亚博全站APP登录

网络安全态势感知技术和安天的实践分享

时间: 2017年5月22日 作者:王小丰 来源:安天

一、态势感知的前世今生

我认为需要(yao)澄(cheng)清(qing)一(yi)个(ge)概念(nian),态(tai)(tai)势(shi)(shi)感知(zhi)技(ji)术并不是(shi)网(wang)络(luo)(luo)安(an)全(quan)领(ling)域的(de)(de)一(yi)个(ge)率先(xian)发明(ming)和(he)应用(yong),准确地(di)说,态(tai)(tai)势(shi)(shi)感知(zhi)技(ji)术应该是(shi)从(cong)(cong)航天领(ling)域先(xian)开始的(de)(de),然后扩展(zhan)到(dao)(dao)军事(shi)领(ling)域以(yi)及其他(ta)多个(ge)业(ye)务领(ling)域。整个(ge)态(tai)(tai)势(shi)(shi)感知(zhi)的(de)(de)发展(zhan)也经历了一(yi)个(ge)从(cong)(cong)概念(nian)模(mo)(mo)型到(dao)(dao)理论(lun)模(mo)(mo)型,再到(dao)(dao)系(xi)统模(mo)(mo)型的(de)(de)过(guo)程(cheng)。目前,大(da)家普(pu)遍认为的(de)(de)网(wang)络(luo)(luo)安(an)全(quan)领(ling)域的(de)(de)态(tai)(tai)势(shi)(shi)感知(zhi)是(shi),广泛采集(ji)(ji)和(he)收集(ji)(ji)网(wang)络(luo)(luo)中的(de)(de)安(an)全(quan)状(zhuang)态(tai)(tai)和(he)事(shi)件信(xin)息,并加以(yi)处理、分析和(he)展(zhan)现(xian),从(cong)(cong)而明(ming)确当(dang)前网(wang)络(luo)(luo)的(de)(de)安(an)全(quan)状(zhuang)况,为预警和(he)响应提供决策支持的(de)(de)技(ji)术和(he)应用(yong)系(xi)统。同时,我们(men)也应该看到(dao)(dao),在(zai)网(wang)络(luo)(luo)安(an)全(quan)领(ling)域,态(tai)(tai)势(shi)(shi)感知(zhi)也正处于从(cong)(cong)理论(lun)模(mo)(mo)型到(dao)(dao)系(xi)统模(mo)(mo)型逐渐成熟的(de)(de)阶(jie)段。

对于态势感(gan)知(zhi)(zhi),大家现(xian)在(zai)有不(bu)同方向和不(bu)同侧(ce)重(zhong)的认知(zhi)(zhi),实践效果(guo)也不(bu)相同,后续,我会着重(zhong)分享安天的实践认知(zhi)(zhi)和相应的效果(guo)。

二、关键认知

从认知(zhi)的(de)角度(du)来看,有三(san)点(dian)观(guan)念认知(zhi)需(xu)要澄清:

1.1 态势感知是安全能力叠加式演进的重要手段

安天和360企业安全共同推崇的安全能力演进模型——网络安全滑动标尺模型,其主要包括架构安全、被动防御(包括传统的安全设备、安全应用等)、积极防御、威胁情报和进攻。积极防御的主要核心意义是,与被动安全相比,积极防御更强调人参与到持续的检测和持续的响应中;威胁情报的主要核心意义是,更强调对各种情报信息的汇聚和应用(高阶情报也非常重要)。从应用领域上来看,前四个阶段更适用于机构安全和企业安全,而进攻阶段,可能在国家安全层面上会应用得更多。

1.2全天候、全方位是态势感知的建设目标

建(jian)立任何一个(ge)(ge)系(xi)统或者(zhe)(zhe)模(mo)型,都需要(yao)相(xiang)应的(de)(de)目(mu)标。态(tai)势(shi)感(gan)(gan)知的(de)(de)建(jian)设(she)应用于不(bu)同行业(ye)(ye)和(he)不(bu)同领(ling)域,其也可以分为高(gao)、中、低三个(ge)(ge)档位(wei)。高(gao)位(wei)是国家的(de)(de)态(tai)势(shi)感(gan)(gan)知,中位(wei)是行业(ye)(ye)的(de)(de)态(tai)势(shi)感(gan)(gan)知,低位(wei)是具(ju)体一个(ge)(ge)企业(ye)(ye)或者(zhe)(zhe)机构的(de)(de)态(tai)势(shi)感(gan)(gan)知。但无论是哪个(ge)(ge)行业(ye)(ye)、哪个(ge)(ge)维度或者(zhe)(zhe)哪个(ge)(ge)方向的(de)(de)态(tai)势(shi)感(gan)(gan)知,最终的(de)(de)建(jian)设(she)目(mu)标应该是:

