摘要：爲了提高檢測的準確性，東巽科技目前的做法是首先儘量發現更多的威脅，要做到這點首先要了解整個APT攻擊的殺傷鏈（即Kill chain，可表現網絡攻擊侵入一個組織並偷走數據、實施破壞的全過程）及各階段攻擊技術，再使用恰當的檢測技術，把威脅情報、行爲分析、機器學習、特徵匹配等手段用在合適的檢測場景中。目前市面上許多頭部網絡安全廠商也推出自己的APT防護平臺產品，如奇安信的新一代威脅感知系統，可基於網絡流量和終端EDR日誌，運用威脅情報、規則規則引擎、文件虛擬執行、場景分析等技術，發現網絡中針對主機與服務器的已知高級網絡攻擊和未知的新型網絡攻擊的入侵行爲。

威脅管理與分析是網絡安全行業中的一個細分方向，資料顯示，國內威脅管理與分析領域大致包含四類產品，首先是威脅檢測和分析，如APT（高級持續性威脅）和沙箱等產品；第二類是蜜罐蜜網類產品，屬於威脅獵捕方向；第三類是全流量分析溯源產品，通過全流量留存檢索等爲溯源分析和大數據建模分析提供數據源；第四類是情報威脅與攻擊溯源方向，如威脅情報大數據平臺等。

36氪日前接觸到的一家初創安全企業——東巽科技，成立於2010年，專注於APT防禦技術的研究與應用，是國內第一批APT廠商之一。APT，英文全稱爲Advanced Persistent Threat，即高級持續性威脅，本質上是指某組織對特定目標進行長期、持續性的網絡攻擊活動，常具有強烈的政治、經濟目的。APT的攻擊特點是隱匿自己，針對特定對象長期、有計劃性和組織性地竊取數據、長期監控受害者、致癱目標網絡等。

據東巽科技創始人兼CEO李術夫介紹，公司在2010年成立後一直專注於APT攻防對抗的相關產品和服務，但從去年開始才明確感受到APT市場熱度。促進市場發展有如下幾個原因：

第一個因素是各類APT事件被頻繁曝光。根據我國監管單位消息，中國目前是遭受APT攻擊較多的國家之一。即便是在新冠疫情期間，也有不少黑客組織通過魚叉釣魚等典型APT攻擊方法被曝光，攻擊者利用疫情信息作誘餌不斷嘗試竊取我國醫療衛生行業的相關機密。國家基礎設施和商業機構的APT事件頻頻發生，讓APT防護產品變得愈發重要。

第二個因素是等保2.0的發佈。根據國際和國內網絡攻防對抗的發展趨勢，等保2.0在1.0的基礎之上更重視基於新技術的主動防禦和動態防禦。具體看來，等保2.0要求應採取技術措施對網絡行爲、未知的新型網絡攻擊進行持續檢測和分析；針對二級及以上信息系統，新增了應在關鍵網絡節點處監測、防止或限制從內部發起的網絡攻擊行爲等要求；在實際操作層面，等保2.0的測評部分還要求測評對象需具有抗APT攻擊、網絡回溯等設備。而抗APT攻擊的防護產品，能夠檢測和分析各類繞過傳統防禦的高級惡意攻擊行爲，特別是發現0Day漏洞攻擊等未知威脅，能夠精準監測並掌握內部和外部之間、內部各區域之間的各種攻擊行爲。

第三個因素是監管層對實際對抗能力的重視。近幾年，各層監管機構按照我國網絡安全法要求的，開展了一系列涉及國家信息基礎設施保障和網絡攻擊行爲發現的專項活動。這些活動對防守方壓力非常大，推動了防守方對新技術產品的採用，而APT類產品已經成爲防守方必備的剛需產品。

