主攻APT防护领域，「东巽科技」提供网络攻击检测、分析完整产品线

威胁管理与分析是网络安全行业中的一个细分方向，资料显示，国内威胁管理与分析领域大致包含四类产品，首先是威胁检测和分析，如APT（高级持续性威胁）和沙箱等产品；第二类是蜜罐蜜网类产品，属于威胁猎捕方向；第三类是全流量分析溯源产品，通过全流量留存检索等为溯源分析和大数据建模分析提供数据源；第四类是情报威胁与攻击溯源方向，如威胁情报大数据平台等。

36氪日前接触到的一家初创安全企业——东巽科技，成立于2010年，专注于APT防御技术的研究与应用，是国内第一批APT厂商之一。APT，英文全称为Advanced Persistent Threat，即高级持续性威胁，本质上是指某组织对特定目标进行长期、持续性的网络攻击活动，常具有强烈的政治、经济目的。APT的攻击特点是隐匿自己，针对特定对象长期、有计划性和组织性地窃取数据、长期监控受害者、致瘫目标网络等。

据东巽科技创始人兼CEO李术夫介绍，公司在2010年成立后一直专注于APT攻防对抗的相关产品和服务，但从去年开始才明确感受到APT市场热度。促进市场发展有如下几个原因：

第一个因素是各类APT事件被频繁曝光。根据我国监管单位消息，中国目前是遭受APT攻击较多的国家之一。即便是在新冠疫情期间，也有不少黑客组织通过鱼叉钓鱼等典型APT攻击方法被曝光，攻击者利用疫情信息作诱饵不断尝试窃取我国医疗卫生行业的相关机密。国家基础设施和商业机构的APT事件频频发生，让APT防护产品变得愈发重要。

第二个因素是等保2.0的发布。根据国际和国内网络攻防对抗的发展趋势，等保2.0在1.0的基础之上更重视基于新技术的主动防御和动态防御。具体看来，等保2.0要求应采取技术措施对网络行为、未知的新型网络攻击进行持续检测和分析；针对二级及以上信息系统，新增了应在关键网络节点处监测、防止或限制从内部发起的网络攻击行为等要求；在实际操作层面，等保2.0的测评部分还要求测评对象需具有抗APT攻击、网络回溯等设备。而抗APT攻击的防护产品，能够检测和分析各类绕过传统防御的高级恶意攻击行为，特别是发现0Day漏洞攻击等未知威胁，能够精准监测并掌握内部和外部之间、内部各区域之间的各种攻击行为。

第三个因素是监管层对实际对抗能力的重视。近几年，各层监管机构按照我国网络安全法要求的，开展了一系列涉及国家信息基础设施保障和网络攻击行为发现的专项活动。这些活动对防守方压力非常大，推动了防守方对新技术产品的采用，而APT类产品已经成为防守方必备的刚需产品。

第四是政企事业单位内在安全能力和安全体系上的升级需求。从过去传统的威胁检测和统计类产品，转向新一代威胁检测、溯源分析和响应产品，这个过程是从安全成熟度高的行业（如金融等）逐步推进到成熟度低的行业（如商业企业）。从相关安全上市公司和主流厂商的营收数据看，2019年产品市场规模大概有16亿元，2020年预计市场规模为28亿元，预计未来五年市场增速将保持30%，高于安全市场平均增速。

从攻防发展的角度看，防止APT攻击的方式要么在路径上（即流量端）进行安全防护，要么在抵达目标（即终端）上防护，东巽科技的APT防护产品主要定位在流量端解决问题。目前东巽科技的主打产品为抗APT的流量检测产品：铁穹高级持续性威胁预警系统。产品旁路部署在网络出口处，通过对网络进出流量进行检测，深度发现和分析零日漏洞、远程控制及渗透行为等各类网络攻击和控制行为，可以及时发现网络内部存在的攻击行为和失陷主机情况，并深入分析攻击者的攻击途径、关联关系等，帮助客户进行威胁处置和攻击溯源等工作。

铁穹产品的工作原理

据东巽科技介绍，这款产品是业界唯一集成8种核心技术引擎的产品。在检测入侵植入时可采用文件行为分析技术的虚拟化沙箱、Web攻击监测、启发式文件检测、恶意文件情报库检测的各类引擎，在检测失陷主机时可采用流量行为分析隐蔽信道检测、异常流量行为检测、C&C威胁情报检测、恶意代码流量特征检测，集成了大量机器学习模型、行为分析模型等新型技术来完整覆盖网络杀伤链的各个阶段，并形成了独特的深度分析能力。

在铁穹之外，东巽科技的产品还有全流量溯源系统洞见、文件检测分析系统锐目、大数据安全平台矩阵等：

1）洞见的作用是全流量存储和溯源，其核心功能是全流量留存、检索和下载，以及抽取全流量的元数据来实现流量转日志，流量元数据日志转存投入大数据分析平台后，就可以再通过基于人工智能等技术进行威胁建模或其他业务建模来开展深度分析；

2）锐目可以针对流量中传输的文件、文件服务器上存储的文件、邮件服务器存储的邮件附件等进行基于虚拟化沙箱、机器学习模型分析等检测引擎的深度检测；

3）大数据分析平台—矩阵可以把铁穹、锐目、洞见进行统一管理，针对各种产品中的数据进行深度分析、关联分析、攻击者画像、受害者画像、资产画像分析、场景分析、态势感知等。

