日均告警百萬，辦公網流量近10G：大型互聯網企業，網絡安全如何運營更能打 - 網安

遭遇高級持續威脅攻擊（APT 攻擊）幾乎是每家企業的噩夢。這意味著受攻擊企業的核心數據已被盯上，而且很可能遭到泄露。更重要的是，這些企業大多無法快速有效獨立做出反應，需要借助外部專業安全能力，實施應急響應與溯源取證。不過，互聯網與金融等技術水平較高的行業是例外。由于日常安全設備與人員投入較大，且具備嚴格的安全運營合規性，這些領域內的企業基本足以應對絕大多數高級威脅。

某大型互聯網企業就是一家這樣的企業。公司員工人數上萬，擁有資深的安全能力，對安全建設要求極高，內部安全團隊即可處理90%的日常網絡威脅。如果尋找外部專業安全能力支援，多半是遇到了高度復雜的攻擊。

幾個月前，該企業通過微步在線威脅感知平臺TDP收到了高級持續威脅攻擊的告警，并內部優先處理、取證。然而該企業安全團隊發現，這次威脅的取證難度相比往常更難，經歷一段時間的內部研判、調查與取證后，仍舊無法找到突破口。

最終該企業選擇采用微步在線的MDR服務。在微步在線的協助下，通過安全分析師獨特的分析手法，成功將威脅定位到具體服務器，并進行了后續處置。

APT攻擊雖與地緣政治有關，主要攻擊對象更多集中在政府與軍工等行業，但針對互聯網軟件行業的APT攻擊近兩年也頻頻發生。被攻擊企業大多人員規模龐大，業務覆蓋面廣，具有重要的行業地位，此類企業面臨的安全挑戰主要在于：

企業人員規模大，互聯網業務多，使得辦公網對外訪問流量大，存在資產暴露面大，同時對檢測能力，尤其是新型威脅檢測能力要求極高；
安全設備多，告警量大，安全人員容易產生告警疲勞，增加真實威脅遺漏的幾率，給企業帶來潛在安全風險；
安全人員配置較多，核心能力以常規安全運營為主，但整體事件處理與響應能力無法滿足實際安全需求。

“我們每天守著將近10個G的出口流量，表面看上去毫無波瀾，但我們知道，事實上有很多新型攻擊在悄悄上演，對我們這些企業的安全能力，提出了有更高的要求。”該大型互聯網企業相關安全人員說道。

因此，該大型互聯網企業結合自身安全需求，最終通過效果測試從多家廠商中選擇與中國新一代網絡安全代表企業、威脅發現與響應領軍企業微步在線達成合作。微步在線以“威脅感知平臺TDP+本地威脅情報管理平臺TIP”為核心的解決方案，將TDP集群部署接入該企業辦公網流量并保證高性能穩定檢測，TIP打通已有日志管理平臺與業務風控系統，從威脅檢測能力、威脅告警準確性與告警噪音、事件溯源與響應能力三個維度增強安全建設。

圖 | 微步在線解決方案

全流量覆蓋與針對性攻擊識別，提升復雜、新型、高級威脅檢出能力

通常而言，高級持續網絡攻擊目標旨在企業高價值資產，前期會經過精心策劃與長時間隱藏摸排，從而確定攻擊入口，且在攻擊成功后，清除相關登錄日志，前后期發現難度均非常大。該大型互聯網企業雖然部署了傳統的防火墻、IDS/IPS、終端殺軟及WAF等產品，大多只能抵御已知特定威脅，無法針對APT攻擊、定制化惡意軟件及0day等新型威脅進行有效檢出。面對每天上萬人的巨大辦公網流量，如果無法做到穩定有效檢測，可能對安全帶來重大隱患。

TDP背靠亞洲最大的情報搜索引擎和共享社區“X情報社區”，具備秒級更新一手情報，情報能力強大。通過對請求返回雙向流量檢測，TDP不僅能夠實現辦公網絡威脅全面覆蓋，穩定檢測，同時可針對內網主機對外訪問或下載文件的URL、上傳流量中還原的文件樣本進行云端深度分析檢測。通過TDP，在攻擊早期即可快速發現未知威脅與APT攻擊，提前做好準備應對各種風險。

聚焦真實威脅，降低告警噪音，緩解運維壓力

安全告警噪音是另一個重要問題。某大型互聯網企業自研日志管理平臺，用于對安全設備、DNS服務器、終端等告警日志進行統一采集、處理與呈現，但無法關聯分析，存在海量檢測告警，每日可疑攻擊IP達上百萬，存在大量誤報，給企業安全人員帶來巨大的處理壓力，久而久之安全人員產生告警疲勞，可能導致無法有效發現真實威脅，帶來潛在安全風險。

事實上，對于海量的告警威脅，其中很多威脅可能并未攻擊成功，甚至未給企業造成真實的危害，因此在安全運營中需要重點關注的，應該是那些真實的威脅。TDP基于雙向全流量檢測，能夠從多個維度捕獲攻擊，自動查看返回內容從而判定攻擊是否成功，最大化減少告警噪音。另一方面，微步在線本地威脅情報管理平臺TIP結合實時多源情報，能夠與企業已有日志管理平臺聯動，將日志管理平臺檢測到的告警信息進一步快速自動化檢測分析，消除告警噪音，聚焦企業面臨的真正威脅，從而緩解安全運維人員壓力，節省更多時間處理高優先級安全威脅事件。

專業分析、7x24服務，提升SOC安全事件處置效率

當下大多企業整體網絡安全意識與防護能力在不斷提升，但仍與實際安全需求存在一定差距，普遍需要更加專業、自動化、高效的安全處置能力。該大型互聯網企業雖然部署了多種安全設備，且安全團隊能力比較資深，但面對巨大的辦公網出口流量與大量的告警，內部不同平臺處置流程時長、處置響應系統之間割裂、自動化程度，處置效率等問題逐漸凸顯。

通過TDP不僅能夠及時發現各種潛在的未知新型威脅，還可與現有安全設備及工單系統聯動，為高危、嚴重告警及時創建工單，以短信或郵件方式推送至相關安全人員，實現針對大流量場景，高效、穩定的新型威脅檢測與運營處置閉環。同時，基于高質量的威脅情報IOC，TDP可對攻擊者畫像與手法進行歸類識別，對高級威脅事件進行驗證，能夠讓企業提前了解自身基礎設施風險點，提升事件溯源能力與主動防御能力。此外，微步在線為企業提供快速、專業的應急響應服務，以及定位、處置、溯源安全、追蹤安全事件能力，助力保障企業重要活動期間業務正常運轉，提升日常安全運營效果。

強大的安全能力不是一天建設起來的，最靠譜的方式，還是結合企業需求特點及當下安全態勢，劃出重點后，或查漏補缺，或持續精進。微步在線不僅為該大型互聯網企業提供了豐富準確的情報能力，同時還增強了企業的日常安全運營能力，提高了對于新型重要威脅的檢測能力，保證日常大流量穩定檢測，同時極大釋放了企業安全人員人效，為企業建立更加牢固的安全體系，贏得了更多時間與精力。