有一个高级威胁攻击，用的技术往往是沙箱技术，网络异常检测技术，同样也有问题。我们听到过一些案例，当事情发生后大家问为什么没有发现，厂商调查一番回来告诉我们，实际上我们的系统是有预警的，但你们没有看到。从用户的角度来说，为什么你预警了我们没看到，难道跟厂商没关系吗？所以这实际是一种借口。

常见溯源结果（借口）：

?扫描器 （scanner）：零日没扫到

?入侵防御设备 （IPS）：人家用文档 exploit，还加密了

?主机保护软件呢 （AV，HIPS）：软件没来得及升级， AV 规则库没跟上

?下代防火墙有吧 （NGFW）：人家没有利用软件漏洞，有员工被钓鱼了

?上月装的 ATP 设备呢 （Sandbox，NBAD）：说应该有过报警，你们竟然没看到？

我们要去刨根问底，到底怎样才能改善我们的技术手段。

这张图上内容很多，我主要是想指出一点，误导的问题，紫色的部分是Action，有攻击的人到某一个阶段以后就想做具体动作，要么偷走你的信息，要么对你的业务造成直接威胁，比如转你的钱，做这件事情之前他会做一系列的动作，这个动作需要花时间，而且在空间上也是分布的。包括它想要做什么事情，可能会预先做一些调查，一系列的动作，最后还是要偷你的东西。在 Action 没有发生之前，很多环节都有补救的办法，但往往以前我们的很多产品重点放在除了 Action 以外的很多阶段上。

威胁者要做一件事，他的攻击目标是不变的，可能是对着你的业务流程和数据，但在这个过程中他有 N 多个步骤，不是一定要一步步走下去，而且不是所有步骤都是必须的，这就是我说的误导的原因。他的路径是万变的，以前很多技术和工具看法是被误导的，因为我们总是在看中间的过程而忘掉了最终我们要看到的目标。

总结一下这个概念，攻击者会有很多招数，他可以利用社会工程来跳开对很多软件漏洞的依赖，他可能用很多规避手段。这些规避手段今天我们用的防毒技术、网络防火墙技术是看不到的，如果他们选定了目标，那他们一定是下定决心有耐心搞这个事情，而他们会花很长时间，我们的工具没有耐心放在里面，所以基本上看不到。

你去看所有黑产，他们在很大程度上已经利用了网络共享的资源来做攻击，这一点在我们做网络防御工具开发时往往没有更好地利用。

对于保卫者来说新的挑战是，攻击一定是不择手段的，他看到的目标在那儿，他不在于珠宝放在哪一个皇宫，他是盯着那个去的，所以一定是防不胜防的状况，你很难建一个别人攻不破的门，但同样，道高一尺魔高一丈，他也有可能不经过门。

另外就是打持久战。

最后是高级的博弈，因为黑产已经形成了相对完整的利用网络的生态系统，开奖，除非我们在网络防御、工具也以生态系统的方式去对付他们，一开始就很难打平手，所以我们一定要以业务为中心去建保护目标，业务为中心可能包括统一业务的、数据的安全，用户信息的安全和业务流程的安全。

这张图从左边看，实际上是以前历史上各种安全工具，当然，还不是包罗万象的，它们做下来以后有一个演进过程，今天我要说的演进状况就是中间这个橘红色的箭头，里面已经形成了一个产业链，从基本的工具开发到恶意软件、到它的发布，甚至有人做僵尸网的运营，其他人可以利用它做攻击，它有生态链产业链的概念。我们谈防护技术，早期我们想的是在主机上部署各种软件。后来有了网络，我们在网络上做防护产品，包括邮件网关、Web 安全网关等。现在有很多人用云，在云的状况下是不是又出现了新的安全问题，又有人去做产品，就要解决云的问题。实际上这些着眼点和方法都在一定程度上是相对的，没有很好的生态系统的概念，没有这样的概念，我们去“打仗”就有对我们不利的地方。

我总结了几个主要的方面，一是我们今天看到的“移动万物互联”，它给我们带来的挑战更大，已经不仅仅是我们的手机了，还可能是各种等各种东西；

“工资消费一键”，我觉得这是很好的发展，相比美国可能更先进，但它之后面临的安全隐患是什么，大家不见得想得清楚。