一年一度的RSA2017即將于美國時間2017年2月13日-17日開幕。在2016年RSA大會上，主席阿米特·約倫(Amit Yoran)就在其 “沉睡者醒來”的主題演講中指出“安全防御是個失敗的戰略，未來業界應該增加在安全檢測技術上的投資。作為提升安全檢測能力重要手段的威脅情報，其重要性自然更加凸顯“。

在過去的2016年，國內對威脅情報，態勢感知的討論也越來越火。2016年11月全國人大常委會通過的網絡安全法明確的更側重于企業安全，而與之呼應的是年內接連發生的企業信息泄漏事件所引起的反響表明，公眾已經對信息安全事件極其敏感。

其實檢測與響應這個理論價值對我們一點也不陌生， 我們一直提倡企業要有基礎的安全防御能力和措施，如基本的防火墻等安全設備。這是企業信息安全的第一個要素，它實際上提升了被攻擊的門檻，不會輕易被攻擊。其次就是企業要有威脅檢測與響應的能力。如果被攻擊企業應該是第一個知道的。這樣才能及時有效的響應。但事實也證明了阿米特的觀點，大家都很重視如何防御，如何筑墻。但時間與事實證明僅僅依賴防御的戰略是失敗的，防火墻產品也向NGFW升級。大家開始認識到了安全檢測技術的重要性，其中的代表就是以威脅情報驅動的威脅檢測與響應機制。而國內其實更多的還是在論證階段，還需要有很多問題需要明確。如：檢測與響應在企業信息安全中的價值、如何量化、如何落地等。

檢測與響應到底能帶來什么價值?實施又有什么痛點呢?

我們到底有沒有被黑?攻擊者完成一次對企業的攻擊也是要經歷一套完整的流程，參見著名的網絡攻擊殺傷鏈。

洛克希德馬丁公司的Cyber kill chain模型

一次高級的可持續攻擊大致可以分為7個步驟。這也證明了每一次有效的攻擊過程中是有多個行為征兆與檢測指標的，就是取決于什么時間被發現，被誰發現。以及是否能采取有效的安全措施。從圖中第三步開始，就是檢測與響應的發力點。從中可以發現正在發生，和即將發生的威脅。

那么問題也來了，今天國內的大部分企業中，威脅檢測是基于各種安全傳感器的，其作用是試圖尋找異常行為或已知的惡意簽名活動。這些傳感器包括防火墻、入侵檢測系統(IDS / IPS)，應用程序網關防病毒/反惡意軟件，終端防護等等。這些安全傳感器可以提供威脅相關的連續事件流。在企業中，這些連續的事件流和報警會對安全團隊產生大量噪音。安全人員在處理時不能確定真正重要的威脅。而這里就是威脅情報的發力點，威脅情報的主要目標是提供正確的信息,在正確的時間,用適當的上下文,可以顯著減少所花費的時間，從大量噪聲中發現正在發生和即將發生的重大網絡安全威脅。

檢測與響應的指標和績效如何量化?現狀是什么?

作為企業的安全人員，特別是保障生產服務安全與IT安全的團隊如何量化自己的團隊績效，以及投入產出也是困擾國內信息安全行業多年的一個問題。其實兩個關鍵指標可以用來衡量一個企業安全能力的有效性。一個是平均威脅檢測時間(MTTD)和平均響應時間(MTTR)。MTTD指是一個組織發現和識別那些可能會產生實際風險的威脅所需要的平均時間。MTTR是指企業充分分析并采取有效手段減輕威脅風險所需要的平均時間。

MTTD/MTTR實效與安全威脅程度的關聯關系 by LogRhythm

不幸的是，目前大部分企業的運營模式，MTTD和MTTR將以數周或數月來計算。安全公司Trustwave在2014通過對全球691個數據泄漏的事件調查發現，企業安全事件平均檢測時(MTTD)為87天，近3個月。在專業的應急響應團隊支持下，MTTR也需要1周時間。而根據2015年Mandiant公司發布的報告，企業從被攻陷到發現的平均時間是146天。而我們國內企業的實際現狀呢?以2015年的XcodeGhost事件為例，從2月26日攻擊者的遠程控制域名開始接收信息，到9月18日被發現，其持續時間之長是超過了國際平均水平的。

如何落地?有什么建議與方法?

安全情報能夠通過捕獲、關聯、可視化和分析數據，從而提供可以指導行動的信息。幫助企業安全團隊降低和控制高級威脅風險,并建立一個更加積極主動防御機制。使用威脅情報與現有的傳感器結合，會縮短他們的平均檢測時間和平均響應時間。擴展當前的安全工具的價值，并通過攻陷指標的機器分析發現前所未有的威脅。

理想的做法是，企業評估與分析安全檢測與響應所能帶來的價值，建立以檢測與響應為指導的信息安全績效評估機制這就為情報驅動的安全體系建立了堅實的制度基礎。在部署與實施的過程中還需要解決相關傳感器對關鍵信息的記錄與識別能力，這就是知己與知彼磨合的過程。這也是大家熱議的安全威脅情報如何落地的一種方式。

RSA Conference 2017即將開幕,本次以“Power of OPPORTUNITY”寓意我們正處于一個安全盛世但也是一個安全亂世的時代，自古梟雄出亂世，擁抱瞬息多變的挑戰，把握機會，方能成為一代安全梟雄。而安全產業的團結與血統，正式孕育新機遇的土壤。期待本次盛會，或許又能帶來更多的啟發與新的思路。期待更多的安全創新!