻擊造成的損失有1300億。大家都記得Facebook泄露之后，當天的股價暴跌損失了360億，大家可以想象暴跌股價可以買多少網絡安全公司。第三，平均攻擊識別時間增加至197天，攻擊之后恢復時間平均達到69天。

在護網過程中大量報警，從數據可以看到每天安全運維人員每天面對海量安全告警，超過50%以上的企業用各種獨立的安全技術，巨量的告警難以方向未知的威脅。目前據數據統計，有2900萬安全人員的缺口。護網期間，我們公司和友商公司的辦公室基本都是空的，跑過去幫助用戶護網了。

二、用什么技術做這件事情？

今天講EDR。EDR是從國外引入的名詞，源于2013年業務量在博文上有一個“EDR”詞匯，它為了定義的是什么？定義的是有些工具能夠幫助以后早期發現蛛絲馬跡并且做相應的調查。EDR在誕生之初就是為了及早的感知威脅。比較形象的來說，我經常跟我同事講，EDR其實解決幾個問題，就像我們生病一樣，第一，解決我到底有沒有生病，第二，我病的嚴重不嚴重？第三，我的病該怎么治？EDR是一樣的道理：我的企業有沒有受到攻擊？我的攻擊嚴重不嚴重？我如何恢復受損的攻擊？

如果EDR能夠達到剛才講的幾個目的，首先要做就的是記錄，在主機冊相應的記錄，但是這是技術活，記錄越多，系統越重，所以必須要精準做記錄，這是有一定門檻的。第二，做調查，我們可以形象比喻調查，到醫院以后，醫生第一件事情是讓你做一系列檢查、出相應的報告。調研報告也一樣，今天調研這件事情必須給客戶出具相應的報告：這個威脅是不是威脅、它是怎么進來的，跟醫生拿到的報告一樣，各項指標是什么樣的，醫生才知道你到底有沒有生病、病的嚴重不嚴重、接下來該怎么治。

在治的方面存在兩個環節，一個是遏制，一個是修復，遏制就是你中招了，我需要把你隔離起來，修復意味著你要做大量記錄，為什么？你要知道黑客是怎么攻擊的，它是今天修改了你的注冊表？還是埋了啟動項去做壞事？只有拿到這樣精準信息以后才能幫助客戶做優秀的動作。

三、XDR解決方案

這張表第一映入眼簾的是SOAR，2017年Gartner提出來的，它需要對接廠商很多產品，做自動化。亞信安全怎么做？我們看看它組成的三個維度，我經常打比方，像我們聽交響樂團一樣，有拉小提琴的、彈鋼琴的，重要的是要有樂譜，有預先編排好的預案，還要聽指揮，否則沒辦法讓大家比較容易去欣賞演奏，一樣的道理。

XDR解決方案有專業的調查工具、標準的工作手冊、安全響應專家。

這是目前呈現給客戶的XDR解決方案，我們網絡惻有網關型檢測產品，有郵件安全產品，端點惻有端點側安全產品，云主機側也有產品，云、管、端的產品線比較整齊。同時，通過威脅區別庫識別已知的威脅和未知的威脅，同時在上面有運維托管的服務。無論是EDR的技術還是機器學習的技術，更強調對灰色檢測，但是網絡安全里沒有一個萬能丹，阻止很重要，云管端產品線必須有相應的產品做攔截，因為毫秒級就可以解決問題。

四、目前的實踐

剛才介紹了技術和方案，我們可以看下目前的實踐：

實戰案例1：10分鐘自動攔截最新勒索病毒變種。我們可以看看這個編曲是怎么編的，首先在DDEI郵件側網管如果發現有疑似郵件附件情況下，會按照預先編排送給我們的郵件沙盒，云服務器租用，通過沙盒偵測發現它到底是不是威脅。如果是威脅的話，我們會把威脅情報發給云管端設備，形成攔截。大家看看這個效果，這也是大家都知道的案例，我們在銀行里2019年3月11號6點零9分DDEI發現有一個可疑的病毒釣魚郵件，按照預先編排會送給沙箱，6點17分零5秒完成樣本分析，10分鐘之內幾十萬臺終端都獲得本地威脅情報更新，有效阻止病毒最新變種。大家可以看到這個效率在10分鐘之內，如果靠人工或者靠原來手工提交給病毒中心去驗證，這個周期是超長的。