《魏書》中用“一箭易折,十箭難斷”警示大家要團結一心，齊心協力,國家就可以穩固。社會發展到今天，合作已經成為主流的文化。在強大利益驅動下,潛伏在網絡下面的黑客充分利用多種合作模式，不論是在單個APT攻擊中的攻擊工具組合，還是黑客組織之間的合作都達到至高的境界，網絡攻擊也從隨機撒網式的攻擊行為發展到以APT高級持續性威脅(Advanced Persistent Threat)攻擊為代表的鏈式組合攻擊行為，給安全帶來巨大的挑戰。

以其人之道還其人之身，在這場攻與防的斗爭，華為構建了“一個中心，三個基本點”的APT立體協作防御體系，悄然扛起了抗擊APT攻擊的大旗。

中心：CIS(Cybersecurity Intelligent System)大數據安全分析為基礎

任何協同合作，眾多的合作方只有與核心方緊密配合，才能達成最后的目標。在華為構筑的APT立體防御體系中，CIS大數據安全分析當之無愧的稱為核心節點。

CIS大數據平臺中，通過在企業不同位置部署探針，如在互聯網出口、分支互聯鏈路、關鍵服務器區等，采集實時流量的元數據信息，元數據包含應用層會話的關鍵信息、各種協議頭部內容，如HTTP頭數據，元數據雖然不包括流量載荷的內容，但是不丟失系統信息，而且便于管理。CIS大數據平臺同時存儲大量的歷史流量元數據信息，從而有效的利用大數據平臺在空間和時間維度的擴容能力，在海量的信息的基礎上，充分利用機器學習的能力，提煉出各種攻擊異常的模型，實現對實時流量的高速檢測，于細微處發現異常，由點連線，由線連面，找到真正的攻擊行為，最后完整的畫出APT攻擊的整個輪廓。CIS通過對APT攻擊的有效分析和判斷，進而快速的將攻擊威脅信息同時上傳到云端安全智能中心，以及下傳到部署在企業各地的安全設備中，從而為有效攔截APT攻擊確定了基石。

CIS作為整個APT 防御的核心，可以快速、準確的對APT攻擊進行檢測與判斷。

基本點一：云端安全智能中心，網聚全球安全力量

在合作的組織中，大家只有通過共享信息，各方步驟才能協調一致，行動才更有效率。同樣在這場防御挑戰全球安全的APT攻擊中，通過分享并利用全球安全廠商的力量，可以更有效的實現對APT攻擊的抗衡。

在華為的APT防御體系中，華為提供基于云端的安全智能系統，該體系一方面通過CIS的檢測可以分享華為在APT檢測上的成果，同時華為的云端安全智能系統也會吸收全球優秀廠商關于APT的檢測信息，為CIS大數據平臺提供更有效的信息，從而更快速有效準確的判斷APT攻擊。在華為云端的安全智能系統中，傳統的安全簽名和信譽數據只是其中很基礎的一部分，例如IP/MD5/DNS等信譽體系，在應對APT攻擊中的作用有限，而更有效的威脅信息，是包括APT攻擊的思路、策略、模式等具有完全針對性的信息，安全智能系統和情境感知、基于攻擊鏈的縱深防御等思想正在形成新一代的防御體系的基石。

基本點二：安全沙箱，搜索APT攻擊中的“隱形殺手”

在APT攻擊中，那些惡意軟件使用各種高級逃逸技術或者利用0day漏洞，來逃脫安全設備的檢測，當之無愧的可以稱之為APT攻擊中的隱形殺手。

在華為APT的防御系統中，沙箱是一個非常重要的角色。各種隱藏在常見的如word、excel、PDF等辦公軟件中的惡意軟件，要想進入企業，第一關便是要經過沙箱的檢測，華為沙箱采用多重的檢測技術，包括靜態分析、動態執行、行為匹配等，從而可以快速有效的識別各種高級惡意軟件。面對通過Web流量中傳播的各種0day惡意軟件眾多廠商束手無策，華為是全球僅有的兩個可以完整檢測的廠家之一，有效的防止漏網之魚，構筑了APT防御的第一道防線。

基本點三：基于情境感知下一代安全，精確的實現多點清除

在大數據平臺和沙箱發現APT攻擊行為并形成該APT攻擊的各種威脅信息后，會將信息下發給部署在企業網絡的安全設備中，由這些設備根據威脅信息完成對APT攻擊點的徹底防御和清除。華為基于情境感知的下一代安全設備，包括NGIPS、NGFW、VNGFW以及各種終端安全設備，從而快速有效的實現對APT各個攻擊點的清除。

華為APT防御系統，為企業構筑的是APT破壞還沒開始，威脅就已經清除的堅實防線。