中國有句古話(huà)是“魔高一尺,道高一丈”,看似矛盾沖突的一對兒,卻在世事無(wú)常中共同追求進(jìn)步。安全的世界,也是在這尺丈之間走到了今天。只是自從APT這個(gè)魔頭出現以后,眾人期待的“道”卻還無(wú)蹤影。打破陳規,改變思維,尋找新的“道道”已經(jīng)成為當前安全行業(yè)的一個(gè)主要追求。
在A(yíng)PT攻擊這場(chǎng)斗爭中,攻擊者充分利用了不對稱(chēng)原理,有效的打擊了防御者。
首先是基礎信息的不對稱(chēng),攻擊者掌握大量被攻擊的信息,而被攻擊者卻對攻擊者一片茫然。
其次是攻擊只需要一個(gè)點(diǎn),即可趁虛而入,而被攻擊者需要對企業(yè)進(jìn)行360度的防御,智者千慮也必有失足的時(shí)候。
第三是技術(shù)的不對稱(chēng),目前黑方是產(chǎn)業(yè)鏈貫通,黑市里0day惡意軟件待價(jià)而汩,而被攻擊者還抱著(zhù)簽名庫各自為戰。
最后則是規則的不對稱(chēng),攻防是沒(méi)有底線(xiàn),各種手段隨心所欲,而守方則需要在法律、合規范圍里戰戰兢兢的采取措施。
正是不對稱(chēng),企業(yè)被入侵已經(jīng)不可避免,只是時(shí)間早晚問(wèn)題或者是否有價(jià)值的問(wèn)題。既然入侵不可避免,那么未來(lái)的安全,從傳統的邊界防御體系必然向企業(yè)內部進(jìn)行有效檢測的體系轉變,內網(wǎng)檢測成為攻防戰役的主戰場(chǎng)。而隨著(zhù)大數據技術(shù)的發(fā)展,機器學(xué)習能力的成熟,這些為內部安全檢測奠定了堅實(shí)的技術(shù)基礎。
大數據技術(shù)對安全領(lǐng)域有兩個(gè)重要的影響:
在微觀(guān)上實(shí)現了威脅的檢測,尤其是APT攻擊的檢測,宏觀(guān)上則實(shí)現全網(wǎng)的安全態(tài)勢感知。為了實(shí)現對APT的檢測,對流量的檢測,不能僅僅是提取五元組或者七元組來(lái)檢測,而是要深入到應用層進(jìn)行檢測,這極大的延伸擴展了檢測范圍,可能對于一個(gè)WEB會(huì )話(huà),則需要檢測50+以上的元數據信息,更深入才可能更全面。
而安全態(tài)勢感知是反映趨勢的、是動(dòng)態(tài)的、可預測的,所以它需要更多的事件、更多的情報以及很多很多的歷史數據才可以完成的。而大數據安全分析解決了大規模網(wǎng)絡(luò )安全事件的檢測,提供海量的異常數據進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析,從中發(fā)現各種異常內如和行為,起到全局安全預警的作用。
對于A(yíng)PT攻擊的防御,單純的依靠?jì)炔繖z測,只是實(shí)現了被動(dòng)的防御,要想在攻防對陣中,改變被動(dòng)挨打的局面,必須要變得更主動(dòng),更加積極,這種改變需要強大知己知彼能力。
“知彼”就是要有效的對APT攻擊鏈進(jìn)行識別,在分析大量攻防基礎數據和安全智能基礎上,深度了解攻擊方的各種攻擊鏈、攻擊工具、攻擊手法、攻擊策略等,提取相關(guān)的信息,并結合大量“知己”信息,運用強大的機器自學(xué)習能力,總結攻擊模型,這種主動(dòng)防御模式,完全突破了以前被動(dòng)挨打的局面,從而有效的扭轉攻防失衡的狀態(tài)。
不論采用什么技術(shù),單純依靠單一的產(chǎn)品實(shí)現對復雜的APT攻擊進(jìn)行防御的思路是需要徹底改變,產(chǎn)品和產(chǎn)品之間需要更多的協(xié)同,公司和公司之間需要更多的溝通和交流。
比如產(chǎn)品和產(chǎn)品之間,通過(guò)反饋更多的攻擊信息,同步更多的最新威脅信息,形成一個(gè)整體的檢測與防御體系,形成一點(diǎn)強,則全網(wǎng)強的自適應防御體系,實(shí)現早期檢測,早期防御。
為應對APT攻擊,在這場(chǎng)攻與防的斗爭中,作為全球領(lǐng)先信息通解決方案提供商,華為構建了一個(gè)以防御-檢測-回溯-態(tài)勢感知的自適應的APT防御體系,這種改變不僅僅是防御能力的改變,更是防御思維的改變,有改變才能有進(jìn)步。在本次RSA大會(huì )上,華為將向業(yè)界展示在此模型下可交付的兩種APT解決方案,即輕量級APT解決方案和重量級解決方案。
輕量級解決方案主要是解決檢測和防御APT攻擊中所使用的各種惡意軟件、C&C鏈接等。
重量級解決方案則側重于基于A(yíng)PT攻擊鏈進(jìn)行全網(wǎng)檢測,通過(guò)部署全網(wǎng)的各類(lèi)探針,獲取流量元數據,檢測各種異常內容和行為,快速完整的檢測APT攻擊。
輕重量級解決方案的推出,保護各種類(lèi)型的用戶(hù)免于A(yíng)PT攻擊。
