传统网络安全解决方案向来采取以预防为核心的实施战略，其重点在于阻止网络攻击活动。虽然这一点仍然非常重要，但如今的众多高水平恶意攻击者完全拥有动机及能力以绕过边界防御体系，利用种种创造性、隐匿性、有针对性及持续性的攻击手段长时间潜伏在目标系统之内而无法被及时发现。

为了应对以往以预防为中心的安全战略的既有缺陷并确保IT环境能够在日益复杂的安全挑战中得以幸存，各组织机构应积极转移自身资源，并将重点放在以威胁检测与应对措施为中心的新型战略层面。高度重视如何削减平均检测时间（简称MTTD）与平均修复时间（简称MTTR）等指标的安全团队能够借此有效降低遭遇高影响力网络事故或者数据泄露的可能性。

幸运的是，如果大家使用端到端威胁管理流程进行快速检测与响应，则能够显著提升自身对于高影响力网络事故的抗御能力。当黑客对某一环境加以攻击时，其必然遵循从初步入侵到最终数据泄露的整个流程——前提是该威胁执行者始终未被安全体系所察觉。现代网络安全方案需要关注如何降低MTTD与MTTR，即在威胁活动的生命周期之初将其扼杀，最终避免可能引发的后续结果与损失。

网络攻击生命周期阶段详解

在入侵活动当中，攻击者往往采取以下几个典型步骤：

阶段一：侦察

第一阶段在于确定潜在目标满足攻击者实施入侵的条件（例如具备理想的经济收益、有针对性地获取敏感信息或者造成品牌损害）。一旦确定了现有防御机制之后，攻击者将据此选择自己的攻击武器——具体包括利用零日安全漏洞、实施鱼叉式网络钓鱼活动或者收买贿赂内部员工等等。

阶段二：初步入侵

在初步入侵当中，攻击者通常会绕过边界防御机制并通过存在安全漏洞的系统或者用户帐户访问机制渗透至内部网络当中。

阶段三：命令与控制

已遭入侵的设备随后会被作为接入组织内部的跳板。一般来讲，攻击者会利用其下载并安装远程访问木马（简称RAT），以便建立针对目标环境的持久性长期远程访问能力。

阶段四：横向移动

一旦攻击者与内部网络建立起连接，其即会试图危害其它系统及用户帐户。攻击者通常会冒充授权用户，因此安全方案将很难发现系统遭遇入侵的证据。

阶段五：目标达成

在这一阶段当中，攻击者通常已经建立起多个远程访问入口点，并可能已经成功入侵了数百（甚至数千）套内部系统及用户帐户。他们深入了解IT环境中的各方面状况，并能够顺利实现自己的恶意目标。

阶段六：渗透、破坏与中断

如果未能有效扼止恶意活动，企业将在最终阶段中遭受严重的经济损失。在此阶段中，攻击者将逐步实现其任务的终极目标，包括窃取知识产权或其它敏感数据、破坏关键性任务系统并常常会中断您的正常业务运营。

对此类威胁活动的早期检测与响应能力正是保护网络免受大规模恶意影响的关键所在。趁早检测并响应攻击活动，企业需要承担的最终成本也就越低。为了降低MTTD与MTTR，企业需要实现端到端检测与响应流程——即实现威胁生命周期管理（简称TLM）。

威胁生命周期管理

威胁生命周期管理代表的是一系列具有一致性的安全操作能力与过程，首先包括能够在IT环境中广泛并深入进行“观察”的能力，另外企业还需要有能力在安全事故发生后快速进行应对与恢复。

在检测到任何威胁迹象之前，企业必须确保IT环境下的攻击行为证据皆具备可见性。由于威胁活动针对IT基础设施中的各个层面，因此大家能够观察到的区域越广，实现成功检测的可能性就越高。在这方面，大家应当高度关注三种原则性数据类型，具体优先级按次序分为：安全事件与报警数据、日志与机器数据以及传感器取证数据。

尽管安全事件与警报数据通常属于安全团队所能掌握的最具价值的数据源，但我们往往很难快速判断应关注哪些事件或者哪些警报信息。日志数据在这方面能够提供更为深入的IT环境可见性，包括帮助我们判断谁在哪里于何时做过什么。

现有的安全解决方案在安全威胁管理方面仍处于初级阶段，SOC往往受制于日志采集来源以及分析能力的不足，IDS、NGFW等产品可以基于流量中的异常进行检测，但都停留在入侵尝试阶段，大量的无用告警让使用者无所适从，无法感知真正的安全事件，近年来各厂商开始推出基于深度检测的APT产品，但重点和方向各异，实际对安全威胁管理的效果也差别较大，比较典型的是以病毒木马检测配合沙箱技术的传统安全厂商，但随着攻防对抗的升级，也有一些新的思路出现，比如安恒的明御APT产品就是以APT攻击事件分析、基于行为和沙箱的场景化分析、DGA检测算法等新技术为核心，在安全威胁管理方面可以较为全面的涵盖到六个阶段。一旦企业能够有效收集其安全日志数据，则可随后配合传感器取证数据以实现更具深度与广度的可见能力。

在建立起这种可见能力之后，企业即可检测并响应各类威胁活动。潜在威胁的发现应通过搜索与机器分析将结合的方式实现。已被发现的威胁活动必须迅速进行评估，包括考量其对于业务的潜在影响以及相关响应举措的紧迫程度。在对事件进行定性之后，企业应实施相关缓解措施以降低并最终消除由此给业务带来的风险。而一旦事故中止且业务风险受到有效控制，企业则可以开始推进全面的恢复性工作。

通过投资威胁生命周期管理方案，企业遭遇破坏性网络事故或者数据泄露的风险将大大降低。尽管仍面临着诸多内部与外部威胁，但企业足以凭借着由此带来的更为强大的检测与响应能力对自身环境加以管理，最终削减恶意活动造成巨大影响乃至高昂代价的可能性。

E安全注：本文系E安全独家编译报道，转载请联系授权，并保留出处与链接，不得删减内容。联系方式：① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全，最专业的前沿网络安全媒体和产业服务平台，每日提供优质全球网络安全资讯与深度思考，欢迎关注微信公众号「E安全」（EAQapp），或登E安全门户网站www.easyaq.com , 查看更多精彩内容。