目前市面上许多头部网络安全厂商也推出自己的APT防护平台产品，如奇安信的新一代威胁感知系统，可基于网络流量和终端EDR日志，运用威胁情报、规则规则引擎、文件虚拟执行、场景分析等技术，发现网络中针对主机与服务器的已知高级网络攻击和未知的新型网络攻击的入侵行为。同时再利用本地大数据平台对流量日志和终端日志进行存储和查询，结合威胁情报和攻击链分析对事件进行分析、研判和回溯。启明星辰的天阗APT检测系列，可实现未知恶意代码检查、嵌套式攻击检测、木马蠕虫病毒识别、隐秘通道检测等多类型未知漏洞（0-day）利用行为的检测。

谈及客户方如何判别各家产品的效果，李术夫介绍， 此类产品最有效的评判标准就是在实际环境测试、针对性攻击测试或红蓝对抗演练中的表现。 首先看检出能力， 具体而言就是将产品放入客户的网络环境中测试一段时间，就能看出各家产品检测出威胁的数量多少和可检出类型的覆盖。除了看现网部署测试效果，还可以通过有针对性的POC测试和组织红蓝攻防对抗实战演练，对比实际攻击活动的产品真实检出能力。 另外，要求高检出率的同时还要尽量降低误报率。 如果一个产品检出率高，但却在短时间内产生大量错误告警，那么也会影响到技术人员对威胁事件的有效判断。所以一个 合格产品需要做到高检出率和低误报率的平衡。 “如果误报率太高，产品使用就只能靠人进行分析，这就不是一个好的产品。人的服务占比过重，或许正是因为产品能力本身存在不足。”李术夫说。提到具体检出率和误报率的标准，其认为针对各种威胁类型的不同，并不能使用一套标准一概而论。比如远程溢出的0day攻击，各家都没有太有效的手段进行检测；又比如PE文件检测，传统的杀毒软件可能对已知恶意代码能做到99%以上的检出率，但对未知恶意代码检出率就很低。而使用沙箱和人工智能的技术手段，能力较强的公司对未知恶意代码可以做到90%以上检出率，但对已知恶意代码的检测能力可能还不如传统的杀毒软件更有效。

为了提高检测的准确性，东巽科技目前的做法是首先尽量发现更多的威胁，要做到这点首先要了解整个APT攻击的杀伤链（即Kill chain，可表现网络攻击侵入一个组织并偷走数据、实施破坏的全过程）及各阶段攻击技术，再使用恰当的检测技术，把威胁情报、行为分析、机器学习、特征匹配等手段用在合适的检测场景中。其次是针对检测的结果做多重告警线索过滤和确认，常规手段是通过去重、交互状态确认等手段，更高级的方式是通过机器学习来判断确认。第三是通过自动化关联分析，将线索形成证据链，从而提升可信度，减少无效告警，再结合对危害性的判断，输出符合人为决策标准的数据。东巽的产品均为自研，在国内APT厂商中，具备自主研发能力的厂商数量并不算太多，有一部分是通过OEM或ODM方式参与其中，所以产品的自主化也是东巽的优势之一。

李术夫还介绍，APT防护产品并不是只能解决APT攻击问题，也不是没有APT攻击问题就不需要这类产品。抗APT产品只是更加强调它具备发现、分析和处理APT攻击这类更为复杂安全问题的能力，其本身更准确的定位是具备智能化检测和分析技术能力的新一代威胁管理分析类产品。因此目前业内安全领域的研究和咨询机构也将其定位于智能安全领域。这类产品适用范围较为广泛，无论是企事业单位网络的对外服务区、办公网、内部管理信息网、生产网络、隔离内网、内外网隔离区、工业网络三区四区、还是数据中心、云计算中心、大型广域网、城域骨干网络，凡是有网络、有流量的地方都可以应用进行威胁检测和分析。

目前，东巽科技的主要客户群集中在金融、运营商、军工、政府等安全防护要求较高的领域。谈及和大型综合厂商竞争的策略，李术夫介绍东巽会通过广泛建立合作伙伴的方式提升公司品牌力和产品销售能力。在具体实施上，公司会通过提供产品典型应用场景和标杆客户解决方案等手段为合作伙伴赋能，而后者会帮助其销售以及扩大影响力。公司今年的营收目标希望达到近亿元，相比2019年翻倍增长，且公司产品均为自研毛利率很高。团队层面，创始人兼CEO李术夫是连续创业者，拥有20年以上的网络安全从业经验，经历了中国网络安全发展全过程，曾带领团队发布多起APT攻击分析报告。CTO李薛是中国科学基金委员会评议人，网络安全等级保护标准草案评审专家、网络安全攻防领域技术专家。

根据天眼查信息，东巽科技在2015年9月获得1200万元的Pre-A轮融资，投资方如山资本。2017年4月完成A轮4000万元融资，这轮融资由稼沃资本，北京基石投资、如山汇鑫共同出资。2019年10月该公司获得了深信服数千万元A+轮战略融资。目前新一轮融资已开启。