微步在线发布Web攻击感知平台TDPS 2.0 情报赋能生产网威胁监控

2019年2月，微步在线正式宣布，旗下产品Web攻击感知平台Threat Detection Platform for Server（TDPS）推出2.0版本。经过数年的迭代升级，TDPS已经具有准确预警、溯源分析、资产梳理等多项成熟能力，实现攻击行为准确感知、攻击过程完整追溯、攻击成功精准告警、企业实际暴露资产梳理等典型安全需求，目前已有金融、能源、互联网、政务云等行业客户。

用好威胁情报，化繁为简、聚焦真正威胁

“网络中只有两种企业，一种知道自己被黑了，另一种不知道。”这已经成为企业安全人员的共识，要有效应对网络威胁，首先要承认敌在暗我在明，想对企业发起攻击的攻击者们不计其数。既然无法防止攻击的发生，就只能在攻击发生后尽快察觉并阻断。

真实的攻击是综合攻击手法的叠加，横跨各个应用层面，但80%是来自于Web层面的。解决这80%来自Web的攻击，将会解决企业日常安全运营中主要的威胁。而就威胁情报的角度来看，威胁情报在IP和攻击情报能力上的边界，又将在很大程度上影响攻击感知能力的边界。这是Web攻击感知平台的立足点。Web攻击感知平台以情报驱动，以攻击感知为核心，企业安全人员只需要投入精力去关注首页的两个指标：攻击成功、针对性攻击。

攻击成功是指给主机、网络和业务造成实质性的损害，或已经控制或拿到数据。而针对性攻击指标意味着这些攻击者并不是在广撒网，而是瞄准了这家公司，即使对方没有攻击成功，安全人员也需要关注对方的活动和行为。一旦攻击成功威胁性可能更高。

微步在线将攻击成功和针对性攻击作为核心指标，能大大减轻数据噪声，从而为企业安全人员节省工作时间。如果安全产品以告警为核心，那么安全人员将被每日数万乃至数十万的告警淹没，不得不在大量的误报中寻找真正有威胁的告警，而安全人员每日能够处理的威胁大概在3-5起左右。Web攻击感知平台不仅能让安全人员只关注真实存在风险的告警，还能够智能聚合攻击源，将多个告警汇总成为一次攻击事件，从而将该次攻击事件的时间线梳理出来，并将相关日志都提取出来呈现给安全人员。

梳理客户资产，给客户安全感

微步在线的核心创始团队基本来自于企业安全团队，因此Web攻击感知平台在设计阶段就致力于为客户提供知己知彼的能力。

能够妥善处理攻击，靠的是威胁情报的一双“慧眼”，分辨出来者是黑是白，这正是“知彼”，而当企业无法探知网络世界中来自外部的威胁时，企业还可以将自身潜在的风险点梳理清楚，从风险点来反推自己可能会遭到哪些攻击，这是“知己”。

因此，Web攻击感知平台单独划分出一个资产梳理模块，针对企业对外开放的端口、后台、IP和域名进行盘点扫描，自动发现企业有哪些潜在的风险点。一般情况下，资产盘点都需要大量的扫描网络，费时费力，而且如果服务器本身已经负载过大，很容易引起宕机。Web攻击感知平台通过旁路检测双向流量，能够自动识别对外开放的端口和后台，不消耗资源，也不会给服务器带来很大负担。

资产盘点的一个好处是，当一个网络威胁发生后，安全人员能够快速根据端口、服务、应用的开放情况来推定此次网络威胁对企业安全的影响，并且有的放矢地进行处置，此外，在Web攻击感知平台中，还能通过盘点对外后台来识别撞库行为。

如果用户是高手？

Web攻击感知平台不仅能够减轻用户的工作量，还为用户保留了一个“自由模式”，如果用户是一位安全高手，不满足于产品内的算法模型，想自主溯源一些威胁时，要怎么操作？

微步在线的Web攻击感知平台会存储企业全流量，并设计了一个“调查”模块，专门用于溯源日志，其中按照攻击相关、敏感行为、协议相关等字段进行了分类，支持用户对日志进行灵活的条件式搜索，还可以连接到微步在线旗下的威胁情报搜索引擎，进一步对可疑IP进行溯源分析。

此外，Web攻击感知平台还能和态势感知、WAF等安全防护系统结合，让企业用户能够纵深向、多维度感知到安全态势，做好检测和响应工作。