拋開熱點和時髦詞，我們到底需要什么樣的安全？

“安全”破圈

安全早已不該是IT圈專屬詞匯。涉及數(shù)據(jù)安全的事故往往細(xì)思極恐，即便沒有親身經(jīng)歷，也不難想象：有的關(guān)乎財產(chǎn)比如金融數(shù)據(jù)，有的關(guān)乎隱私比如醫(yī)療數(shù)據(jù)，有的甚至關(guān)乎生命比如自動駕駛相關(guān)的數(shù)據(jù)。

疫情反復(fù)，企業(yè)已習(xí)慣居家工作和返崗復(fù)工的混合模式，數(shù)據(jù)流通頻繁，關(guān)鍵業(yè)務(wù)上云，增加了靈活性和便利；而硬幣的反面，卻給網(wǎng)絡(luò)犯罪分子前所未有的可乘之機：IT環(huán)境更加復(fù)雜，勒索軟件無孔不入，攻擊從虛擬世界轉(zhuǎn)向?qū)嶓w世界，互聯(lián)網(wǎng)的急速發(fā)展也潛藏了更大的風(fēng)險。

來自IBM X-Force威脅情報指數(shù)

2022的幾組統(tǒng)計數(shù)據(jù)：

21%

勒索軟件的攻擊份額

勒索軟件是X-Force去年觀察到的數(shù)量最多的攻擊類型，但占比從前年的23%下降到去年的21%。

#1

制造業(yè)受到最多的攻擊

制造業(yè)取代金融服務(wù)業(yè)，成為2021年受攻擊最多的行業(yè)，占X-Force去年修復(fù)的攻擊數(shù)量的23.2%。勒索軟件是最主要的攻擊類型，占到制造企業(yè)受到的攻擊總數(shù)的23%。

26%

全球攻擊中針對亞洲的比例

在所有攻擊中，有26%以亞洲為目標(biāo)。亞洲是2021年受攻擊最多的地理區(qū)域。

在網(wǎng)絡(luò)安全的世界里，攻守雙方的博弈向來不平衡：

-敵暗我明：惡意組織有預(yù)謀有針對性地策劃高級威脅，對于絕大多數(shù)組織來說，面對如此之強大攻勢，往往會素手就擒。

-人手不足：組織會組建自己的安全團隊進行威脅的檢測和響應(yīng)，但專業(yè)安全人員短缺是不爭的事實。

-裝備不精：傳統(tǒng)的威脅檢測和響應(yīng)的流程和技術(shù)，也無法有效應(yīng)對零日攻擊和高級威脅。面對大量模棱兩可的報警信息，需要大量的時間去進行人工甄別，響應(yīng)流程也不夠敏捷。

我們到底需要什么樣的安全技術(shù)？信息安全圈兒從來不缺熱點，也不缺時髦詞，圈中的玩家不遺余力地把自家的作品往熱點上靠，時間長了，觀眾也不免會產(chǎn)生審美疲勞的情緒。拋開這些眼花繚亂的時髦詞，我們想認(rèn)真地給大家一個交代。

其實古人智慧已然洞明樸素的道理：在攻擊者達到目的之前發(fā)現(xiàn)和根除他們，防之于未萌，治之于未亂。這正是最近大行其道的XDR（Extended Detection and Response)所擅長的，通過使用檢測和響應(yīng)技術(shù)，變被動為主動。最近與一個合作伙伴的技術(shù)總監(jiān)交流，他說：“現(xiàn)在大家都在談XDR，我最近在研究一個開源的EDR，挺好玩兒的。”聽到這兒，我頓時覺得大家對這個話題有必要好好嘮嘮。

