为有效应对APT攻击，东巽科技在国内首次提出“云、管、端、地”的四维防御方案，并在产品中采用各类“下一代安全技术”来发现外部的Web、邮件、文件的各种高级攻击行为，及时发现网络中已被黑客控制的失陷主机等各类威胁问题，为政府、军队、军工、央企、金融、运营商等客户面临的高级威胁攻击风险提供有力安全保障。

那么，如何理解东巽科技的“云管端地”解决方案？这个方案与其他厂商的APT解决方案有何不同？我们采访了东巽科技产品总监周忠。

“四维监护，通天彻地”

东巽科技APT方案的“云”是指东巽科技的威胁情报平台和云端智能分析平台，主要利用云平台的特有能力为客户提供主动防御APT所需的威胁类情报信息和针对高级恶意软件提供更高检测能力的云端智能分析服务。

“管”是在客户网络边界部署“东巽铁穹高级威胁预警设备”和“东巽全球眼恶意代码检测产品”，用来从网络交互流量中来集中的发现各类高级入侵行为和被攻陷主机的行为。

“端”是指“东巽明镜终端木马深度检测系统”，用于在终端层面发现APT攻击中使用的、目前反病毒软件无法检测的特种/未知木马。通过分布式终端取证、服务端集中判定的架构结合威胁情报、木马行为分析等新一代技术来集中检测各类终端上的恶意软件及特种木马。

“地”是一套高级安全服务体系，用于帮助客户进行高级威胁的“对抗”，实践高级威胁需要人和人对抗的理念，重点针对APT攻击中采用技术手段，提供攻击前的渗透测试和失陷主机检测，攻击中的检测、响应和对抗，攻击后的取证分析、溯源和整改等专项安全服务。

设备毕竟是设备 有用但本身存在缺陷

周忠介绍，当前“云、管、端、地”，每个单点的安全技术都有其特定价值和不足。云端天然具有计算扩展性强、信息流通速度高的特点，适合通过互联模式生产和分享最新威胁知识，也适合构建可扩展对安全分析能力，但无法单独到达用户侧落地；网络边界是网络信息的集中节点，通过网络流量分析和检测具有集约化优势，但存在单点掌握的威胁信息不足，计算资源和安全分析资源扩展能力不足的问题。终端检测是入侵、渗透和控制的目标地，各类恶意代码需要在终端落地处置，但广撒网式的反病毒软件其实解决不了定向攻击的恶意代码问题。

“大家都知道APT攻击是个复杂的“组合式”活动，对它的防御必然是体系化的，任何依赖单点技术或产品都只是局部有效，这种依靠单一的网络流量检测设备和终端产品产生的结果满足不了用户的需求，因此需要 “云管端地”形成协作防御体系。”

东巽的“云端平台”可以为“管端”和“终端”的产品提供最新的威胁情报，扩展其 “知识”，对于高级恶意代码可以在云端通过更强分析能力的平台协助分析，扩展用户侧产品的“能力”。“管端”设备通过流量的集中分析可以集约、快速的定位“被攻击”和“被攻陷”终端线索。“终端”明镜产品基于“管端”的线索信息，在威胁或可疑终端上进行集中的取证、检测和处置。而高级安全服务可以基于上述技术手段开展工作，贯穿评估、响应、溯源等多个端到端的环节。这样实现了“云管端地”的真正协同，才能充分利用单点技术优势、发挥整体方案的效能。

 “地” 是集大成者 安全也要“接地气”

自2016年起，东巽科技开始了对威胁情报的研究，在多年安全服务积累的经验基础上，东巽科技已经自己掌握了一些判定安全威胁的方式和方法，以及一些自己的威胁情报，而这成为了东巽科技防御APT攻击的一笔丰富的原始资本。

“有些进程直观感觉就是不对劲，再一分析，果然它就是病毒，这是多年积累的经验”，东巽科技主管安全服务的副总裁郭鑫表示，“相比于过去，现在很多黑客攻击的方式和方法先进太多了，有时候单纯依靠安全设备或者安全软件是无法检测出威胁的，这时候需要人为靠经验去判断”。

正是基于多年来对网络威胁的认知，东巽科技研发新的产品过程中特别注重将一些安全服务经验、威胁情报等实践出来的内容与用户需求紧密结合，然后通过方案联动的方式，为用户提供安全保障。