第一,保证全天候。“全天候”更多的是指感知时间的持续性,以及应对各级威胁的可靠性。

第二,保证全方位。“全方位”是指针对被防护资产的全方位和应对各种类型威胁的全方位。

支(zhi)持这种全天(tian)候和(he)全方位的(de)(de)能(neng)力主要依赖于有效的(de)(de)防护能(neng)力和(he)检测能(neng)力。

1.3应对威胁是系统的检验标准

在有(you)(you)了核心需求和(he)目标之后,怎么评判一(yi)(yi)个(ge)态(tai)(tai)势感知是(shi)否是(shi)一(yi)(yi)个(ge)成功的(de)、有(you)(you)效(xiao)的(de)态(tai)(tai)势感知?我认为应对(dui)(dui)威胁的(de)效(xiao)果是(shi)一(yi)(yi)个(ge)最好的(de)校验方(fang)式。以最近的(de)“魔窟(WannaCry)”事(shi)件为例,这次事(shi)件有(you)(you)几(ji)个(ge)比(bi)较幸(xing)运的(de)地方(fang):第一(yi)(yi),该(gai)事(shi)件发生在周五的(de)晚(wan)上八点,这给(ji)各(ge)个(ge)安全(quan)厂(chang)商进行(xing)联合研判和(he)响应一(yi)(yi)个(ge)相对(dui)(dui)充分的(de)时间;第二,对(dui)(dui)于这次事(shi)件,无论是(shi)同行(xing),还是(shi)各(ge)级主(zhu)管部(bu)门(men),都表现得非常给(ji)力(li);第三,发现了灭活域名。无论如何(he),这次事(shi)件已经基本上告(gao)一(yi)(yi)段落,各(ge)个(ge)安全(quan)厂(chang)商和(he)主(zhu)管部(bu)门(men)也都付(fu)出了很多努(nu)力(li),包括先后发布了免疫工具、专杀工具、排查(cha)工具,以及我们为了对(dui)(dui)接内网用(yong)户快速(su)分发专杀工具进行(xing)布防。

但是如(ru)果(guo)我们(men)进(jin)行反思(si),对于已经做了监测(ce)预(yu)警(jing)或态(tai)势感(gan)知(zhi)的(de)(de)系(xi)统而言,其(qi)真正的(de)(de)效果(guo)如(ru)何?之前在朋友(you)(you)圈中有(you)一(yi)个段(duan)(duan)子(zi)(zi)“大(da)家的(de)(de)监控预(yu)警(jing)系(xi)统和(he)态(tai)势感(gan)知(zhi)系(xi)统都监测(ce)感(gan)知(zhi)到(dao)这(zhei)次蠕(ru)虫了吗?有(you)我的(de)(de)朋友(you)(you)圈监测(ce)感(gan)知(zhi)得(de)早吗?”这(zhei)只是一(yi)个段(duan)(duan)子(zi)(zi),这(zhei)么说(shuo)也(ye)有(you)很多不(bu)(bu)(bu)客(ke)观的(de)(de)地方,第一(yi)个不(bu)(bu)(bu)客(ke)观之处(chu)在于,大(da)量的(de)(de)隔(ge)离(li)网超出了很多安全(quan)厂商的(de)(de)感(gan)知(zhi)范围;第二个不(bu)(bu)(bu)客(ke)观之处(chu)在于,态(tai)势感(gan)知(zhi)系(xi)统本身的(de)(de)目的(de)(de)并不(bu)(bu)(bu)是要比(bi)朋友(you)(you)圈感(gan)知(zhi)得(de)早,而是能把朋友(you)(you)圈中的(de)(de)信息当作一(yi)种威胁情(qing)报,进(jin)行利(li)用(yong)。但是以这(zhei)个段(duan)(duan)子(zi)(zi)为开端,它还(hai)是值得(de)我们(men)去(qu)思(si)考(kao)当前态(tai)势感(gan)知(zhi)系(xi)统的(de)(de)建设(she)情(qing)况以及(ji)在后续的(de)(de)实(shi)践和(he)规划过程中的(de)(de)一(yi)些迷(mi)失。这(zhei)其(qi)中包括值得(de)我们(men)讨论的(de)(de)四个方向:

第一,如何把预警和情报做好?“影子经纪人”和维基的相关爆料信息已经有一段时间了,那么我们在这方面是不是已经做好工作了?