XDR是EDR演進的產(chǎn)物，既然是這樣，我們就得先把EDR說清楚。EDR是Endpoint Detection and Response的縮寫，Endpoint是用戶連接企業(yè)數(shù)字化資產(chǎn)的橋梁，往往會成為被攻擊的首要目標(biāo)，敵人攻陷了Endpoint，有了落腳點，便可以逐步滲透到高價值資產(chǎn)所在的地方了。打個比方，我們每個人的電腦、手機都安裝了殺毒軟件。每當(dāng)遇到病毒時，殺毒軟件會第一時間發(fā)現(xiàn)并采取行動。問題是，有了殺毒軟件，為什么還需要EDR？殺毒軟件工作的原理是基于特征庫對病毒進行查殺，如果這個病毒，從信息安全的角度通稱為Malware，它是未知的，還不被了解，或者還沒有第一時間將特征庫進行更新，Malware便會在殺毒軟件的眼皮子底下肆無忌憚地做壞事。EDR工作原理則是基于行為進行分析，縱使Malware如何喬裝打扮，但萬變不離其宗，要想達到做壞事的目的，其行為還是有跡可循的，比如：勒索軟件的家族和變種不勝枚舉，但其行為無外乎關(guān)閉殺毒軟件的進程，修改注冊表，大量操作文件等。所以說，EDR適合于應(yīng)對未知威脅，也是當(dāng)今信息安全面臨的最大挑戰(zhàn)之一。

魔高一尺，道高一丈

既然是未知威脅，它一定還是會有一層神秘的面紗，不那么容易對付。說到這兒，很多客戶就會緊鎖眉頭，嘆氣說到：“我沒有人啊。”以往，客戶買了很多安全設(shè)備和系統(tǒng)，每天都會生產(chǎn)出大量報警，先開始客戶的安全人員還認(rèn)真地看，到后來就不看了，原因是模棱兩可的報警太多，沒這個時間、精力和能力去判斷。

EDR報出來的東西會不會也是晦澀難懂??？在我看來，在這個方面，EDR是態(tài)度端正，能力過硬的。EDR產(chǎn)生的報警，不光告訴你出事了，還會從頭告訴你這個事兒是怎么發(fā)生的，證據(jù)是什么，有什么影響，這就是信息安全里一再強調(diào)的上下文(context)。關(guān)鍵這個事兒不需要靠安全大神拿捏，有基本的安全知識，懂系統(tǒng)的新人就可以搞定。一張圖勝過千言萬語，附上一張IBM EDR對行為描述的界面，讓眾位品一品。

這張圖講的是，用戶使用Office Word打開了一個文檔，隨后Word又調(diào)起了一個叫tryme.exe的進程，這個tryme.exe沒有簽名信息，來源不明。有點兒奇怪吧？但還不能因為這一點就斷定有問題。接下來，tryme.exe又調(diào)用了iexplore.exe，也就是IE瀏覽器，這個從專業(yè)的角度來看是有代碼注入行為，當(dāng)然，不知道也沒有關(guān)系，總之就是不太正常。后來呢，又看到了有鍵盤敲擊記錄，下載可執(zhí)行文件，并存到了一個不常用的目錄。一系列的行為表明當(dāng)前這個終端中了一個未知的惡意軟件，并且已經(jīng)有了一些早期的活動。

快速理解問題，接下來就是怎么處理了。

高手對決，唯快不破

面對未知惡意軟件，尤其是這兩年流行的勒索軟件，速度成了制勝的關(guān)鍵。EDR不光會告訴你是怎么回事兒，還會給你建議如何去解決。下圖就是EDR針對這個事件給出的響應(yīng)指南，采用向?qū)Х绞?，清晰明確，鼠標(biāo)輕點完成操作。

EDR用全新的理念、方法和技術(shù)在終端側(cè)對未知威脅進行檢測和響應(yīng)，改變了以往需要專業(yè)人員介入，花費較長時間才能夠處理好的困境。EDR關(guān)注的是終端，其獲得信息和情報也僅僅來自于終端，面對越來越復(fù)雜的IT架構(gòu)，需要拓寬視野，更富有智慧，才能夠識別更復(fù)雜的問題。就像開篇所述，XDR是對EDR的演進，我們找機會再和大家聊聊XDR。

我平時喜歡搞搞收藏，這個行當(dāng)里真品和贗品的工藝，好比現(xiàn)在的數(shù)字與安全技術(shù)，都是敵強我更強、“相生相殺”的關(guān)系。但只要我們能更清楚地了解目前的威脅形勢，建立信心，采用對的技術(shù)，就能攜手對抗這些威脅。