微步在线推出TDP-S服务器版产品，威胁检测怎样做到场景化?

近日，国内威胁情报领军企业微步在线在美国RSA大会上宣布，正式发布Threat Detection Platform-Server(TDP-S)，这标志着国内的威胁情报产品面向的场景更细分、更加专业化。

从国内第一批威胁情报创业公司成立到现在，已经过去了将近两年半的时间。毫不夸张地说，国内威胁情报市场已经从蛮荒时期迈入了开化时代，国内的威胁情报厂商从最早的提供数据服务慢慢进化为提供数据、软硬件产品、咨询的一体化服务。那么，为什么微步在线选择在此时将产品细化?威胁检测又怎样做到场景化?

威胁不仅存在于办公网，生产网中招更扎心

微步在线产品负责人黄雅芳介绍说，近两年针对企业数据中心内的业务系统的威胁和攻击态势表现得更加严峻。“企业的数据中心承载着核心业务系统，面临业务连续性及安全合规等多方面的考验，威胁不仅存在于办公网，在生产环境中也同样存在，并且危害更为严重。”

正因如此，微步在线将旗下的威胁检测平台做了升级，于2018年4月正式推出针对服务器版本的威胁检测平台(“TDP-S”)。TDP-S平台针对数据中心环境提供特定威胁检测未知木马下载、连接控制服务器端行为、挖矿木马等。亦可检测被控服务器的特定行为，如发送垃圾邮件、作为反向代理服务器、对外发起扫描等。

黄雅芳说：“TDP-S最大的特点就是检测能力高度贴合生产网的场景。如果用灯光来做类比，TDP-S能够在生产网中照亮更多的角落，让安全人员看到更远的地方。”目前TDP-S能够支持的典型场景有：服务器失陷检测、黑客木马特征检测、DGA域名访问检测、黑客后门/DDoS木马检测、挖矿/反向代理/群发垃圾邮件检测等。

与场景结合的威胁情报应用，是如何实践的?

我们以生产网场景下的威胁情报应用为例来探讨这一问题。生产网场景中有一个典型现象：服务器对外连接域名/主机和下载的行为，要比办公网中的同样行为可疑度更高一些。

比如，办公网中个人和公司的设备对外访问域名/网站是十分常规的操作，但是如果这种连接行为在严格控制互联网访问的机房或数据中心里出现，就很有必要查一查是不是被攻击者远程控制、变成了所谓的“肉鸡”。而微步在线的出站威胁情报正好可以帮助查验连接的域名/网站是否安全，这样，安全人员就能更快地定位出失陷的服务器。

再比如，生产网中的一台服务器突然开始下载不明程序，这很有可能是木马攻击，此时就要引入可疑URL检测来查看服务器是否访问了恶意网站，同时再根据TDP-S提供的黑客木马特征检测来进一步判定。据了解，微步在线的黑客狩猎系统追踪全球100余个黑客团伙，测试提取3000余条木马通信协议特征并将规则特征用于检测。

这些典型场景并不是拍脑袋想出来的，而是研究黑客攻击链的结果。黄雅芳举了一个很典型的例子：“比如黑客利用WebLogic漏洞操纵服务器来挖矿，在这个过程中会有很多代表性的行为，首先黑客通过漏洞攻陷服务器，会访问恶意的IP下载挖矿的工具，这些访问行为和下载行为就会被TDP-S检测，而且服务器最终被用来挖矿的时候，会去连接矿池，这也是一种典型的会被TDP-S检测到的行为。这一连串的行为会被TDP-S完整呈现出来，企业安全人员就能对威胁看得更深、更远，能够快速了解黑产最新的进攻模式，从而更有效地进行防范。”

威胁情报场景化，为什么现在就要实现?

黄雅芳认为，威胁情报应用的细分化、场景化是必然趋势，行业变化和市场需求共同推动着威胁情报的应用水准，现在已经达到了一个场景化的需求点。

一方面，是威胁情报行业的变化。根据FireEye最新发布的数据，2017年全球平均MTTD在101天，比2016年的99天增加了2天，然而只有美国的MTTD有明显的下降，欧洲地区和亚太地区都有较强烈的反弹，欧洲的MTTD从106天增加到175天，而亚太地区的MTTD则从172天猛增到498天。

令人咋舌的增幅，其实意味着埋藏在企业深处的病灶开始得到确诊，随着威胁情报行业的普及，在行业中那些隐匿得更深更久的威胁开始浮出水面了，用户对于威胁情报的需求更明确，消费意识也更强烈。然而这也暴露出了亚太地区的威胁情报行业与欧美相比，起步晚、发展空间大、专业程度有待提升的现实。更具有针对性的威胁情报产品还没有大规模投入使用，威胁情报的场景化一定是大势所趋。

另一方面，是客户在实际运用威胁情报时产生了更深层需求。“服务器端的防护不像办公网，办公网防护相对更强，很多企业都安装了端点防护，有的企业甚至会启用多种防护机制，服务器端的防护相比之下更弱一些，而且不会像个人电脑被黑掉一样容易被发现，所以造成的现象就是，攻击者更容易打进来，打进来以后也更难被安全人员发现。”黄雅芳说。

因此，微步在线的TDP-S，满足的是客户两方面的需求，第一是保障生产网承载的业务连续性，保护服务器中的核心数据，通过检测及时发现已知的威胁;第二是在未知的威胁发生后，追溯事件时有据可查，让安全人员快速追溯源头，做出响应。

本次RSA大会上，微步在线的展台是N4904，想体验TDP-S的RSA参会者，欢迎移步展台，与微步在线的创始团队们进行深入交流!