第二,基本的资产脆弱性检测有没有恢复到态势感知中?虽然脆弱性信息的范围是可以感知到的,但是还有很大一部分不可修复的脆弱性范围,在一些情况最严重的部门中,打不上补丁的终端数量占据50%。这是由于多种原因造成的,包括与业务系统相冲突、软硬件兼容等问题,即有大量的打不上补丁的情况存在。此外,经过事实校验证明,大量的专有终端的防护是偏弱的。

第三,威胁检测与防护。从本质上来看,本次事件是由网络军火的一次非受控使用以及勒索工具构成的,那么在整个非受控使用中,有没有在脆弱性利用和端点防护中检测出来?后续则是勒索行为的检测。

第四,响应和恢复。从这两个维度可以看到我们所做的一些工作,其中,恢复更多是指在后续怎样进行持续的弥补,怎样进行举一反三。

三、安天的有效态势感知实践

基于上述的(de)几点认知,安天所(suo)理解的(de)态势感知系统包括几点关键理解和(he)基础:

第一个关键点是,从感知上来看,一定是基于态势的需求去设计感知能力,而不是单纯地把现有的安全设备和安全事件汇聚过来就能完成态势的功能。所谓“无感知,不态势”,事实证明,单纯的安全系统和安全设备的汇聚不足以满足态势的需求。

从具体应用上来看,比较强调三个方面:一,可靠的端点侧、流量侧的安全要素感知和检测能力;二,融入多种资产信息;三,融入多种安全数据。

第二个关键点是,如何基于深度分析,实现全局研判?我认为洞察状态是总览态势的基础,什么是洞察状态?是指深度分析;什么是总览态势?是指做到全局研判。在有效检测的基础之上,我们需要对威胁、脆弱性和资产信誉进行深度分析,然后才能形成全局的态势研判。

第三个关键点是,从态势应用和态势呈现的角度来看,态势感知系统必然不是一个“只能看不能摸”的地图炮,必须要做好“三化”,即操作化、流程化、协同化。在操作化和流程化方面,应对各种安全事件和安全状态的变化,无论是响应类还是恢复类的操作,包括告警、阻断、追溯、取证、恢复、加固等操作,是非常重要的;在协同化方面,随着IT资产的复杂化,出现了一个问题就是需要大家去协同。以一个简单的例子为例,任何一个安全事件出现后,或者任何一个终端出现问题后,并不是全部由安全管理人员去负责解决,还需要和资产管理人员等进行联合处理。因此将态势分享出来是非常关键的,我将其称为多维多角色多层级的安全态势可视化呈现。

基于这三个要点,所要做的基础包括:第一,内外部威胁情报的输入;第二,基于威胁认知的安全知识输出。

四、安天的解决方案

基(ji)(ji)于(yu)安(an)(an)(an)天的(de)(de)理(li)解,我们也(ye)做出了(le)一(yi)个(ge)态(tai)(tai)势感知简化的(de)(de)应用框架。从(cong)“无感知、不态(tai)(tai)势”的(de)(de)角度(du)来(lai)看(kan)(kan),在(zai)数据(ju)(ju)源层面,除(chu)了(le)现有的(de)(de)安(an)(an)(an)全(quan)(quan)数据(ju)(ju)和(he)资产数据(ju)(ju)之(zhi)外,我们特别强调主动探(tan)测数据(ju)(ju),包(bao)含(han)(han)了(le)具有强大能(neng)力(li)的(de)(de)网(wang)络探(tan)针(zhen)、端点探(tan)针(zhen),也(ye)包(bao)含(han)(han)了(le)新领域需(xu)要的(de)(de)蜜罐探(tan)针(zhen),甚至包(bao)含(han)(han)了(le)各种离线的(de)(de)调查(cha)处置工具,以(yi)及威(wei)胁(xie)情报(bao)的(de)(de)汇入;从(cong)态(tai)(tai)势感知和(he)理(li)解的(de)(de)角度(du)来(lai)看(kan)(kan),必(bi)须先做好深度(du)的(de)(de)分析(xi),基(ji)(ji)于(yu)深度(du)分析(xi)的(de)(de)基(ji)(ji)础之(zhi)上,形(xing)成各种方向的(de)(de)态(tai)(tai)势,包(bao)含(han)(han)资产态(tai)(tai)势、脆弱性、威(wei)胁(xie)风险,甚至还包(bao)含(han)(han)了(le)业(ye)务(wu)安(an)(an)(an)全(quan)(quan)和(he)内容安(an)(an)(an)全(quan)(quan)态(tai)(tai)势;从(cong)态(tai)(tai)势应用的(de)(de)角度(du)来(lai)看(kan)(kan),关于(yu)态(tai)(tai)势呈现,包(bao)含(han)(han)了(le)安(an)(an)(an)全(quan)(quan)人(ren)(ren)员(yuan)(yuan)、业(ye)务(wu)人(ren)(ren)员(yuan)(yuan)、信息人(ren)(ren)员(yuan)(yuan)、网(wang)络管(guan)理(li)人(ren)(ren)员(yuan)(yuan)、设备管(guan)理(li)人(ren)(ren)员(yuan)(yuan)等。

