中國有句古話是“魔高一尺，道高一丈”，看似矛盾沖突的一對兒，卻在世事無常中共同追求進步。安全的世界，也是在這尺丈之間走到了今天。只是自從APT(Advanced Persistent Threat高級持續(xù)性威脅)這個魔頭出現(xiàn)以后，眾人期待的“道”卻還無蹤影。打破陳規(guī)，改變思維，尋找新的“道”已經(jīng)成為當前安全行業(yè)的一個主要追求。

在APT攻擊這場斗爭中，攻擊者充分利用了不對稱原理，有效的打擊了防御者。首先是基礎(chǔ)信息的不對稱，攻擊者掌握大量被攻擊的信息，而被攻擊者卻對攻擊者一片茫然，其次是攻防范圍的不對稱，攻擊只需要一個點，即可趁虛而入，而被攻擊者需要對企業(yè)進行360度的防御，智者千慮也必有失足的時候，第三是技術(shù)的不對稱，目前黑方是產(chǎn)業(yè)鏈貫通，黑市里0day惡意軟件待價而汩，而被攻擊者還抱著簽名庫各自為戰(zhàn)，另外一個則是規(guī)則的不對稱，攻方是沒有底線，各種手段隨心所欲，而守方則需要在法律、合規(guī)范圍里戰(zhàn)戰(zhàn)兢兢的采取措施。

正是不對稱，企業(yè)被入侵已經(jīng)不可避免，只是時間早晚問題或者是否有價值的問題。既然入侵不可避免，那么未來的安全，從傳統(tǒng)的邊界防御體系必然向企業(yè)內(nèi)部進行有效檢測的體系轉(zhuǎn)變，內(nèi)網(wǎng)檢測成為攻防戰(zhàn)役的主戰(zhàn)場。而隨著大數(shù)據(jù)技術(shù)的發(fā)展，機器學習能力的成熟，這些為內(nèi)部安全檢測奠定了堅實的技術(shù)基礎(chǔ)。

大數(shù)據(jù)技術(shù)對安全領(lǐng)域有兩個重要的影響：在微觀上實現(xiàn)了威脅的檢測，尤其是APT攻擊的檢測，宏觀上則實現(xiàn)全網(wǎng)的安全態(tài)勢感知。為了實現(xiàn)對APT的檢測，對流量的檢測，不能僅僅是提取五元組或者七元組來檢測，而是要深入到應(yīng)用層進行檢測，這極大的延伸擴展了檢測范圍，可能對于一個WEB會話，則需要檢測50+以上的元數(shù)據(jù)信息，更深入才可能更全面。而安全態(tài)勢感知是反映趨勢的、是動態(tài)的、可預測的，所以它需要更多的事件、更多的情報以及很多很多的歷史數(shù)據(jù)才可以完成的。而大數(shù)據(jù)安全分析解決了大規(guī)模網(wǎng)絡(luò)安全事件的檢測，提供海量的異常數(shù)據(jù)進行實時關(guān)聯(lián)分析，從中發(fā)現(xiàn)各種異常內(nèi)容和行為，起到全局安全預警的作用。

對于APT攻擊的防御，單純的依靠內(nèi)部檢測，只是實現(xiàn)了被動的防御，要想在攻防對陣中，改變被動挨打的局面，必須要變得更主動，更加積極，這種改變需要強大知己知彼能力。“知彼”就是要有效的對APT 攻擊鏈進行識別，在分析大量攻防基礎(chǔ)數(shù)據(jù)和安全智能基礎(chǔ)上，深度了解攻擊方的各種攻擊鏈、攻擊工具、攻擊手法、攻擊策略等，提取相關(guān)的信息，并結(jié)合大量 “知己”信息，運用強大的機器自學習能力，總結(jié)攻擊模型，這種主動防御模式，完全突破了以前被動挨打的局面，從而有效的扭轉(zhuǎn)攻防失衡的狀態(tài)。

不論采用什么技術(shù)，單純依靠單一的產(chǎn)品實現(xiàn)對復雜的APT攻擊進行防御的思路是需要徹底改變，產(chǎn)品和產(chǎn)品之間需要更多的協(xié)協(xié)同，公司和公司之間需要更多的溝通和交流。比如產(chǎn)品和產(chǎn)品之間，通過反饋更多的攻擊信息，同步更多的最新威脅信息，形成一個整體的檢測與防御體系，形成一點強，則全網(wǎng)強的自適應(yīng)防御體系，實現(xiàn)早期檢測，早期防御。

為應(yīng)對APT攻擊，在這場攻與防的斗爭中，作為全球領(lǐng)先信息通解決方案提供商，華為構(gòu)建了一個以防御-檢測-回溯-態(tài)勢感知的自適應(yīng)的APT防御體系，這種改變不僅僅是防御能力的改變，更是防御思維的改變，有改變才能有進步。如果想深入交流,敬請關(guān)注敏捷網(wǎng)絡(luò)分論壇進行的“企業(yè)安全的新模式——華為大數(shù)據(jù)安全方案”主題演講。精彩不容錯過，答案就在2016華為中國合作伙伴大會敏捷網(wǎng)絡(luò)分論壇。