中国有句古话是“魔高一尺,道高一丈”,看似矛盾冲突的一对儿,却在世事无常中共同追求进步。安全的世界,也是在这尺丈之间走到了今天。只是自从APT(Advanced Persistent Threat高级持续性威胁)这个魔头出现以后,众人期待的“道”却还无踪影。打破陈规,改变思维,寻找新的“道”已经成为当前安全行业的一个主要追求。
在APT攻击这场斗争中,攻击者充分利用了不对称原理,有效的打击了防御者。首先是基础信息的不对称,攻击者掌握大量被攻击的信息,而被攻击者却对攻击者一片茫然,其次是攻防范围的不对称,攻击只需要一个点,即可趁虚而入,而被攻击者需要对企业进行360度的防御,智者千虑也必有失足的时候,第三是技术的不对称,目前黑方是产业链贯通,黑市里0day恶意软件待价而汩,而被攻击者还抱着签名库各自为战,另外一个则是规则的不对称,攻方是没有底线,各种手段随心所欲,而守方则需要在法律、合规范围里战战兢兢的采取措施。
正是不对称,企业被入侵已经不可避免,只是时间早晚问题或者是否有价值的问题。既然入侵不可避免,那么未来的安全,从传统的边界防御体系必然向企业内部进行有效检测的体系转变,内网检测成为攻防战役的主战场。而随着大数据技术的发展,机器学习能力的成熟,这些为内部安全检测奠定了坚实的技术基础。
大数据技术对安全领域有两个重要的影响:在微观上实现了威胁的检测,尤其是APT攻击的检测,宏观上则实现全网的安全态势感知。为了实现对APT的检测,对流量的检测,不能仅仅是提取五元组或者七元组来检测,而是要深入到应用层进行检测,这极大的延伸扩展了检测范围,可能对于一个WEB会话,则需要检测50+以上的元数据信息,更深入才可能更全面。而安全态势感知是反映趋势的、是动态的、可预测的,所以它需要更多的事件、更多的情报以及很多很多的历史数据才可以完成的。而大数据安全分析解决了大规模网络安全事件的检测,提供海量的异常数据进行实时关联分析,从中发现各种异常内容和行为,起到全局安全预警的作用。
对于APT攻击的防御,单纯的依靠内部检测,只是实现了被动的防御,要想在攻防对阵中,改变被动挨打的局面,必须要变得更主动,更加积极,这种改变需要强大知己知彼能力。“知彼”就是要有效的对APT 攻击链进行识别,在分析大量攻防基础数据和安全智能基础上,深度了解攻击方的各种攻击链、攻击工具、攻击手法、攻击策略等,提取相关的信息,并结合大量 “知己”信息,运用强大的机器自学习能力,总结攻击模型,这种主动防御模式,完全突破了以前被动挨打的局面,从而有效的扭转攻防失衡的状态。
不论采用什么技术,单纯依靠单一的产品实现对复杂的APT攻击进行防御的思路是需要彻底改变,产品和产品之间需要更多的协协同,公司和公司之间需要更多的沟通和交流。比如产品和产品之间,通过反馈更多的攻击信息,同步更多的最新威胁信息,形成一个整体的检测与防御体系,形成一点强,则全网强的自适应防御体系,实现早期检测,早期防御。
为应对APT攻击,在这场攻与防的斗争中,作为全球领先信息通解决方案提供商,华为构建了一个以防御-检测-回溯-态势感知的自适应的APT防御体系,这种改变不仅仅是防御能力的改变,更是防御思维的改变,有改变才能有进步。如果想深入交流,敬请关注敏捷网络分论坛进行的“企业安全的新模式——华为大数据安全方案”主题演讲。精彩不容错过,答案就在2016华为中国合作伙伴大会敏捷网络分论坛。