大家下午好！这是2月份RSA大会上面一张图，左边是他们总结的安全厂商关注安全细节东西，比如帐号访问，包括具体安全细节。右边是真正企业一些管理者或者是企业的领导们，他们考虑的一些点。到底情况多糟，谁进来谁干了这些事情。其实这两个之间到现在为止确实是有一个很大的称之为鸿沟也好，悲伤的距离也好，确实有差异。安全更多考虑安全本身，而企业领导更多考虑是这一个安全事件对我企业会带来哪些负面影响不仅仅是安全。这是对企业CEO而言考虑商业风险，企业内部业务系统也好，其他方方面面也好，真正给企业带来价值是它的生产，业务系统而不是安全。安全部分其实是降低它或者是避免让企业避免产生一些损失。而不是直接给他带来价值。这一个是他们更多这样一些考虑的。所以说有安全问题的时候，更多的是有没有考虑相应一些风险。这是这几年比较多的像美国大选，去年大选出的事件，希拉里邮件门，这个事件我们可以结合最近刚才说到的，像WannaCry勒索蠕虫事件，大家可以想想这一个漏洞，这个工具大家知道是美国国安局开发的一些漏洞利用工具泄漏出来被大家利用。但如果说这一个漏洞利用工具不是被用来做勒索软件，仅仅用于其他目的的话，做一些其他事情的话，大家现在能不能防得住。其实我们可以从原来的实际情况去分析，如果说用于其他目的的话，做一些针对性的攻击，很多企业是防不住的。因为勒索蠕虫出来以后大家看到所有安全厂商都是紧急更新知识库，才能去更好的防住它，如果没有更新知识库之前可能很难做到这一个防御的。如果他不做勒索用做其他用途的话，大家可以想象一下这个后果是怎样的。

之前结合希拉里的邮件门，我们可以考虑一点，刚才杨博说美国希拉里他们用的邮件系统一样会被入侵，但入侵以后可以快速的找出来谁干的这一件事情，这是他们的能力。对我们很多企业而言事实上也应该这样，有漏洞或存在风险只是存在一种可能性，并不意味着一定会产生损失，只有当真正的入侵事件发生以后把这个抓出来才是更重要的。

可以举一个例子，我们以前讲形容一个治安状况好是路不拾遗夜不闭户，现在网络世界门没有层层枷锁被人发现有漏洞，其实现在的情况是什么？这是你自己的问题。你应该要加上各种各样的防护措施，加到最好为止。对一些小企业或者对所有的企业而言，我不可能为这一个事情，为我家的防护，一层层的防盗门，各种各样无限制的加下去，我有成本的。为了加这些东西，其实仅仅是因为里面资产，所有里面这相当于是产权属于我的，你不应该随便进来，如果进来以后你需要承担相应责任，跟我们现实社会一样，你要入室盗窃或者抢劫，必须要负法律责任。6月1号网络安全法实施，这一块随着国家安全法的出台，其实应该会有相应改善。

这是安全这一块比较大的一些问题。首先像刚才说的，是以APT代表的攻击是防不住的。国家都防不住更别说企业防。入侵检测设备和其他的安全设备会产生告警，一周可能成千上万的告警过来了，但这里面可能有一两次真正的入侵成功，其他绝大部分可能是没有入侵成功，怎么把这些东西找出来，现在缺少这个能力。这时候告警过来对用户，对真正的客户而言可能也没有什么价值，因为真正攻击已经淹没这里面没有办法处理。

另外现在有这么多设备，其实缺少联动，之前的几位专家有提到，其实联动是很重要的一块。最后一块是发现可疑事件，发现线索以后能不能回溯，能不能把真正怎么攻击进来，进来以后做哪些事情，可能拿走我哪些数据，应该怎么应对，现在大部分系统都缺少这样一个能力。因为很多数据包括到现在为止更多是搜集安全事件过来告警，缺少很多基础数据，做危险还原入侵攻击链，做攻击链回溯时没有办法做，这是面临的问题。