图 1 态势(shi)感(gan)知(zhi)应用框架简图

五、态势感知实践中的要点

基于这样的一(yi)个应用框架,来分享几(ji)个安天(tian)在态势感知实践中(zhong)的要点:

5.1 可靠的检测与采集

5.1.1 细粒度、全要素的智能检测和采集:采集模式

可靠的检测和安全要素的采集能力。对此,我认为应该至少具备三个标准:一,基础采集,包括能采集场景信息、行为信息(包括端点的和网络的);二,按需采集,能够跳出非黑即白的逻辑,根据业务需要和异常情况进行更多量的采集,这样才能做到对历史的追溯,和对未来的蹲守;三,场景化采集,基于不同的威胁场景,采集不同的安全要素。

5.1.2 细粒度、全要素的安全检测与采集:端点侧

端点侧的(de)探针需要具(ju)备的(de)能(neng)力:

一,基于黑白双控的终端防护。对于专有终端而言,非黑即白的模式并不一定合适。

二,采用基于黑白双控的并结合典型场景的关键信息采集方法。

三,采取主机行为建立档案。

5.1.3 全要素+载荷向量+威胁场景的按需数据采集

流量侧的(de)探针需要具备的(de)能力:

一,具备基于元数据构建三大类信息的能力。包括资产识别和漏洞利用发现、利用元数据构成各种全安全要素(类似五元组),以及基于五元组或者协议解析等去形成部分标签。

二,提取载荷向量。在态势感知和流量检测中仅仅提取出哈希还是远远不够的,以WannaCry事件为例,关于变种业内已是众说纷纭,包括卡巴斯基也先后发布和删除了相关消息。所以要做好检测,只有哈希是不够的,还需要进行载荷向量和信标的提取。

三,按需采集,基于信标条件和应用场景进行按需采集,在应用方面,可能是检测到威胁,也可能是需要我们进一步深入分析某些触发点的检测。

5.2 深度分析和研判

5.2.1 人机结合的深度分析

深度分析的最终校验标准是,能产生内部威胁情报。我们不能仅仅依赖于观点分析,还需要把采集到的哈希和样本放到沙箱中自动运行,或者通过养殖的方式,进一步进行大数据的关联分析,这样就可以找到更多的威胁线索,包括C2、URL等。基于样本可以解析出更多的动态向量和静态向量,以及威胁的装备、资源的标签等。

5.2.2 基于行为向量和标签的人工交互式分析

大多(duo)(duo)数情况下,异常(chang)都是(shi)需要去主(zhu)动发现的(de)(de),我们(men)也做了很多(duo)(duo)方向的(de)(de)探索,包括模型(xing)的(de)(de)探索等,但是(shi)我觉得(de)这些方法永远不(bu)能(neng)替(ti)代(dai)人(ren)工的(de)(de)分析。而人(ren)工分析的(de)(de)最有效方式是(shi)标签(qian)组(zu)合。