第四是政企事業單位內在安全能力和安全體系上的升級需求。從過去傳統的威脅檢測和統計類產品，轉向新一代威脅檢測、溯源分析和響應產品，這個過程是從安全成熟度高的行業（如金融等）逐步推進到成熟度低的行業（如商業企業）。從相關安全上市公司和主流廠商的營收數據看，2019年產品市場規模大概有16億元，2020年預計市場規模爲28億元，預計未來五年市場增速將保持30%，高於安全市場平均增速。

從攻防發展的角度看，防止APT攻擊的方式要麼在路徑上（即流量端）進行安全防護，要麼在抵達目標（即終端）上防護，東巽科技的APT防護產品主要定位在流量端解決問題。目前東巽科技的主打產品爲抗APT的流量檢測產品：鐵穹高級持續性威脅預警系統。產品旁路部署在網絡出口處，通過對網絡進出流量進行檢測，深度發現和分析零日漏洞、遠程控制及滲透行爲等各類網絡攻擊和控制行爲，可以及時發現網絡內部存在的攻擊行爲和失陷主機情況，並深入分析攻擊者的攻擊途徑、關聯關係等，幫助客戶進行威脅處置和攻擊溯源等工作。

鐵穹產品的工作原理

據東巽科技介紹，這款產品是業界唯一集成8種核心技術引擎的產品。在檢測入侵植入時可採用文件行爲分析技術的虛擬化沙箱、Web攻擊監測、啓發式文件檢測、惡意文件情報庫檢測的各類引擎，在檢測失陷主機時可採用流量行爲分析隱蔽信道檢測、異常流量行爲檢測、C&C威脅情報檢測、惡意代碼流量特徵檢測，集成了大量機器學習模型、行爲分析模型等新型技術來完整覆蓋網絡殺傷鏈的各個階段，並形成了獨特的深度分析能力。

在鐵穹之外，東巽科技的產品還有全流量溯源系統洞見、文件檢測分析系統銳目、大數據安全平臺矩陣等：

1）洞見的作用是全流量存儲和溯源，其核心功能是全流量留存、檢索和下載，以及抽取全流量的元數據來實現流量轉日誌，流量元數據日誌轉存投入大數據分析平臺後，就可以再通過基於人工智能等技術進行威脅建模或其他業務建模來開展深度分析；

2）銳目可以針對流量中傳輸的文件、文件服務器上存儲的文件、郵件服務器存儲的郵件附件等進行基於虛擬化沙箱、機器學習模型分析等檢測引擎的深度檢測；

3）大數據分析平臺—矩陣可以把鐵穹、銳目、洞見進行統一管理，針對各種產品中的數據進行深度分析、關聯分析、攻擊者畫像、受害者畫像、資產畫像分析、場景分析、態勢感知等。

目前市面上許多頭部網絡安全廠商也推出自己的APT防護平臺產品，如奇安信的新一代威脅感知系統，可基於網絡流量和終端EDR日誌，運用威脅情報、規則規則引擎、文件虛擬執行、場景分析等技術，發現網絡中針對主機與服務器的已知高級網絡攻擊和未知的新型網絡攻擊的入侵行爲。同時再利用本地大數據平臺對流量日誌和終端日誌進行存儲和查詢，結合威脅情報和攻擊鏈分析對事件進行分析、研判和回溯。啓明星辰的天闐APT檢測系列，可實現未知惡意代碼檢查、嵌套式攻擊檢測、木馬蠕蟲病毒識別、隱祕通道檢測等多類型未知漏洞（0-day）利用行爲的檢測。

