中国有句古话是“魔高一尺,道高一丈”,看似矛盾冲突的一对儿,却在世事无常中共同追求进步。安全的世界,也是在这尺丈之间走到了今天。只是自从APT这个魔头出现以后,众人期待的“道”却还无踪影。打破陈规,改变思维,寻找新的“道道”已经成为当前安全行业的一个主要追求。
在APT攻击这场斗争中,攻击者充分利用了不对称原理,有效的打击了防御者。
首先是基础信息的不对称,攻击者掌握大量被攻击的信息,而被攻击者却对攻击者一片茫然。
其次是攻击只需要一个点,即可趁虚而入,而被攻击者需要对企业进行360度的防御,智者千虑也必有失足的时候。
第三是技术的不对称,目前黑方是产业链贯通,黑市里0day恶意软件待价而汩,而被攻击者还抱着签名库各自为战。
最后则是规则的不对称,攻防是没有底线,各种手段随心所欲,而守方则需要在法律、合规范围里战战兢兢的采取措施。
正是不对称,企业被入侵已经不可避免,只是时间早晚问题或者是否有价值的问题。既然入侵不可避免,那么未来的安全,从传统的边界防御体系必然向企业内部进行有效检测的体系转变,内网检测成为攻防战役的主战场。而随着大数据技术的发展,机器学习能力的成熟,这些为内部安全检测奠定了坚实的技术基础。
大数据技术对安全领域有两个重要的影响:
在微观上实现了威胁的检测,尤其是APT攻击的检测,宏观上则实现全网的安全态势感知。为了实现对APT的检测,对流量的检测,不能仅仅是提取五元组或者七元组来检测,而是要深入到应用层进行检测,这极大的延伸扩展了检测范围,可能对于一个WEB会话,则需要检测50+以上的元数据信息,更深入才可能更全面。
而安全态势感知是反映趋势的、是动态的、可预测的,所以它需要更多的事件、更多的情报以及很多很多的历史数据才可以完成的。而大数据安全分析解决了大规模网络安全事件的检测,提供海量的异常数据进行实时关联分析,从中发现各种异常内如和行为,起到全局安全预警的作用。
对于APT攻击的防御,单纯的依靠内部检测,只是实现了被动的防御,要想在攻防对阵中,改变被动挨打的局面,必须要变得更主动,更加积极,这种改变需要强大知己知彼能力。
“知彼”就是要有效的对APT攻击链进行识别,在分析大量攻防基础数据和安全智能基础上,深度了解攻击方的各种攻击链、攻击工具、攻击手法、攻击策略等,提取相关的信息,并结合大量“知己”信息,运用强大的机器自学习能力,总结攻击模型,这种主动防御模式,完全突破了以前被动挨打的局面,从而有效的扭转攻防失衡的状态。
不论采用什么技术,单纯依靠单一的产品实现对复杂的APT攻击进行防御的思路是需要彻底改变,产品和产品之间需要更多的协同,公司和公司之间需要更多的沟通和交流。
比如产品和产品之间,通过反馈更多的攻击信息,同步更多的最新威胁信息,形成一个整体的检测与防御体系,形成一点强,则全网强的自适应防御体系,实现早期检测,早期防御。
为应对APT攻击,在这场攻与防的斗争中,作为全球领先信息通解决方案提供商,华为构建了一个以防御-检测-回溯-态势感知的自适应的APT防御体系,这种改变不仅仅是防御能力的改变,更是防御思维的改变,有改变才能有进步。在本次RSA大会上,华为将向业界展示在此模型下可交付的两种APT解决方案,即轻量级APT解决方案和重量级解决方案。
轻量级解决方案主要是解决检测和防御APT攻击中所使用的各种恶意软件、C&C链接等。
重量级解决方案则侧重于基于APT攻击链进行全网检测,通过部署全网的各类探针,获取流量元数据,检测各种异常内容和行为,快速完整的检测APT攻击。
轻重量级解决方案的推出,保护各种类型的用户免于APT攻击。
