金融是我国数字化转型较早的行业之一，证券作为金融的细分领域，既需要做好上云后的合规工作，又面临着来自云端的多种新型高级威胁。某券商依托亚马逊云科技构建了规模庞大的主机集群，但上云后，攻击敞口和攻击事件比之前有明显增加，甚至发现了以APT为代表的高级威胁，该券商又该如何应对？

云端安全的痛点与现实

随着该券商的业务上云，数据存储和应用程序全面转移到云端，攻击者也开始将目光投向云端，寻找突破口以获取机密信息或者对云端业务造成破坏。另外，云端业务的复杂性也增加了安全风险。因此，为了保障云端业务的安全，需要采取一系列的安全措施。

但对于业务上云的企业来说，安全部门人员工作普遍比较难开展。目前主要手段有两种：第一是依赖云厂商安全产品进行安全运营，但效果并不理想；第二是收集已有的云上安全设备日志进行关联分析，但这种方式对人员能力要求较高，而且误报比较多，难以进行后续的安全运营。

难道没有更直接的安全运营手段吗？最直接的方式是通过旁路检测和分析流量以发现威胁，但这并不是所有公有云厂商都支持的手段，因为在公有云上难以将流量镜像出来，除非公有云厂商向租户开放这一能力，否则大多数企业对云上业务的安全也只能望洋兴叹。

坏消息是目前在国内开放流量镜像的公有云厂商非常少，而好消息是其中之一正是该券商选择的云厂商——亚马逊云科技。

亚马逊云科技+微步TDP，强强联手一站式解决云安全问题

亚马逊云科技的Traffic mirroring能力允许客户在本地复制其网络流量，无需在 EC2 实例上安装和运行数据包转发代理，同时还兼顾了轻量化、安全性和易用性。这意味着，该券商可以简单、高效地通过亚马逊云科技的Traffic mirroring能力将入站方向上的Nginx/WAF实例的ENI网卡流量镜像给流量检测设备，进行进一步分析。

在流量检测设备选型上，该券商选择了微步威胁感知平台TDP。微步TDP是国内首个入选亚马逊云科技中国区Market Place的NDR产品，基于微步强大的威胁情报能力，微步TDP可对网络流量进行全面检测，可在第一时间精准发现APT等攻击行为，并利用安装在主机上轻量级Agent快速定位失陷主机及进程，辅助安全管理员及时、高效地威胁处置。

为什么是微步TDP？

除去和亚马逊云科技协同顺畅的优点，应对APT等网络高级威胁的能力，也是该券商最终选择微步TDP的重要原因。

• 高质量的威胁情报：TDP内置了百万级C2类情报、42亿信誉情报，以及最新的0day漏洞情报等，可快速发现威胁、自动归因；

• 覆盖全面的检测引擎：内置包括Webshell检测引擎、APT检测引擎、富文本检测引擎、测绘引擎、流量攻击检测引擎、钓鱼检测引擎等多种微步自研引擎，可精准检出威胁，告警误报率低至0.03%；

• 企业级服务支持：微步独有客户成功服务，7*24小时人工支撑，5分钟响应，帮助企业快速应急响应；同时提供实时在线咨询、定期产品巡检等MDR服务。

借助TDP的威胁感知能力，该券商安全部门可快速发现网络中的APT攻击行为，将损失降低到最小范围；并在短期内的ROI达到了4000%。通过与该券商的合作，微步TDP在云端的威胁感知能力再一次得到验证，TDP具备风险发现、攻击面收敛、检测响应、定位处置等功能，检测能力比肩本地版，效率远超本地版，可帮助业务上云的企业快速拥有一体化安全闭环能力，为构建基于云的网络安全防护体系提供了新选择。

某券商平台运营部运营总监表示，”微步TDP解决了通过流量引发的攻击、威胁、资产风险等安全问题，在告警准确的前提下，有效降低我们的安全运营成本，显著提升安全运营效果“。