拋開熱點(diǎn)和時(shí)髦詞，我們到底需要什么樣的安全？

“安全”破圈

安全早已不該是IT圈專屬詞匯。涉及數(shù)據(jù)安全的事故往往細(xì)思極恐，即便沒有親身經(jīng)歷，也不難想象：有的關(guān)乎財(cái)產(chǎn)比如金融數(shù)據(jù)，有的關(guān)乎隱私比如醫(yī)療數(shù)據(jù)，有的甚至關(guān)乎生命比如自動(dòng)駕駛相關(guān)的數(shù)據(jù)。

疫情反復(fù)，企業(yè)已習(xí)慣居家工作和返崗復(fù)工的混合模式，數(shù)據(jù)流通頻繁，關(guān)鍵業(yè)務(wù)上云，增加了靈活性和便利；而硬幣的反面，卻給網(wǎng)絡(luò)犯罪分子前所未有的可乘之機(jī)：IT環(huán)境更加復(fù)雜，勒索軟件無孔不入，攻擊從虛擬世界轉(zhuǎn)向?qū)嶓w世界，互聯(lián)網(wǎng)的急速發(fā)展也潛藏了更大的風(fēng)險(xiǎn)。

來自IBM X-Force威脅情報(bào)指數(shù)

2022的幾組統(tǒng)計(jì)數(shù)據(jù)：

21%

勒索軟件的攻擊份額

勒索軟件是X-Force去年觀察到的數(shù)量最多的攻擊類型，但占比從前年的23%下降到去年的21%。

#1

制造業(yè)受到最多的攻擊

制造業(yè)取代金融服務(wù)業(yè)，成為2021年受攻擊最多的行業(yè)，占X-Force去年修復(fù)的攻擊數(shù)量的23.2%。勒索軟件是最主要的攻擊類型，占到制造企業(yè)受到的攻擊總數(shù)的23%。

26%

全球攻擊中針對(duì)亞洲的比例

在所有攻擊中，有26%以亞洲為目標(biāo)。亞洲是2021年受攻擊最多的地理區(qū)域。

在網(wǎng)絡(luò)安全的世界里，攻守雙方的博弈向來不平衡：

-敵暗我明：惡意組織有預(yù)謀有針對(duì)性地策劃高級(jí)威脅，對(duì)于絕大多數(shù)組織來說，面對(duì)如此之強(qiáng)大攻勢(shì)，往往會(huì)素手就擒。

-人手不足：組織會(huì)組建自己的安全團(tuán)隊(duì)進(jìn)行威脅的檢測和響應(yīng)，但專業(yè)安全人員短缺是不爭的事實(shí)。

-裝備不精：傳統(tǒng)的威脅檢測和響應(yīng)的流程和技術(shù)，也無法有效應(yīng)對(duì)零日攻擊和高級(jí)威脅。面對(duì)大量模棱兩可的報(bào)警信息，需要大量的時(shí)間去進(jìn)行人工甄別，響應(yīng)流程也不夠敏捷。

我們到底需要什么樣的安全技術(shù)？信息安全圈兒從來不缺熱點(diǎn)，也不缺時(shí)髦詞，圈中的玩家不遺余力地把自家的作品往熱點(diǎn)上靠，時(shí)間長了，觀眾也不免會(huì)產(chǎn)生審美疲勞的情緒。拋開這些眼花繚亂的時(shí)髦詞，我們想認(rèn)真地給大家一個(gè)交代。

其實(shí)古人智慧已然洞明樸素的道理：在攻擊者達(dá)到目的之前發(fā)現(xiàn)和根除他們，防之于未萌，治之于未亂。這正是最近大行其道的XDR（Extended Detection and Response)所擅長的，通過使用檢測和響應(yīng)技術(shù)，變被動(dòng)為主動(dòng)。最近與一個(gè)合作伙伴的技術(shù)總監(jiān)交流，他說：“現(xiàn)在大家都在談XDR，我最近在研究一個(gè)開源的EDR，挺好玩兒的?！甭牭竭@兒，我頓時(shí)覺得大家對(duì)這個(gè)話題有必要好好嘮嘮。

