防賊最好的方式不是等賊進(jìn)門后，再鎖柜子，而是不應(yīng)讓賊進(jìn)門。

黑產(chǎn)要實(shí)施勒索、挖礦、竊取數(shù)據(jù)、破壞關(guān)鍵基礎(chǔ)設(shè)施等攻擊行動(dòng)，攻陷企業(yè)內(nèi)網(wǎng)是首要目標(biāo)，因此亞信安全認(rèn)為，作為防守方，及時(shí)發(fā)現(xiàn)失陷資產(chǎn)并對其進(jìn)行治理，是杜絕現(xiàn)代黑產(chǎn)攻擊最為有效的方法之一。

制定最有效、最務(wù)實(shí)的安全運(yùn)營目標(biāo)

面對APT攻擊，等到黑產(chǎn)團(tuán)伙攻陷了企業(yè)內(nèi)網(wǎng)，開始投放勒索、挖礦、竊取數(shù)據(jù)、破壞系統(tǒng)這樣的實(shí)際動(dòng)作再進(jìn)行應(yīng)急響應(yīng)可以嗎？當(dāng)然不可以。這樣攻擊者達(dá)成攻擊目的的成功率非常高，對于一個(gè)分工明確的勒索團(tuán)體而言，可以在一個(gè)已攻陷的內(nèi)網(wǎng)中為所欲為，而防守方卻要四處封堵，甚至要把正常業(yè)務(wù)停擺來進(jìn)行應(yīng)急，非常被動(dòng)。

對此，亞信安全認(rèn)為，現(xiàn)階段企業(yè)日常安全運(yùn)營投入產(chǎn)出比最高的，最有效的方法就是發(fā)現(xiàn)失陷資產(chǎn)并及時(shí)治理。首先，黑產(chǎn)要實(shí)施勒索、挖礦、竊取數(shù)據(jù)、破壞關(guān)鍵基礎(chǔ)設(shè)施等攻擊行動(dòng)，攻陷企業(yè)內(nèi)網(wǎng)是首要目標(biāo)，作為防守方，及時(shí)發(fā)現(xiàn)失陷資產(chǎn)并對其進(jìn)行治理，是最有效的杜絕黑客進(jìn)一步實(shí)施攻擊的方法。比較形象的比喻就是：想要避免失竊，首先不能讓對方進(jìn)門。其次，從海量告警中找出真正的攻擊者并對其實(shí)施封堵，代價(jià)很大且有效性很差，而失陷發(fā)現(xiàn)與治理是最有效成本最低的防御方法。

AI算法是最高效的失陷檢測手段

防守方需要關(guān)注APT攻擊的全過程嗎？理論上需要，但實(shí)際成本很高，安全運(yùn)營人員需要從海量告警中梳理出事件線索，對每一條告警進(jìn)行研判，然后從有效線索還原出攻擊過程，形成安全事件。這需要安全運(yùn)營人員具有威脅知識(shí)的積累，每個(gè)安全運(yùn)營人員每天可處理的安全事件是非常有限的。那么，如何解決海量的告警線索和有限的安全運(yùn)營資源之間的矛盾呢？

用AI輔助人工研判

對此，亞信安全提出用AI輔助人工研判的方法論把專家經(jīng)驗(yàn)和知識(shí)進(jìn)行AI建模，并通過XDR解決方案中的信桅高級威脅監(jiān)測系統(tǒng)(TDA)與信桅沙箱（DDAN），協(xié)助用戶大幅提高失陷檢測的效率。

失陷檢測實(shí)現(xiàn)方法是對資產(chǎn)性質(zhì)、資產(chǎn)被攻擊事件、惡意外聯(lián)、橫向移動(dòng)、攻擊投放等數(shù)十個(gè)行為數(shù)據(jù)進(jìn)行綜合加權(quán)計(jì)算，為每個(gè)資產(chǎn)計(jì)算出失陷風(fēng)險(xiǎn)指數(shù)，當(dāng)風(fēng)險(xiǎn)指數(shù)高于閾值時(shí)可判定為失陷。如下圖所示：

在威脅治理中，亞信安全的信桅高級威脅監(jiān)測系統(tǒng)(TDA) 可利用全球威脅大數(shù)據(jù)分析與自動(dòng)學(xué)習(xí)的 AI 檢測技術(shù)，檢測到IT資產(chǎn)和網(wǎng)絡(luò)中的所有異?；顒?dòng)，并且通過集成的“夢蝶+怒獅+魔龍”三大引擎，實(shí)現(xiàn)復(fù)雜攻擊、內(nèi)部威脅和預(yù)先感染的判定。其次，通過 AI 分析的可視性提供可操作的見解，將調(diào)查結(jié)果轉(zhuǎn)化為幾分鐘內(nèi)行動(dòng)的安全敘述,實(shí)時(shí)提供事件調(diào)查依據(jù)，快速啟動(dòng)補(bǔ)救措施。

多重惡意文件檢測技術(shù)讓勒索病毒無處遁形

「方舟」出海，AI護(hù)航

目前，勒索病毒已經(jīng)正式進(jìn)入到2.0時(shí)代——勒索團(tuán)伙APT化。由于勒索攻擊深度結(jié)合APT攻擊技術(shù)手段，利用“初始入侵、持續(xù)駐留、內(nèi)網(wǎng)滲透、命令控制、信息外泄、執(zhí)行勒索”這6個(gè)階段的持續(xù)攻擊，致使單一防御安全體系很難應(yīng)對其“殺傷鏈”發(fā)揮作用。

世界上沒有一個(gè)絕對安全的系統(tǒng)，快速消除威脅的方法就是對抗。而在對抗中，武器決定殺傷力和防護(hù)力。因此，AI技術(shù)帶來的增益可以歸納為兩點(diǎn)，第一是針對已知的攻擊手法，AI技術(shù)能夠提升識(shí)別的精度；第二個(gè)是AI技術(shù)能夠檢測出來一些未知的攻擊手法，將勒索治理知識(shí)經(jīng)驗(yàn)同聚類、異常檢測等數(shù)據(jù)挖掘技術(shù)集成，成功化被動(dòng)安全為主動(dòng)安全。

AI技術(shù)與威脅治理，尤其是現(xiàn)代勒索治理理念的融合，為亞信安全的「方舟」計(jì)劃再添新一代高精“武器”。而在整個(gè)「方舟」中，“勒索體檢中心”則是前沿陣地，亞信安全的專業(yè)服務(wù)人員將提供一套定制化的體檢方案，利用AI技術(shù)提前發(fā)現(xiàn)失陷資產(chǎn)，將勒索軟件治理工作“前移”。