第一次世界大戰中的凡爾登戰役，二戰時期的斯大林格勒大會戰，這些如雷貫日的戰役都是當時歷史上的轉折戰役，此戰后攻防的平衡由此打破，戰場發生了翻天變化。對于信息安全的歷史，就是在攻與防的螺旋式斗爭中前進，時至今日，在這場戰役中，黑客由于手握APT重器而暫時占優，也由此制造了一個個黑煙四起的黑道世界。

隨著大數據技術的發展和成熟，將這些技術應用到安全領域的大數據安全分析，會成為APT攻防戰役中的轉折點嗎?

企業被“ 入侵”100%不可避免,只是時間早晚的問題

被“入侵”是指黑客通過各種途徑潛伏進入到企業。APT攻擊入侵之所以不可避免，除APT所用的超能武器外，還有重要的外在原因。其一是一種“對手不對稱”的對抗，APT入侵初期只是為了控制一個跳板，因此入侵的攻防實際是一個超級黑客組織和一個安全意識不佳的普通員工之間的對抗，一個稍顯專業的釣魚網站就讓員工淪陷，而傳統的邊界安全設備采用以漏洞為中心的被動防御體系，在防范未知威脅上無能為力，這必然造就對抗的后果是黑方100%能勝利，所以企業被入侵也就是自然而然的事情。另外一個原因是BYOD的普及以及萬物互聯的物聯網(IoE)的發展，企業的終端控制權將逐漸喪失，大量屬于企業和非屬于企業的移動設備隨時隨地的接入網絡，控制權的消失，標志安全控制權的消失，跳板的可選擇性也越來越大。總而言之，企業被入侵，那是板上釘釘的事情，只不過是有的企業發現了，有的企業還蒙在鼓里自娛自樂的YY著自己的安全。

既然入侵依然遲早不可避免，那么入侵后的內網攻防則必定會成為攻防戰役的主戰場。

APT“入侵”到“破壞”還有很長時間窗

如果將數據外發或者造成企業系統不可用看做是APT攻擊的破壞結果，那么對于APT攻擊而言，從入侵到破壞還有很長的路要黑。入侵僅僅只是大幕開啟，跳板只是跳板，為了達到攻擊的目標，APT攻擊鏈的大部分活動都是在企業的網絡內部完成，包括跳板的控制，企業內部橫向滲透，重要資產數據的控制和轉移，數據外發、攻擊痕跡的擦除等，其中從入侵跳板到數據外發之間的過程，就是入侵到破壞之間的時間窗，在這個時間窗中，APT有大量的內部活動，以及外部互聯的活動，在這個時間窗里的檢測與反檢測才是APT攻防最核心的斗智斗勇。

APT攻擊在內網的活動都被隱藏在內網正常的行為中，要想從中找出蛛絲馬跡遠非尋常方法可以達到。網絡從千兆邁向萬兆，需要分析的數據急劇上升，網絡速度越來越快，也意味找包處理和轉發速度越來越快，網絡中的事件發送速率也隨之激增。同時，為了增強檢測的準確性和快速性，除對網絡傳輸的各種數據包進行檢測外，還需要收集網絡內部的信息，以及外部的信息，也就是所謂的擴大情景感知的范圍以及增加威脅情報的分析，所以這些要求，都極大的增加了在這個時間窗中有效檢測的難度，傳統的各種分析工具如SIEM都是這場戰役的戰敗者。

華為大數據安全分析，APT攻防戰役中的轉折點

時勢造英雄，隨大數據技術的發展，包括數據從采集、存儲到分析處理技術的成熟，機器自學習和人工智能的發展，大數據分析平臺可以從海量的數據中找到APT攻擊的蛛絲馬跡。

華為CIS安全分析平臺，采用大數據基礎平臺，充分利用了大數據在面對海量信息的高效處理的能力，如Hadoop分布式數據庫、實時流處理技術、spark等最新的技術，依托機器學習的智能，使得海量流量的挖掘和處理成為現實。CIS從時間和空間兩個維度上擴大了流量收集范圍，通過采集全網的流量、日志、文件等數據，尤其是關鍵路徑的流量，以及終端的各種流量等，這些實時和離線的流量形成檢測APT攻擊的數據基礎。在CIS大數據平臺中，內置有豐富的異常檢測模型，如web異常、DNS異常等等，這些模型可以對APT攻擊鏈中的350+以上的異常行為進行檢測。通過這些異常模型，可以從海量的流量中有效的檢測非常輕微異常行為，而這些輕微的異常行為很大可能是APT攻擊在某個環節的具體表現，正是由于可以檢測出大量極易被忽視的這些輕微異常，CIS大數據安全分析實現了大海撈針，從蛛絲馬跡中抽絲剝繭，這些細微異常線索通過多維度威脅關聯分析，從而有效的將眾多雜亂無章的異常有機的串聯在一起，以點帶線，以線成面，形成了具體的APT攻擊鏈模，勾畫出完整的攻擊鏈，沿攻擊鏈進行多維度的分析，最后準確定位APT高級攻擊，真正實現了從漏洞為中心的傳統安全體系發展到以威脅為中心，以攻擊鏈為線索，依靠數據驅動的APT檢測與攔截安全體系，為APT防護開創了新的局面，幫助企業有效的實現對APT威脅的管理，讓企業成為APT攻防戰役中的勝利者。