crowd

背景：

过去两年安全领域里，APT攻击成为热门话题，因此而产生的新型公司如雨后春笋。今天我们介绍一个号称改变APT防御游戏规则的新型安全公司CrowdStrike。本文由FREEBUF.COM作者cs24原创，转载请注明出处。

先行打击：

扁鹊古语有云，标本兼治。医生看病既要止症状也要治根病因才方为上医者。而在安全领域也一样，当前我们大多数的防御都是基于“症状”的，发现了病毒就那杀毒软件杀，发现了鱼叉式钓鱼攻击就用邮件安全防御系统防。而面对日益猖獗的APT攻击，攻击者有针对的、持续的、长期的针对企业进行攻击。这可谓“不怕贼偷就怕贼惦记”。只要攻击者把你盯上了，偌大的企业总有一个薄弱的环节、薄弱的时候，于是攻击者就得以成功入侵了.

而今天要介绍的一个公司，他提出一个理念叫“offensive strike”，用他自己的话说就叫“Active Defense”（主动防御），聚焦于提高对手的攻击成本，使防御者在战略层面上处于优势地位。就好像功夫片里面常说的进攻是最好的防御。

公司背景：
讲了这么多，究竟这是个什么公司呢，这个公司就是CROWDSTRIKE。这个新兴的安全公司最早在2012年初的时候在安全领域里冒出来，可谓巨星林立。总部位于美国旧金山，最初公司由首席执行官George Kurtz和首席技术官Dmitri Alperovitch共同创立。公司成立之初，就在2012年的RSA美国大会上亮相，成立之初就获得2600万美元的首轮投资，一开始就致力于APT攻击防范，并声称将成为游戏规则的改变者。下面看看都有哪几位巨星：
首席执行官CEO——George Kurtz，前身为著名商业漏洞扫描器Foundstone的CEO，McAfee的CTO，同时也是《黑客大曝光》的作者之一。漏洞评估公司Foundstone就是他成立的，后来被McAfee收购。

首席技术官CTO——Dmitri Alperovitch，前身McAfee的威胁研究副总裁。在McAfee时，著名的暗鼠行动Operation Shady RAT报告就是他主导的。

首席风险师及高级法律事务副总裁——Steven Chabinsky，前身是FBI的顶级网络事务律师FBI’s Top Cyber Lawyer。在FBI有17年的工作经验。

董事会主席——Gerhard Watzinger，前身同样来自McAfee，是McAfee的首席战略官CSO及执行副总裁。

另见《新型安全公司CrowdStrike获3000万美元融资》

当今很多企业的安全专家以及安全厂商都是用一个思维模式，花费大量的精力聚焦于从技术上分析恶意软件和安全事件。但是有没有花一点点的时间问过这样一个问题——攻击者到底是谁？为什么会以我们为目标？结果就是企业建立起稍微有点效果的防御体系以阻止“症状式”的攻击。但是攻击者一直处于相对安全的环境，不太可能会被识别，甚至不太可能会受到任何影响他们的追究行为。
而今天，经历了18个月的等待，CrowdStrike公司终于推出了名为“Falcon”的实体产品，第一次有机会真正看看他那个Active Defense的概念，落实到真正的产品，到底实际上的是怎么做到的。

Falcon系统：

Falcon系统是该公司的一个新平台，用以识别和应对的针对性攻击来源，是实现Active Defense理念的产品，也就是说他不单只识别恶意软件，更会识别攻击者的来源，并采取措施使得攻击者不好过。用该公司的原话叫“make the attacker’s life more difficult”，CrowdStrike公司并没有用反攻或者黑回去等字眼，也许如果这样说可能会导致使用他们产品的企业带来法律上的问题。所以CrowdStrike始终坚持他们的防御是在合法范围内挫败攻击者。

简单的说，Falcon系统是一个大数据的“云服务”，Falcon系统从部署了sensors的网络内实时收集情报以及安全事件。这些Sensors其实就是一个个应用代理安装到各个客户端电脑和设备中。从这些传感器（sensors）收集其大量的事件数据，并进行存储和分析。以此CrowdStrike形成一个巨大的情报库。并且不断对数据进行挖掘以及高级分析，以揭示可能逃避了当前防病毒软件和安全防御产品/服务漏过的威胁情报。

具体到这个Falcon平台，可分为两个应用。一个是CrowdStruts威胁保护，一个是CrowdStruts攻击情报。CrowdStruts威胁保护就是上面提到的sensors，它不像传统的的产品之关注与恶意软件本身，它还可以用于识别攻击者的攻击操作方式，创建攻击侧写，以对已知的攻击和攻击者进行匹配。CrowdStruts威胁保护对攻击者进行识别，这个任务是利用Kill Chain模型来完成来进行的。实时检测的功能，则是靠聚焦攻击者正在做什么来实现。例如看看攻击者处于kill Chain的侦测环节？漏洞利用环节？权限提升环节？横向扩大环节？还是已经到了数据外泄环节。同时会使用CrowdStrike的Activity Flight Recorder（AFR）技术，记录这些攻击活动，以备在后面回溯攻击的时候分析。

而另一个CrowdStrike攻击情报则是一个基于web的情报订阅服务。它提供战略分析以及攻击攻击者活动的定制化视图。根据CrowdStrike称，可以对特定的攻击者的攻击系列行动提供粒度非常细的视图。凭借这些数据可以主动的前摄性的应对未来的攻击。未来，CrowdStrike还计划要结构化这些事件数据，以便于实现共享，使得企业能够在新的攻击中对攻击信息互通有无，从而可以更快速的对攻击做出响应。

Active Defense理念：
CrowdStrike的主动防御，强调企业在应对恶意软件上应该有更多的考虑，不仅仅停留在“what”层面，不仅仅停留什么恶意软件感染了系统。同时还考虑“who”，“why”。谁，这个攻击背后的个人或者组织是谁？为什么，为什么这个攻击者特定的针对这个目标。他们之后将会干什么。弄清楚who ，what，why三个因素之间的关系，企业才能更好的在基于风险上做出决定。而不是在完全没有上下文，没有背景的情况下，去考虑是否需要关心在网络中出现的一般木马事件。

Active Defense不是“hack back”，不是报复。而是关注于以下四个方面：

1、实时检测：实时检测攻击者对系统、网络的入侵攻击。侧重于辨别出他们独特的间谍技术和基本的任务目标。而不是容易变化的攻陷迹象。

2、属性化威胁攻击者：所谓属性化攻击者是为了理解、熟悉攻击者的身份特征，意图、任务目标。包括入侵者自己或者给他任务的人去窃取或者接受盗回来的信息资产（派任务的人）。

3、灵活的响应动作：灵活的响应动作包括传统的被动防御操作，例如拦截、警告。还包括利用欺骗、牵制、阻碍攻击者资源，创建令人疑惑的、混乱迷惑的资源，以此来拒绝攻击者从他们的攻击行动中获得好处。以此进一步提供攻击的攻击成本，赋予防守者收集攻击者间谍技术的更多信息，同时防止伤害到自身的网络。

4、情报传播：情报传播可促进纠正、调整防御中的不足，它包括实时的信息共享，以阻止攻击者对广泛受害者使用他们的间谍技术（不单指的某个特定的工具）。同时情报传播还使得企业可以与行业里其他合作伙伴、政府机构一起联合行动，使用民事诉讼、刑事贸易制裁、犯罪诉讼等来对付攻击者。

最后，不知道何时国内有同类型的公司呢！？