发现失陷主机，感知未知威胁

万里长城是中华文明的象征，历史上为抵御入侵发挥了巨大作用，但不可否认的是，长城再坚固，也没有挡住真正的入侵。这一点跟网络安全很象，大多数用户对网络安全的理解，还停留在静态的边界防御阶段。近年来频繁发生的安全事件，也证明单纯的防御策略是远远不够的。

安全是非常碎片化而且复杂的事情，做好安全很不容易，因为攻守双方的博弈是严重不对称的。

首先，威胁的发现与处理速度，远远落后于攻击者。漏洞特征更新到特征库时，攻击早已完成，攻击者早已满载而归。所以防守者做的更多 是亡羊补牢的工作。

其次，主流的防护设备工作原理是基于特征库匹配，只能应对已知的威胁，对于未知威胁既然不能识别，当然无法防御。

再次，也是危害巨大但经常被人们忽视的一点，通常人们对发现未知威胁的技术更感兴趣，而忽视了对已知威胁的管理，造成特征库更新不及时、配置管理不当，系统受到已知威胁的攻击。网康慧眼云为客户检测失陷主机时，发现由于N day管理不当导致的失陷问题，非常普遍。

第一，固有的网络边界消失了。

第二，高级威胁特别是0day漏洞，给安全带来越来越大的隐患。网络安全黑色产业链已经非常成熟，0day漏洞的挖掘与交易已经完全公开化。这是一张名片，写的是：人生苦短，不如卖个漏洞  2015年韩国POC黑客大会上，Zerodium公司四处分发的名片，公开收购0day漏洞。

第三，传统的安全防护的方法论模型存在很大的问题。传统安全模型中，我们会评估业务系统的级别和存在的风险，做出相应的防护策略，然后不断检测威胁，实施防御。这个模型的一个关键前提是，威胁是可以充分评估的，但这显然不符合事实。事实是，业务系统永远存在未知的风险和威胁。

聊完对安全的理解，那么如何找到失陷的主机，发现未知威胁呢？

一台干净的设备从受到攻击到最终失陷，需要7个步骤，如上图所示，这个链条叫 Kill Chain，翻译过来叫攻击链，或者攻杀链。链条的每个环节都会发生一些异常的行为，如果能够捕捉到这些异常，就能够有效识别主机是否已被攻陷，或者正在被攻陷。 

接下来谈一谈威胁情报。使用威胁情报发现失陷主机的机理是，如果一台主机的通信对象（比如通信对方的IP，或者访问了一个恶意的URL）在威胁情报库中有对应的记录，则认为这台主机失陷的可能性极大。

有了威胁情报，怎样利用呢？这张图显示的是一个部委客户内网失陷主机与外界通信的情况，这些主机的行为在传统的安全设备看来都是正常的，但用威胁情报进行对撞检测，还是看到不少问题。

利用基于异常行为的深度识别能力和威胁情报技术，通过威胁活动的几个阶段（遭受入侵、受到控制、发起内部攻击、发起恶意行为），分析出当前主机的确定性指数和威胁性指数，并勾画出指定时间内该主机失陷情况的走势图，从而判断出失陷主机的活跃程度和风险级别。

还可以查看整个主机失陷的过程，包括攻击的时间、次数、攻击类型等，帮助客户找到失陷的源头。

到此我们重点介绍了如何找到失陷主机，简单小结一下其中的关键技术：

- 通过异常行为分析和利用威胁情报，而不是特征匹配，找到疑似失陷主机；

- 充分利用来自终端、网络、威胁情报，进行关联分析，确认失陷主机；

- 通过对失陷过程还原追溯，了解攻击过程，以便优化防护策略；

- 最后，为了完成闭环管理，应该把威胁感知与安全防护进行联动，以便失陷精准阻断。

网康做为新一代安全厂商，对于整个安全的防护理念是：安全不是静态的、单点孤立的防护措施，而必须是动态的、联动的防护体系。云管端联动是网康提倡的更有效的安全框架，在这个框架下，关键是要做到智能协同、主动防御，端和管好比人的手和脚，负责收集数据和执行命令，云好比大脑，负责分析数据和发出命令。只有云管端互相配合，才能真正有效识别已知和未知威胁，有效阻断已知和未知威胁。