中國有句古話是“魔高一尺,道高一丈”,看似矛盾沖突的一對兒,卻在世事無常中共同追求進(jìn)步。安全的世界,也是在這尺丈之間走到了今天。只是自從APT這個(gè)魔頭出現(xiàn)以后,眾人期待的“道”卻還無蹤影。打破陳規(guī),改變思維,尋找新的“道道”已經(jīng)成為當(dāng)前安全行業(yè)的一個(gè)主要追求。
在APT攻擊這場斗爭中,攻擊者充分利用了不對稱原理,有效的打擊了防御者。
首先是基礎(chǔ)信息的不對稱,攻擊者掌握大量被攻擊的信息,而被攻擊者卻對攻擊者一片茫然。
其次是攻擊只需要一個(gè)點(diǎn),即可趁虛而入,而被攻擊者需要對企業(yè)進(jìn)行360度的防御,智者千慮也必有失足的時(shí)候。
第三是技術(shù)的不對稱,目前黑方是產(chǎn)業(yè)鏈貫通,黑市里0day惡意軟件待價(jià)而汩,而被攻擊者還抱著簽名庫各自為戰(zhàn)。
最后則是規(guī)則的不對稱,攻防是沒有底線,各種手段隨心所欲,而守方則需要在法律、合規(guī)范圍里戰(zhàn)戰(zhàn)兢兢的采取措施。
正是不對稱,企業(yè)被入侵已經(jīng)不可避免,只是時(shí)間早晚問題或者是否有價(jià)值的問題。既然入侵不可避免,那么未來的安全,從傳統(tǒng)的邊界防御體系必然向企業(yè)內(nèi)部進(jìn)行有效檢測的體系轉(zhuǎn)變,內(nèi)網(wǎng)檢測成為攻防戰(zhàn)役的主戰(zhàn)場。而隨著大數(shù)據(jù)技術(shù)的發(fā)展,機(jī)器學(xué)習(xí)能力的成熟,這些為內(nèi)部安全檢測奠定了堅(jiān)實(shí)的技術(shù)基礎(chǔ)。
大數(shù)據(jù)技術(shù)對安全領(lǐng)域有兩個(gè)重要的影響:
在微觀上實(shí)現(xiàn)了威脅的檢測,尤其是APT攻擊的檢測,宏觀上則實(shí)現(xiàn)全網(wǎng)的安全態(tài)勢感知。為了實(shí)現(xiàn)對APT的檢測,對流量的檢測,不能僅僅是提取五元組或者七元組來檢測,而是要深入到應(yīng)用層進(jìn)行檢測,這極大的延伸擴(kuò)展了檢測范圍,可能對于一個(gè)WEB會(huì)話,則需要檢測50+以上的元數(shù)據(jù)信息,更深入才可能更全面。
而安全態(tài)勢感知是反映趨勢的、是動(dòng)態(tài)的、可預(yù)測的,所以它需要更多的事件、更多的情報(bào)以及很多很多的歷史數(shù)據(jù)才可以完成的。而大數(shù)據(jù)安全分析解決了大規(guī)模網(wǎng)絡(luò)安全事件的檢測,提供海量的異常數(shù)據(jù)進(jìn)行實(shí)時(shí)關(guān)聯(lián)分析,從中發(fā)現(xiàn)各種異常內(nèi)如和行為,起到全局安全預(yù)警的作用。
對于APT攻擊的防御,單純的依靠內(nèi)部檢測,只是實(shí)現(xiàn)了被動(dòng)的防御,要想在攻防對陣中,改變被動(dòng)挨打的局面,必須要變得更主動(dòng),更加積極,這種改變需要強(qiáng)大知己知彼能力。
“知彼”就是要有效的對APT攻擊鏈進(jìn)行識別,在分析大量攻防基礎(chǔ)數(shù)據(jù)和安全智能基礎(chǔ)上,深度了解攻擊方的各種攻擊鏈、攻擊工具、攻擊手法、攻擊策略等,提取相關(guān)的信息,并結(jié)合大量“知己”信息,運(yùn)用強(qiáng)大的機(jī)器自學(xué)習(xí)能力,總結(jié)攻擊模型,這種主動(dòng)防御模式,完全突破了以前被動(dòng)挨打的局面,從而有效的扭轉(zhuǎn)攻防失衡的狀態(tài)。
不論采用什么技術(shù),單純依靠單一的產(chǎn)品實(shí)現(xiàn)對復(fù)雜的APT攻擊進(jìn)行防御的思路是需要徹底改變,產(chǎn)品和產(chǎn)品之間需要更多的協(xié)同,公司和公司之間需要更多的溝通和交流。
比如產(chǎn)品和產(chǎn)品之間,通過反饋更多的攻擊信息,同步更多的最新威脅信息,形成一個(gè)整體的檢測與防御體系,形成一點(diǎn)強(qiáng),則全網(wǎng)強(qiáng)的自適應(yīng)防御體系,實(shí)現(xiàn)早期檢測,早期防御。
為應(yīng)對APT攻擊,在這場攻與防的斗爭中,作為全球領(lǐng)先信息通解決方案提供商,華為構(gòu)建了一個(gè)以防御-檢測-回溯-態(tài)勢感知的自適應(yīng)的APT防御體系,這種改變不僅僅是防御能力的改變,更是防御思維的改變,有改變才能有進(jìn)步。在本次RSA大會(huì)上,華為將向業(yè)界展示在此模型下可交付的兩種APT解決方案,即輕量級APT解決方案和重量級解決方案。
輕量級解決方案主要是解決檢測和防御APT攻擊中所使用的各種惡意軟件、C&C鏈接等。
重量級解決方案則側(cè)重于基于APT攻擊鏈進(jìn)行全網(wǎng)檢測,通過部署全網(wǎng)的各類探針,獲取流量元數(shù)據(jù),檢測各種異常內(nèi)容和行為,快速完整的檢測APT攻擊。
輕重量級解決方案的推出,保護(hù)各種類型的用戶免于APT攻擊。