这是一个典型的，各种安全设备已经有了，杀毒软件，防火墙，IDS，WAF，审计一系列的安全软件都有了，可以单独应对不同类别一些安全问题。但是我们看可能他们的形态各异，很多东西差别很大。但事实上我们如果仔细分析的话，其实他们的基本原理可能比较一致。我先要搜集样本，分析样本，提取特征，再更新我的知识库。更新特征库以后我的安全产品可以检测。这样所有一切的前提是安全厂商要搜集到这个样本，如果这个样本不是流行性的样本，不是像这一次勒索蠕虫一样大规模爆发出来的样本，而是只针对特定目标投递样本安全厂商能够搜集到吗？我觉得这一个我们可以思考一下。因此有这一个问题以后，我们觉得肯定防御首先是永远落后于攻击，这是现实的。

这是可以结合刚才那一个WannaCry提下，现在攻击者不管做黑产还是做传统的黑客，他做这些攻击，做这些勒索蠕虫最根本的出发点是经济利益，不是像以前只炫耀技术，我做这些东西并不会有太多的一些其他的目的。既然攻击的目标变化以后，其实会有一个很重要的点发生变化。既然要攻进来，他肯定要进来拿你东西或者做相应的破坏，勒索蠕虫可以认为它做一定破坏，只有通过我才能恢复。其他的像告警信息是他很重要的目的。既然是他的目的是要获利，碰高价值信息，我们可以围绕高价值信息做相应监测，找出来是否存在异常。

世界在变，其实攻击方式在变，攻击者的目标在变。我们作为安全厂商，作为防御方来说，我们也要做相应改变。我们应该怎么来做呢？其实像刚才提到的，我们现在要做的一点就是不是像原来一样，发现一些攻击企图，其实有很多方式可以发现攻击企图，现在我们针对攻击企图发现真正入侵事件，确认已经把入侵进来的事件找出来。可以结合比较简单的例子，我们通常说像脱库（音）场景通过外部服务器进来，作为跳板先拿下外部服务器，到数据库拿重要的东西，单纯一点有没有利用外部的漏洞进行攻击，单纯这一点来说要识别出来，其实即便可以发现一些攻击企图但误报率非常高。把攻击外部服务器这一阶段事件跟后面看到数据库，看两个阶段数据访问是否有异常，两个阶段结合起来形成一个证据链可以确认是否真的攻击进来。

刚才说到漏洞，说到缺陷，管理上的一些问题，其实更多的是一些风险。现在要转变到我要关注真正入侵进来的事件，那才是对你真正产生危害的。这是可以探讨的，我们的一些观点，首先除了已知的那些威胁，我们需要去检测识别出来以外，我们还需要有能力识别未知，像勒索蠕虫之外知识库没有更新之前要检测，要达到这一个效果肯定要有一些新的技术，比如系统级沙箱和应用级沙箱的结合；沙箱和杀毒软件等现有安全手段进行结合。

第二点我们需要把各个不同阶段安全事件或可疑事件关联起来。业界APT典型划分是七个阶段，我们从效果来说划分四个阶段，首先认为是攻击尝试，这是最初级，各种各样冲击，打补丁以后不管再怎么攻击也攻不进来，这是攻击企图，可能成功也可能失败，更多情况下应该是失败。第二个阶段是入侵成功，它其实是控制比如一台服务器或者一台终端，只到这一个阶段。第三个阶段是进入那一台机器以后，找一些重要目标，有价值的资源，我们称之为横向渗透。最后拿数据出去我们称之为像数据窃取或者做破坏阶段。这几个阶段不同的可疑事件串起来，就可以形成一个相对比较完整的证据链，有这一个证据链以后更容易确认这个事件是不是已经发生或者是发生的可能性是不是很大。