XDR是EDR演進(jìn)的產(chǎn)物，既然是這樣，我們就得先把EDR說清楚。EDR是Endpoint Detection and Response的縮寫，Endpoint是用戶連接企業(yè)數(shù)字化資產(chǎn)的橋梁，往往會(huì)成為被攻擊的首要目標(biāo)，敵人攻陷了Endpoint，有了落腳點(diǎn)，便可以逐步滲透到高價(jià)值資產(chǎn)所在的地方了。打個(gè)比方，我們每個(gè)人的電腦、手機(jī)都安裝了殺毒軟件。每當(dāng)遇到病毒時(shí)，殺毒軟件會(huì)第一時(shí)間發(fā)現(xiàn)并采取行動(dòng)。問題是，有了殺毒軟件，為什么還需要EDR？殺毒軟件工作的原理是基于特征庫對(duì)病毒進(jìn)行查殺，如果這個(gè)病毒，從信息安全的角度通稱為Malware，它是未知的，還不被了解，或者還沒有第一時(shí)間將特征庫進(jìn)行更新，Malware便會(huì)在殺毒軟件的眼皮子底下肆無忌憚地做壞事。EDR工作原理則是基于行為進(jìn)行分析，縱使Malware如何喬裝打扮，但萬變不離其宗，要想達(dá)到做壞事的目的，其行為還是有跡可循的，比如：勒索軟件的家族和變種不勝枚舉，但其行為無外乎關(guān)閉殺毒軟件的進(jìn)程，修改注冊(cè)表，大量操作文件等。所以說，EDR適合于應(yīng)對(duì)未知威脅，也是當(dāng)今信息安全面臨的最大挑戰(zhàn)之一。

魔高一尺，道高一丈

既然是未知威脅，它一定還是會(huì)有一層神秘的面紗，不那么容易對(duì)付。說到這兒，很多客戶就會(huì)緊鎖眉頭，嘆氣說到：“我沒有人啊?！币酝蛻糍I了很多安全設(shè)備和系統(tǒng)，每天都會(huì)生產(chǎn)出大量報(bào)警，先開始客戶的安全人員還認(rèn)真地看，到后來就不看了，原因是模棱兩可的報(bào)警太多，沒這個(gè)時(shí)間、精力和能力去判斷。

EDR報(bào)出來的東西會(huì)不會(huì)也是晦澀難懂啊？在我看來，在這個(gè)方面，EDR是態(tài)度端正，能力過硬的。EDR產(chǎn)生的報(bào)警，不光告訴你出事了，還會(huì)從頭告訴你這個(gè)事兒是怎么發(fā)生的，證據(jù)是什么，有什么影響，這就是信息安全里一再強(qiáng)調(diào)的上下文(context)。關(guān)鍵這個(gè)事兒不需要靠安全大神拿捏，有基本的安全知識(shí)，懂系統(tǒng)的新人就可以搞定。一張圖勝過千言萬語，附上一張IBM EDR對(duì)行為描述的界面，讓眾位品一品。

這張圖講的是，用戶使用Office Word打開了一個(gè)文檔，隨后Word又調(diào)起了一個(gè)叫tryme.exe的進(jìn)程，這個(gè)tryme.exe沒有簽名信息，來源不明。有點(diǎn)兒奇怪吧？但還不能因?yàn)檫@一點(diǎn)就斷定有問題。接下來，tryme.exe又調(diào)用了iexplore.exe，也就是IE瀏覽器，這個(gè)從專業(yè)的角度來看是有代碼注入行為，當(dāng)然，不知道也沒有關(guān)系，總之就是不太正常。后來呢，又看到了有鍵盤敲擊記錄，下載可執(zhí)行文件，并存到了一個(gè)不常用的目錄。一系列的行為表明當(dāng)前這個(gè)終端中了一個(gè)未知的惡意軟件，并且已經(jīng)有了一些早期的活動(dòng)。

快速理解問題，接下來就是怎么處理了。

高手對(duì)決，唯快不破

面對(duì)未知惡意軟件，尤其是這兩年流行的勒索軟件，速度成了制勝的關(guān)鍵。EDR不光會(huì)告訴你是怎么回事兒，還會(huì)給你建議如何去解決。下圖就是EDR針對(duì)這個(gè)事件給出的響應(yīng)指南，采用向?qū)Х绞剑逦鞔_，鼠標(biāo)輕點(diǎn)完成操作。

EDR用全新的理念、方法和技術(shù)在終端側(cè)對(duì)未知威脅進(jìn)行檢測和響應(yīng)，改變了以往需要專業(yè)人員介入，花費(fèi)較長時(shí)間才能夠處理好的困境。EDR關(guān)注的是終端，其獲得信息和情報(bào)也僅僅來自于終端，面對(duì)越來越復(fù)雜的IT架構(gòu)，需要拓寬視野，更富有智慧，才能夠識(shí)別更復(fù)雜的問題。就像開篇所述，XDR是對(duì)EDR的演進(jìn)，我們找機(jī)會(huì)再和大家聊聊XDR。

我平時(shí)喜歡搞搞收藏，這個(gè)行當(dāng)里真品和贗品的工藝，好比現(xiàn)在的數(shù)字與安全技術(shù)，都是敵強(qiáng)我更強(qiáng)、“相生相殺”的關(guān)系。但只要我們能更清楚地了解目前的威脅形勢(shì)，建立信心，采用對(duì)的技術(shù)，就能攜手對(duì)抗這些威脅。