談及客戶方如何判別各家產品的效果，李術夫介紹， 此類產品最有效的評判標準就是在實際環境測試、針對性攻擊測試或紅藍對抗演練中的表現。 首先看檢出能力， 具體而言就是將產品放入客戶的網絡環境中測試一段時間，就能看出各家產品檢測出威脅的數量多少和可檢出類型的覆蓋。除了看現網部署測試效果，還可以通過有針對性的POC測試和組織紅藍攻防對抗實戰演練，對比實際攻擊活動的產品真實檢出能力。 另外，要求高檢出率的同時還要儘量降低誤報率。 如果一個產品檢出率高，但卻在短時間內產生大量錯誤告警，那麼也會影響到技術人員對威脅事件的有效判斷。所以一個 合格產品需要做到高檢出率和低誤報率的平衡。 “如果誤報率太高，產品使用就只能靠人進行分析，這就不是一個好的產品。人的服務佔比過重，或許正是因爲產品能力本身存在不足。”李術夫說。提到具體檢出率和誤報率的標準，其認爲針對各種威脅類型的不同，並不能使用一套標準一概而論。比如遠程溢出的0day攻擊，各家都沒有太有效的手段進行檢測；又比如PE文件檢測，傳統的殺毒軟件可能對已知惡意代碼能做到99%以上的檢出率，但對未知惡意代碼檢出率就很低。而使用沙箱和人工智能的技術手段，能力較強的公司對未知惡意代碼可以做到90%以上檢出率，但對已知惡意代碼的檢測能力可能還不如傳統的殺毒軟件更有效。

爲了提高檢測的準確性，東巽科技目前的做法是首先儘量發現更多的威脅，要做到這點首先要了解整個APT攻擊的殺傷鏈（即Kill chain，可表現網絡攻擊侵入一個組織並偷走數據、實施破壞的全過程）及各階段攻擊技術，再使用恰當的檢測技術，把威脅情報、行爲分析、機器學習、特徵匹配等手段用在合適的檢測場景中。其次是針對檢測的結果做多重告警線索過濾和確認，常規手段是通過去重、交互狀態確認等手段，更高級的方式是通過機器學習來判斷確認。第三是通過自動化關聯分析，將線索形成證據鏈，從而提升可信度，減少無效告警，再結合對危害性的判斷，輸出符合人爲決策標準的數據。東巽的產品均爲自研，在國內APT廠商中，具備自主研發能力的廠商數量並不算太多，有一部分是通過OEM或ODM方式參與其中，所以產品的自主化也是東巽的優勢之一。

李術夫還介紹，APT防護產品並不是只能解決APT攻擊問題，也不是沒有APT攻擊問題就不需要這類產品。抗APT產品只是更加強調它具備發現、分析和處理APT攻擊這類更爲複雜安全問題的能力，其本身更準確的定位是具備智能化檢測和分析技術能力的新一代威脅管理分析類產品。因此目前業內安全領域的研究和諮詢機構也將其定位於智能安全領域。這類產品適用範圍較爲廣泛，無論是企事業單位網絡的對外服務區、辦公網、內部管理信息網、生產網絡、隔離內網、內外網隔離區、工業網絡三區四區、還是數據中心、雲計算中心、大型廣域網、城域骨幹網絡，凡是有網絡、有流量的地方都可以應用進行威脅檢測和分析。

目前，東巽科技的主要客戶羣集中在金融、運營商、軍工、政府等安全防護要求較高的領域。談及和大型綜合廠商競爭的策略，李術夫介紹東巽會通過廣泛建立合作伙伴的方式提升公司品牌力和產品銷售能力。在具體實施上，公司會通過提供產品典型應用場景和標杆客戶解決方案等手段爲合作伙伴賦能，而後者會幫助其銷售以及擴大影響力。公司今年的營收目標希望達到近億元，相比2019年翻倍增長，且公司產品均爲自研毛利率很高。團隊層面，創始人兼CEO李術夫是連續創業者，擁有20年以上的網絡安全從業經驗，經歷了中國網絡安全發展全過程，曾帶領團隊發佈多起APT攻擊分析報告。CTO李薛是中國科學基金委員會評議人，網絡安全等級保護標準草案評審專家、網絡安全攻防領域技術專家。

根據天眼查信息，東巽科技在2015年9月獲得1200萬元的Pre-A輪融資，投資方如山資本。2017年4月完成A輪4000萬元融資，這輪融資由稼沃資本，北京基石投資、如山匯鑫共同出資。2019年10月該公司獲得了深信服數千萬元A+輪戰略融資。目前新一輪融資已開啓。