5.2.3 基于威胁认知的全局安全态势研判

经过深度分析之后,如何进行威胁研判?即基于威胁认知进行安全态势研判。我们做了两大类主要的应用方式:第一种是威胁研判,第二种是脆弱性研判。

基于我们的理解,威胁主要分为六大类:载荷(主要指功能代码)行为(包括网络行为和主机行为)目标资产、资源(C2等)装备体系(利用脆弱性等)攻击者信息。我们会发现,基于关键性威胁以及我们已知的脆弱性应用,基于威胁的认知,我们能够对所有的威胁和脆弱性进行知识化,基于知识化,我们就可以针对一个已知威胁进行相关关联,从而发现后续的需要应对的威胁。

5.2.4 分析与研判示例

有人说“态势感知的预测比较难做”,但我认为预测也没有那么难做,以一个例子为例:当我们发现恶意代码时,经过深度分析能够发现C2信息,那么在微观上的预测是,监测这个C2的活动;在宏观上的预测是,如果我们监测到这个恶意代码,我们会分析相关的脆弱性利用事件是什么,是不是存在其他的脆弱性利用,是不是同样需要我们去重点防护和加固。这就是我们认为的对态势的两种预测,一种是微观上的预测,另一种是基于深度和认知层面上宏观的预测。

一般的(de)态势(shi)感知情况是,在发现(xian)可疑哈(ha)希值时,通常是对哈(ha)希进行采集(ji),之后(hou)(hou)进行全网追溯。但是经(jing)过(guo)深(shen)度分析和综合研判后(hou)(hou),通过(guo)哈(ha)希能够解析出域名,然后(hou)(hou)根据样本的(de)同源性(xing)分析,在全网进行追溯,找到(dao)其他可能的(de)攻(gong)击目标。

5.3 内外部情报的利用

对(dui)于“朋(peng)(peng)友(you)(you)圈感知得快”的说法,我认为好(hao)的态势感知从来不是要(yao)跑赢朋(peng)(peng)友(you)(you)圈,而是要(yao)用(yong)好(hao)朋(peng)(peng)友(you)(you)圈,朋(peng)(peng)友(you)(you)圈就是其需要(yao)感知的源之一(yi)。那么(me)怎(zen)么(me)用(yong)好(hao)威胁情报:

第一,外部威胁情报(朋友圈就是典型的外部威胁情报)。对于WannnaCry事件,很多安全厂商在年报中也做出过相关的预测,安天在2017年4月14日发布的《2016年网络安全威胁的回顾与展望》[ 安天:《2016年网络安全威胁的回顾与展望》:http://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html]中就提出了一个观点“网络军火的非受控使用和蠕虫结合,有可能会带来蠕虫的回潮”。很不幸,这个预测被言中了。那么这种重要的威胁情报有没有被大家利用并指导相应的行动?如何去指导行动?把情报与资产、脆弱性相关联是一件很难的事情,这也是态势感知所要发挥的作用——必须把情报和资产的脆弱性以及资产评估相关联,然后才能转换为行动

第二,内部威胁情报。内部情报是指把已经发生的攻击行为和异常行为转化为情报,然后进行情报的相关操作,包括追溯、防护等。

实际上,情报的目的不仅仅是为了交换,也是为了指导行动(情报多采用TTP进行描述)。指导的行动包括,采取相应的响应行动及了解受害者的受损信息(受损资产、危害影响等)

5.4 安全可视化

5.4.1 多级多层的多维安全态势可视化

对于态势(shi)(shi)感(gan)知,我还是(shi)强调不(bu)同(tong)(tong)的用户需(xu)要不(bu)同(tong)(tong)的维度。什么(me)是(shi)好(hao)(hao)的态势(shi)(shi)感(gan)知?我认(ren)为最(zui)(zui)好(hao)(hao)的态势(shi)(shi)感(gan)知可能就(jiu)是(shi)“生(sheng)产(chan)线(xian)大同(tong)(tong)”,把销量(liang)增加(jia)了多少(shao)、生(sheng)产(chan)增加(jia)了多少(shao)等(deng)信息分享出(chu)来最(zui)(zui)为关键。

5.4.2 多维多层多角色态势呈现示例

通(tong)过几(ji)个示例可以(yi)看(kan)到,不(bu)仅仅是基于资产的态势,我们还强(qiang)调针对(dui)业(ye)务系统的态势,因为从威胁的复杂程度来看(kan),一个单点的威胁对(dui)于业(ye)务系统有什么(me)影响(xiang)是非常关键(jian)的。

六、安天态势感知实践总结

6.1 核心价值

我(wo)们希望态势(shi)感知所能达(da)到的几(ji)个(ge)核心价(jia)值是(shi):

