所以大家可以看，基本上这个时期的信息安全是一个被动的应对姿态，有新的安全威胁基本上要过一段时间之后，短则几个月，atv，长则好几年，我们才会推出相应的产品。而且有些产品之间会有一些重叠。比如说IDS和防火墙其实最初开始就有一部分重叠，有一部分原因是因为某些厂商可能觉得，原来那个防火墙的方案不能覆盖所有的攻击情况，所以他要推出一个新的产品，在新的一个网络层次里面做新防御，也就是说他们两个立足于不同的网络层次结构。

这边有个很特别的产品，2005年有个SIEM产品，大概是应对四年之前萨班斯法案一些合规要求推出来的，以往所有的产品比如说WAF或者防火墙，它们面向的用户都是安全运维人员，只有SIEM有一部分面向的对象是属于管理人员，所以我认为它是第一款把安全产品的角色做转向的产品线。2006年，我们可以把它看成是大数据和云计算的元年，当年是亚马逊和AWS、Hadoop是第一次面世，2007年开始Iphone面世，这样我们就进入移动计算时代。

一直到2010年之前，安全防御技术相对来讲都是很固定的，说不好听点就是属于见招拆招，有什么样的攻击出什么样的防御方案，所有的厂商里面都拼产品线的齐全程度。比如说防火墙做防火墙的事情，IDS做IDS，有些厂商只做防火墙，但是更大的厂商，比如Symantec或者McAfee所有的产品线都有，既提供防火墙，也提供IDS，还提供终端杀毒。他会说企业各个环节都有可能成为安全出问题的地方，所以要在各个环节、各个层次里面部署相应的安全产品线，对于小厂商来讲，传统的老三样，或者是老四样——防火墙、IDS、WAF、终端杀毒，对于大企业来讲会买DLP和SIEM。

当然大企业由于资金和人员配比的情况，所以他使用的产品相对来说定制度比较高，功能也会比较齐全，比如说SIEM或者一些更复杂的自己配的IDS，当初很多大企业里面已经有自己的IDS配备人员。除了这些安全技术的应用之外，他其实还有一些涉及到管理和流程方面，比如说当年大家就很重视对员工进行防钓鱼、防点恶意网站这些普及教育，这属于安全教育的基础部分，但是效果怎么样就看企业自己具体的管理能力怎么样了。

2010年——APT之年 防御理念：分析而不是单纯检测、非实时、用户参与

2010年被称为是APT元年，是很有趣的一年。过去我们喊了很多年狼来了，觉得以前常规安全防御手法都是基于特征码的，防火墙里面有规则，然后又各种网络包里面匹配特征码，终端杀毒里面有各种病毒的特征码，行业内的人都觉得这个方法不能持久。一直到2010年接连两起APT的事情爆发之后，大家觉得这个事情彻底不能维持下去了。年初的话是曝了谷歌退出中国相应的APT。中旬曝了一个有更大影响面，对大家来讲更像恶梦般的APT，就是Stuxnet美国和以色列他们通过U盘传播病毒，导致伊朗当时正在做的铀的核心分离机误操作并把相关的设备全部烧毁。一年之前，我们都以为这个事情还比较遥远，这只是大家拍脑袋想的东西，只有2010年这个事情被捅出来之后，大家没想到国家机构里面已经做到了这个程度。

APT持续增长

国家机构已经直接通过U盘这种看起来比较普通的媒介影响到核心的设备，所以这是直接证明，对于比较大的重要的企业来讲，常规所有的防御方法，不管是IDS、IPS还是更传统的终端杀毒软件都完全抵御不了国家级的选手。所以基本上那一年开始，很多厂商，我以前在趋势科技的时候很多厂商已经找到我们聊，说我们以前卖杀毒软件卖这么长时间肯定是不顶用了，有没有其他方案。我们也没有其他方案，那个时候FireEye是唯一一家对外讲拥有防御APT攻击的方案，那年开始他的销售额也是大涨，这家公司大家都觉得很新，他们是属于2004年成立的，直到2010年才开始爆涨。

其实将2010年说成APT元年并不代表是从2010年才开始有APT的，事后大家反查最早的APT可能是2004年开始就有，这个事情一直在水面下，圈子里面只有军方或者比较大的企业才能知道，很多小的杀毒软件厂商都不知道APT的存在。所以这个事情捅出来之后，各家安全厂商，尤其是卡巴斯基，因为他们的研究能力比较强，所以他们就会持续的跟踪各种APT组织和攻击的变化情况。当时这种新闻热点基本上都是各种各样的新的APT，各种攻击，哪儿的数据泄露，导致APT的新闻热点程度持续上涨，业界造成一种恐慌，就觉得常规的病毒没人写了，大家可能都走比较复杂的APT，因为APT的影响面和经济收益都比较大。