针对新兴威胁的应对,方兴做了以下小结:
◆多维度全检测体系:针对攻击者的每个手段建立检测点,形成网状检测体系,即使攻击者能逃脱一两个检测点,但不一定能够逃脱全部检测点。
◆入侵全生命周期覆盖:APT攻击是由多个环节多个攻击手段组合而成。针对每个环节每个手段形成纵深检测体系,可以最大限度发现APT攻击,提高攻击者门槛 。
◆多维度全生命周期体系:APT攻击每个检测手段都因为原理性能易用性误报率等因素都存在对抗技术。针对每个APT攻击手段手段用多种检测方法形成多维度检测体系,可以最大限度检测APT攻击手段,并且纵深覆盖,形成多维度网状检测体系。
◆纵深、多维度、端、云协同感知与大数据挖掘的威胁感知:通过智能事件关联进行攻击确认,发现可疑事件,经过数据深度内容可疑分析和云端数据分析形成检测体系。
云端数据分析:攻击共享、攻击着归i组特征、攻击者资源特征。
智能事件关联分析:攻击确认、事件关联可疑发现、因果溯源。
◆协同运维:APT攻击是人和人的斗智斗勇,必须有专业的团队分析响应才能应对APT。
最后,方兴表示:“APT是人和人在数字空间的智力对抗,所以一定是没有终极的办法的,因为人是活的,手段是无穷的,检测与防御还需要考虑成本、性能、用户体验、用户感知等一系列问题。所以APT检测产品,需要的是在以上限制条件下最大程度提高攻击者成本和门槛,降低损失,形成一个新的攻守平衡线。” |