第一,提升风险发现能力,提升风险响应速度。全局感知各类资产的网络安全状况,分级评估和快速处置资产的网络风险,支持设备联动和调查处置工具。

第二,提升潜在风险的研判能力(研判能力能够指导我们行动),建立威胁的预警能力,通过深度分析和关联分析,建立微观层面的预警能力;利用内外部威胁情报,建立中观层面的预警能力。

第三,提升协同响应能力。多维多层级的安全可视化呈现和交互分析。

第四,为业务运行安全、数据安全等提供数据支撑。独乐乐不如众乐乐,态势感知一定不是管理者独自领导和安全管理人员独占的系统,一定要分享给业务人员和其他相关的分析人员。

6.2 完善和优化防护体系

下图是(shi)我比较推崇(chong)的一(yi)个防护体(ti)系,其(qi)中包(bao)括识别、防护、检(jian)测审(shen)计、响应和恢(hui)复。基于(yu)这样的一(yi)个框架,态势感知(zhi)所能(neng)发(fa)挥的主要作用是(shi):

图 2 防护体(ti)系框(kuang)图

第一,在识别阶段,能够更好地管理资产,解决资产管理等识别体系欠缺的问题;

第二,在检测审计层面上,必须要做好威胁情报的汇入,做好对高阶情报的搜集、分析、使用;

第三,要做好响应和恢复工作;

第四,目前的防护体系主要保障物理安全、系统安全、网络安全、数据安全、业务安全,但是我觉得还需要保障行为安全,态势感知必须要关注行为安全。

七、用潜在风险(情报)检验态势感知系统的有效落地姿势

WannaCry事(shi)件已经过(guo)去了,大(da)家也很关注WannaCry的(de)变种,但是(shi)(shi)我觉得还(hai)是(shi)(shi)需要(yao)举一反三、未(wei)雨绸(chou)缪,还(hai)需要(yao)重视一些其他的(de)风险:

第一,已经有很长一段时间很少出现大规模爆发型的病毒了,这并不是因为网络变得更加安全了,而是因为威胁变得更加隐蔽了。

第二,除了WannaCry以外,还有“影子经济人”爆料的其它NSA装备。在这些安全事件发生之前,我们要做好准备,也希望如果再有安全事件发生时,态势感知系统能够感知到。

第三,对于目前已经曝光的信息,如果用一枚导弹来形容,所曝光的信息相当于是导弹的运载工具,但对于其背后的支撑导弹的预警雷达、数据链等体系我们知之甚少,这也需要我们警醒。

我(wo)们(men)绘制了(le)一张(zhang)《NSA网络军火(huo)装备(bei)的漏洞利用关系(xi)图》,通过这张(zhang)图可以(yi)发现,除(chu)了(le)“永恒之(zhi)(zhi)蓝”以(yi)外(wai),还有其他的NSA工具。我(wo)们(men)应该思(si)考一下,对于我(wo)们(men)已(yi)经服(fu)务(wu)的用户(hu)而言,在解决“永恒之(zhi)(zhi)蓝”之(zhi)(zhi)后,针(zhen)对其他的脆(cui)弱性利用,我(wo)们(men)是否(fou)已(yi)经做(zuo)好了(le)相应的准(zhun)备(bei)?主(zhu)要包括(kuo)情报预(yu)警、预(yu)防(fang)措施、检测防(fang)护(hu)和响应恢复几个方面的准(zhun)备(bei)。

图(tu) 3 2017年4月14日泄露的(de)NSA网络军火装备的(de)漏(lou)洞利用关(guan)系图(tu)

八、结束语

态势感知(zhi)无论应用于(yu)什么(me)领域、什么(me)方(fang)(fang)(fang)向(xiang),还是应该回归到总书记所说的(de)目标上(shang)——“全天候(hou)、全方(fang)(fang)(fang)位(wei)”。要(yao)做到全天候(hou)、全方(fang)(fang)(fang)位(wei)需(xu)要(yao)大量的(de)技(ji)术工作(zuo),需(xu)要(yao)客户(hu)提升自(zi)己的(de)防护(hu)能力,也需(xu)要(yao)各位(wei)同行、各位(wei)甲(jia)方(fang)(fang)(fang)意识到我们当前“重感知(zhi)、轻恢复”的(de)偏颇倾向(xiang)。希望今(jin)后安天能与(yu)各位(wei)有更(geng)多的(de)沟(gou)通和碰撞。谢谢!