遇上APT魔头怎么办? 答案就在华为敏捷网络分论坛
2016-03-16 17:12:00   来源：来源：51CTO.com   评论：0 点击：

51CTO首届中国APP创新评选大赛正在招募>>

中国有句古话是“魔高一尺，道高一丈”，看似矛盾冲突的一对儿，却在世事无常中共同追求进步。安全的世界，也是在这尺丈之间走到了今天。只是自从APT(Advanced Persistent Threat高级持续性威胁)这个魔头出现以后，众人期待的“道”却还无踪影。打破陈规，改变思维，寻找新的“道”已经成为当前安全行业的一个主要追求。

在APT攻击这场斗争中，攻击者充分利用了不对称原理，有效的打击了防御者。首先是基础信息的不对称，攻击者掌握大量被攻击的信息，而被攻击者却对攻击者一片茫然，其次是攻防范围的不对称，攻击只需要一个点，即可趁虚而入，而被攻击者需要对企业进行360度的防御，智者千虑也必有失足的时候，第三是技术的不对称，目前黑方是产业链贯通，黑市里0day恶意软件待价而汩，而被攻击者还抱着签名库各自为战，另外一个则是规则的不对称，攻方是没有底线，各种手段随心所欲，而守方则需要在法律、合规范围里战战兢兢的采取措施。

正是不对称，企业被入侵已经不可避免，只是时间早晚问题或者是否有价值的问题。既然入侵不可避免，那么未来的安全，从传统的边界防御体系必然向企业内部进行有效检测的体系转变，内网检测成为攻防战役的主战场。而随着大数据技术的发展，机器学习能力的成熟，这些为内部安全检测奠定了坚实的技术基础。

大数据技术对安全领域有两个重要的影响：在微观上实现了威胁的检测，尤其是APT攻击的检测，宏观上则实现全网的安全态势感知。为了实现对APT的检测，对流量的检测，不能仅仅是提取五元组或者七元组来检测，而是要深入到应用层进行检测，这极大的延伸扩展了检测范围，可能对于一个WEB会话，则需要检测50+以上的元数据信息，更深入才可能更全面。而安全态势感知是反映趋势的、是动态的、可预测的，所以它需要更多的事件、更多的情报以及很多很多的历史数据才可以完成的。而大数据安全分析解决了大规模网络安全事件的检测，提供海量的异常数据进行实时关联分析，从中发现各种异常内容和行为，起到全局安全预警的作用。

对于APT攻击的防御，单纯的依靠内部检测，只是实现了被动的防御，要想在攻防对阵中，改变被动挨打的局面，必须要变得更主动，更加积极，这种改变需要强大知己知彼能力。“知彼”就是要有效的对APT 攻击链进行识别，在分析大量攻防基础数据和安全智能基础上，深度了解攻击方的各种攻击链、攻击工具、攻击手法、攻击策略等，提取相关的信息，并结合大量 “知己”信息，运用强大的机器自学习能力，总结攻击模型，这种主动防御模式，完全突破了以前被动挨打的局面，从而有效的扭转攻防失衡的状态。

不论采用什么技术，单纯依靠单一的产品实现对复杂的APT攻击进行防御的思路是需要彻底改变，产品和产品之间需要更多的协协同，公司和公司之间需要更多的沟通和交流。比如产品和产品之间，通过反馈更多的攻击信息，同步更多的最新威胁信息，形成一个整体的检测与防御体系，形成一点强，则全网强的自适应防御体系，实现早期检测，早期防御。

为应对APT攻击，在这场攻与防的斗争中，作为全球领先信息通解决方案提供商，华为构建了一个以防御-检测-回溯-态势感知的自适应的APT防御体系，这种改变不仅仅是防御能力的改变，更是防御思维的改变，有改变才能有进步。如果想深入交流,敬请关注敏捷网络分论坛进行的“企业安全的新模式——华为大数据安全方案”主题演讲。精彩不容错过，答案就在2016华为中国合作伙伴大会敏捷网络分论坛。