其实除了软件异常以外，我们还会有员工一些异常行为。比如员工离职，拷一点什么东西走，这其实也是很重要一个部分。事实上我们需要跳出安全技术本身，不应该只仅限安全技术本身角度考虑，跳出来。要围绕你的业务来去识别业务系统是不是有异常。你发现业务系统有异常时再回过去分析，这时候分析可能是攻击者通过软件进来，也有可能是自己员工或者说异常，用户异常，比如在线一些现在是电商也好，分析用户异常。

这是基于业务来做，我们相当于从基于恶意特征库方式来转换到基于业务分析，什么样业务行为是正常的。网站正常会访问哪些模块，访问习惯是怎样的，包括不同的用户肯定不一样的。不同的业务系统这些模型肯定也不一样，如果基于这些业务系统自己学习，机器自己学，学完以后建立相应模型业务基线，基于这个形成可以找出有异常部分。这一个时候其实你是可以不是特别关注，它是利用漏洞进来的还是其他工具方式进来，比如是钓鱼方式进来还是其他方式进来不太关注，最终要产生危害或者达到他目的时肯定会引起业务系统一些异常特征会出现的。这一种方式相当于其实是万变不离其宗，最终要达到你目的情况下把那一部分的行为监测到进行相应分析。

具体构建这个业务模型有不同层次，可以从结合一些系统日志或者业务的流量信息，流量很简单来说比如访问的频率，访问的一些范围之类的，基于那些可以建模。最上层可以结合应用系统的一些日志建立相应模型。建模型也是两部分，一部分是我们称为正向模型，基于业务系统的正常行为模型这时候我们称之为正向。还有反向模型指你是对一些攻击方式或攻击的一些积累，一般比如通过钓鱼进来是一个怎么样的流程，通过利用漏洞进来是一个怎样的流动，脱库场景是怎么样的流程，这些不同场景，攻击场景不同的阶段模型建立起来。这样可以建立反向模型，只要匹配反向模型我认为就是入侵成功，这是需要我重点关注的。

这是业务系统异常行为分析。不同来源日志都可以过来。网络流量里面不仅仅是日志，我们需要提取各种的，比如网络层三层四层网络数据，还有包括七层的HTB协议，请求，响应等这些信息要提取出来。更深层要结合特定业务系统的再把数据提取出来。有了这些数据上来以后做一个统一的存储，然后中间做一些数据分析，可能比较流行的基于（英文）平台做监测，还有做离线模型监测，几方面合起来以后依据不同业务系统，特定业务系统是有自己的特定一些模型。基于那些再构建，这样建完以后就可以有效识别相应一些异常数据。

识别完当他发现一些入侵事件以后，接下来就需要安全分析人员，基于平台再进一步的做了。这一个正常分析两个维度，一个业务维度，发现业务系统有异常就把这一个业务相关东西调出来。这一个业务某一台服务器执行，看那管台服务器相关一些属性。比如流量应用异常，比如不同业务点，业务请求跟平时有没有不一样的。这是一个维度，基于这个维度当然会需要左边那一些信息，像流量还有文件还有日志的。因为如果说你发现可疑以后，发现某一个业务有异常以后，接下来可以把这个业务所有的数据沉下来，极限情况下就分析人员拿数据包分析，还可以结合其他系统日志分析。

另外可以基于维度进行相应数据分析。比如恶意软件怎么进来，可能现在恶意软件会拆分成几部分。其实想用杀毒软件或者沙箱监测不现实，因为每个模块只干一部分的行为，让沙箱跑也很可能跑不出来。结合这两个分析最终可以把这个威胁完整海原出来，他怎么进来的，进来第一步到哪一台服务器或者主机。之后横向渗透哪些服务器，访问哪些资源，哪些数据出去了，明确攻击链以后就可以去做出一个合理的应对，去预判这一些到底给我造成哪些损失，我应该怎么样应对，包括这一个应对比如我可以设置一些策略阻断，也可以对公众怎么样应对这一种风险。我的分享就到这里，谢谢大家！