51CTO首屆中國APP創(chuàng)新評(píng)選大賽正在招募>>

中國有句古話是“魔高一尺，道高一丈”，看似矛盾沖突的一對(duì)兒，卻在世事無常中共同追求進(jìn)步。安全的世界，也是在這尺丈之間走到了今天。只是自從APT(Advanced Persistent Threat高級(jí)持續(xù)性威脅)這個(gè)魔頭出現(xiàn)以后，眾人期待的“道”卻還無蹤影。打破陳規(guī)，改變思維，尋找新的“道”已經(jīng)成為當(dāng)前安全行業(yè)的一個(gè)主要追求。

在APT攻擊這場(chǎng)斗爭(zhēng)中，攻擊者充分利用了不對(duì)稱原理，有效的打擊了防御者。首先是基礎(chǔ)信息的不對(duì)稱，攻擊者掌握大量被攻擊的信息，而被攻擊者卻對(duì)攻擊者一片茫然，其次是攻防范圍的不對(duì)稱，攻擊只需要一個(gè)點(diǎn)，即可趁虛而入，而被攻擊者需要對(duì)企業(yè)進(jìn)行360度的防御，智者千慮也必有失足的時(shí)候，第三是技術(shù)的不對(duì)稱，目前黑方是產(chǎn)業(yè)鏈貫通，黑市里0day惡意軟件待價(jià)而汩，而被攻擊者還抱著簽名庫各自為戰(zhàn)，另外一個(gè)則是規(guī)則的不對(duì)稱，攻方是沒有底線，各種手段隨心所欲，而守方則需要在法律、合規(guī)范圍里戰(zhàn)戰(zhàn)兢兢的采取措施。

正是不對(duì)稱，企業(yè)被入侵已經(jīng)不可避免，只是時(shí)間早晚問題或者是否有價(jià)值的問題。既然入侵不可避免，那么未來的安全，從傳統(tǒng)的邊界防御體系必然向企業(yè)內(nèi)部進(jìn)行有效檢測(cè)的體系轉(zhuǎn)變，內(nèi)網(wǎng)檢測(cè)成為攻防戰(zhàn)役的主戰(zhàn)場(chǎng)。而隨著大數(shù)據(jù)技術(shù)的發(fā)展，機(jī)器學(xué)習(xí)能力的成熟，這些為內(nèi)部安全檢測(cè)奠定了堅(jiān)實(shí)的技術(shù)基礎(chǔ)。

大數(shù)據(jù)技術(shù)對(duì)安全領(lǐng)域有兩個(gè)重要的影響：在微觀上實(shí)現(xiàn)了威脅的檢測(cè)，尤其是APT攻擊的檢測(cè)，宏觀上則實(shí)現(xiàn)全網(wǎng)的安全態(tài)勢(shì)感知。為了實(shí)現(xiàn)對(duì)APT的檢測(cè)，對(duì)流量的檢測(cè)，不能僅僅是提取五元組或者七元組來檢測(cè)，而是要深入到應(yīng)用層進(jìn)行檢測(cè)，這極大的延伸擴(kuò)展了檢測(cè)范圍，可能對(duì)于一個(gè)WEB會(huì)話，則需要檢測(cè)50+以上的元數(shù)據(jù)信息，更深入才可能更全面。而安全態(tài)勢(shì)感知是反映趨勢(shì)的、是動(dòng)態(tài)的、可預(yù)測(cè)的，所以它需要更多的事件、更多的情報(bào)以及很多很多的歷史數(shù)據(jù)才可以完成的。而大數(shù)據(jù)安全分析解決了大規(guī)模網(wǎng)絡(luò)安全事件的檢測(cè)，提供海量的異常數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析，從中發(fā)現(xiàn)各種異常內(nèi)容和行為，起到全局安全預(yù)警的作用。

對(duì)于APT攻擊的防御，單純的依靠?jī)?nèi)部檢測(cè)，只是實(shí)現(xiàn)了被動(dòng)的防御，要想在攻防對(duì)陣中，改變被動(dòng)挨打的局面，必須要變得更主動(dòng)，更加積極，這種改變需要強(qiáng)大知己知彼能力。“知彼”就是要有效的對(duì)APT 攻擊鏈進(jìn)行識(shí)別，在分析大量攻防基礎(chǔ)數(shù)據(jù)和安全智能基礎(chǔ)上，深度了解攻擊方的各種攻擊鏈、攻擊工具、攻擊手法、攻擊策略等，提取相關(guān)的信息，并結(jié)合大量 “知己”信息，運(yùn)用強(qiáng)大的機(jī)器自學(xué)習(xí)能力，總結(jié)攻擊模型，這種主動(dòng)防御模式，完全突破了以前被動(dòng)挨打的局面，從而有效的扭轉(zhuǎn)攻防失衡的狀態(tài)。

不論采用什么技術(shù)，單純依靠單一的產(chǎn)品實(shí)現(xiàn)對(duì)復(fù)雜的APT攻擊進(jìn)行防御的思路是需要徹底改變，產(chǎn)品和產(chǎn)品之間需要更多的協(xié)協(xié)同，公司和公司之間需要更多的溝通和交流。比如產(chǎn)品和產(chǎn)品之間，通過反饋更多的攻擊信息，同步更多的最新威脅信息，形成一個(gè)整體的檢測(cè)與防御體系，形成一點(diǎn)強(qiáng)，則全網(wǎng)強(qiáng)的自適應(yīng)防御體系，實(shí)現(xiàn)早期檢測(cè)，早期防御。

為應(yīng)對(duì)APT攻擊，在這場(chǎng)攻與防的斗爭(zhēng)中，作為全球領(lǐng)先信息通解決方案提供商，華為構(gòu)建了一個(gè)以防御-檢測(cè)-回溯-態(tài)勢(shì)感知的自適應(yīng)的APT防御體系，這種改變不僅僅是防御能力的改變，更是防御思維的改變，有改變才能有進(jìn)步。如果想深入交流,敬請(qǐng)關(guān)注敏捷網(wǎng)絡(luò)分論壇進(jìn)行的“企業(yè)安全的新模式——華為大數(shù)據(jù)安全方案”主題演講。精彩不容錯(cuò)過，答案就在2016華為中國合作伙伴大會(huì)敏捷網(wǎng)絡(luò)分論壇。