2019中国金融科技产业峰会丨亚信科技汪晨：威胁可感知、安全可运维？

2019(第二届)中国金融科技产业峰会于10月31日11月1日在北京国际会议中心隆重召开。11月1日下午举办的金融业网络信息安全分论坛上，亚信科技成都有限公司产品管理部总经理王晨带来了威胁感知、安全运输的主题演讲。

我来自亚信安全。今天与大家共享的主题是威胁感知、安全运输，这是亚信安全设计的产品理念，更快更早地识别威胁，帮助用户减少运输投入。

一、网络安全发展态势

据目前统计，2019年第二季度，中国恐吓软件感染量跃居首位，占世界总数的20%，恐吓病毒在我们周围越来越激烈。第二，网络攻击的挑战越来越多。最近5年安全泄露事件增加67%，2018年网络犯罪攻击造成的损失有1300亿。大家记得Facebook泄露后，当日股价暴跌亏损360亿，大家可以想象暴跌股价能买多少网络安全公司。第三，平均攻击识别时间增加到197天，攻击后恢复时间平均达到69天。

在护网过程中大量报警，数据显示，每天的安全运输人员每天面对大量的安全警报，超过50%的企业使用各种独立的安全技术，大量警报难以向未知的威胁。目前，据数据统计，有2900万安全人员的差距。护栏期间，我们公司和朋友公司的办公室几乎空着，跑过去帮助用户护栏。

二、用什么技巧做这件事？

今天谈EDR。EDR是从国外引进的名词，2013年的业务量在博文中有EDR词汇，为了定义什么？定义的是，有些工具有助于今后早期发现线迹，进行相应的调查。EDR在诞生之初就是为了早日的感知威胁。比较形象，我经常和同事说EDR实际上解决了一些问题，就像我们生病一样，第一，解决了我是否生病，开发者_如何学JAVA第二，我的病不严重吗？第三，我的病该怎么治？EDR是同样的道理。我的企业受到攻击了吗？我的攻击严重不严重？我如何恢复受损的攻击？

如果EDR能够达到刚才提到的一些目的，首先要做的是记录，在主机上记录相应的记录，但这是技术性的工作，记录越多，系统越重，必须正确记录，这有一定的门槛。第二，进行调查，我们可以比喻调查，到医院后，医生第一件事就是让你做一系列的检查，做出相应的报告。调查报告书也一样，今天的调查必须向客户发行相应的报告书。这个威胁是否是威胁，是如何进入的，和医生收到的报告书一样，各项指标是什么样的，医生知道你是否生病，疾病是否严重，接下来该怎么办。

治疗方面有两个环节，一个是抑制，一个是修复，抑制是你招募的，我需要隔离你，修复意味着你要做很多记录，为什么？你要知道黑客是怎么攻击的，它是今天修改了你的注册表？还是埋了启动项去做坏事？只有得到这样的正确信息，才能帮助顾客做出优秀的动作。

三、XDR解决方案

这个表第一次映入眼帘的是SOAR，2017年Gartner提出的是对接制造商的很多产品，需要自动化。亚信安全怎么做？让我们看看它构成的三个维度。例如，我经常听交响乐团，有拉小提琴、弹钢琴的人，重要的是有乐谱，有预先编制的预案，听指挥。否则，就不能轻易享受演奏了。

XDR解决方案有专业的排查工具、标准的工作手册、安全响应专业。

这是目前向客户提供的XDR解决方案，我们的网络同情有网关型检查产品，有邮件安全产品，同情有网关侧安全产品，云主机侧也有产品，云、管、网关产品线比较整齐。同时，通过威胁区别库识别已知的威胁和未知的威胁，同时还提供运输管理的服务。EDR的技术和机械学习的技术都强调灰色的检查，但网络安全中没有万能丹，阻止很重要，云管方面的产品线必须有相应的产品来阻止。因为毫秒级就能解决问题。

4、现在的实践

刚才介绍了技术和方案，可以看到现在的实践:

实战案例1:10自动截断最新的恐吓病毒变种。让我们看看这个编辑是怎么编辑的。首先，DDEI邮件方面的网络管理发现有邮件附件的嫌疑的情况下，根据事先编辑发送给我们的邮件沙箱，用沙箱检测是否受到威胁。如果是威胁，我们将威胁信息发送给云管设备，形成拦截。让我们看看这个效果。这也是众所周知的案例，我们在银行2019年3月11日6点9分DDEI发现了可疑的病毒钓鱼邮件，预先配置后送到沙箱，6点17分5秒完成样品分析，10分钟内数十万台终端更新了当地的威胁信息，有效地阻止了病毒的最新变种。大家可以看到这个效率在10分钟之内，如果靠人工或者靠原来手工提交给病毒中心去验证，这个周期是超长的。

实战案例2:重保期间联动封锁攻击IP。重保期证期间有很多IP攻击，如果我们发现网络设备攻击1亿2千万IP，就会对威胁管理中心的UAP进行相应的分析，分析后会自动给管道侧的网络设备进行相应的阻断。让我们看看实际效果如何。某大型银行TDA重新保证期间，每天警告量达到80万人以上，通过UAP平台进行警告的总结和过滤，通过APT接口发送堵塞配置，无需人工干预就进行了相应的处理，大幅度节省了时间。

实战案例3:重保期间成功检测和追踪零日漏洞攻击。你为什么被称为威胁？该案例是在EDR模块发现疑似迹象的情况下没有威胁信息的茶。通过终端可追溯性侧和网络可追溯性侧分析，确定该物是否攻击，如何攻击。这是2019年6月26日某能源客户EDR设备IOA规则警告，检测到异常过程制作事件，如果有异常怎么办？我们通过威胁信息进行相应的关联，最终形成调查报告，就像医生可以得到检查报告和体检报告一样，通过报告发现这是利用零日的脆弱性进行相应的攻击，当时我们的EDR可以追溯到黑客利用零日的脆弱性进行攻击的全过程。并且，我们之后确认了零日的脆弱性软件提供商，确实是没有发现的零日的脆弱性。通过这个案例，我们的解决方案可以帮助用户提前感受到恐吓事件的嫌疑，帮助用户提前阻止恐吓。

时间关系，在此暂时共享，非常感谢