第一次世界大戰(zhàn)中的凡爾登戰(zhàn)役，二戰(zhàn)時(shí)期的斯大林格勒大會(huì)戰(zhàn)，這些如雷貫日的戰(zhàn)役都是當(dāng)時(shí)歷史上的轉(zhuǎn)折戰(zhàn)役，此戰(zhàn)后攻防的平衡由此打破，戰(zhàn)場發(fā)生了翻天變化。對(duì)于信息安全的歷史，就是在攻與防的螺旋式斗爭中前進(jìn)，時(shí)至今日，在這場戰(zhàn)役中，黑客由于手握APT重器而暫時(shí)占優(yōu)，也由此制造了一個(gè)個(gè)黑煙四起的黑道世界。

隨著大數(shù)據(jù)技術(shù)的發(fā)展和成熟，將這些技術(shù)應(yīng)用到安全領(lǐng)域的大數(shù)據(jù)安全分析，會(huì)成為APT攻防戰(zhàn)役中的轉(zhuǎn)折點(diǎn)嗎?

企業(yè)被“ 入侵”100%不可避免,只是時(shí)間早晚的問題

被“入侵”是指黑客通過各種途徑潛伏進(jìn)入到企業(yè)。APT攻擊入侵之所以不可避免，除APT所用的超能武器外，還有重要的外在原因。其一是一種“對(duì)手不對(duì)稱”的對(duì)抗，APT入侵初期只是為了控制一個(gè)跳板，因此入侵的攻防實(shí)際是一個(gè)超級(jí)黑客組織和一個(gè)安全意識(shí)不佳的普通員工之間的對(duì)抗，一個(gè)稍顯專業(yè)的釣魚網(wǎng)站就讓員工淪陷，而傳統(tǒng)的邊界安全設(shè)備采用以漏洞為中心的被動(dòng)防御體系，在防范未知威脅上無能為力，這必然造就對(duì)抗的后果是黑方100%能勝利，所以企業(yè)被入侵也就是自然而然的事情。另外一個(gè)原因是BYOD的普及以及萬物互聯(lián)的物聯(lián)網(wǎng)(IoE)的發(fā)展，企業(yè)的終端控制權(quán)將逐漸喪失，大量屬于企業(yè)和非屬于企業(yè)的移動(dòng)設(shè)備隨時(shí)隨地的接入網(wǎng)絡(luò)，控制權(quán)的消失，標(biāo)志安全控制權(quán)的消失，跳板的可選擇性也越來越大。總而言之，企業(yè)被入侵，那是板上釘釘?shù)氖虑?，只不過是有的企業(yè)發(fā)現(xiàn)了，有的企業(yè)還蒙在鼓里自娛自樂的YY著自己的安全。

既然入侵依然遲早不可避免，那么入侵后的內(nèi)網(wǎng)攻防則必定會(huì)成為攻防戰(zhàn)役的主戰(zhàn)場。

APT“入侵”到“破壞”還有很長時(shí)間窗

如果將數(shù)據(jù)外發(fā)或者造成企業(yè)系統(tǒng)不可用看做是APT攻擊的破壞結(jié)果，那么對(duì)于APT攻擊而言，從入侵到破壞還有很長的路要黑。入侵僅僅只是大幕開啟，跳板只是跳板，為了達(dá)到攻擊的目標(biāo)，APT攻擊鏈的大部分活動(dòng)都是在企業(yè)的網(wǎng)絡(luò)內(nèi)部完成，包括跳板的控制，企業(yè)內(nèi)部橫向滲透，重要資產(chǎn)數(shù)據(jù)的控制和轉(zhuǎn)移，數(shù)據(jù)外發(fā)、攻擊痕跡的擦除等，其中從入侵跳板到數(shù)據(jù)外發(fā)之間的過程，就是入侵到破壞之間的時(shí)間窗，在這個(gè)時(shí)間窗中，APT有大量的內(nèi)部活動(dòng)，以及外部互聯(lián)的活動(dòng)，在這個(gè)時(shí)間窗里的檢測與反檢測才是APT攻防最核心的斗智斗勇。

APT攻擊在內(nèi)網(wǎng)的活動(dòng)都被隱藏在內(nèi)網(wǎng)正常的行為中，要想從中找出蛛絲馬跡遠(yuǎn)非尋常方法可以達(dá)到。網(wǎng)絡(luò)從千兆邁向萬兆，需要分析的數(shù)據(jù)急劇上升，網(wǎng)絡(luò)速度越來越快，也意味找包處理和轉(zhuǎn)發(fā)速度越來越快，網(wǎng)絡(luò)中的事件發(fā)送速率也隨之激增。同時(shí)，為了增強(qiáng)檢測的準(zhǔn)確性和快速性，除對(duì)網(wǎng)絡(luò)傳輸?shù)母鞣N數(shù)據(jù)包進(jìn)行檢測外，還需要收集網(wǎng)絡(luò)內(nèi)部的信息，以及外部的信息，也就是所謂的擴(kuò)大情景感知的范圍以及增加威脅情報(bào)的分析，所以這些要求，都極大的增加了在這個(gè)時(shí)間窗中有效檢測的難度，傳統(tǒng)的各種分析工具如SIEM都是這場戰(zhàn)役的戰(zhàn)敗者。

華為大數(shù)據(jù)安全分析，APT攻防戰(zhàn)役中的轉(zhuǎn)折點(diǎn)

時(shí)勢造英雄，隨大數(shù)據(jù)技術(shù)的發(fā)展，包括數(shù)據(jù)從采集、存儲(chǔ)到分析處理技術(shù)的成熟，機(jī)器自學(xué)習(xí)和人工智能的發(fā)展，大數(shù)據(jù)分析平臺(tái)可以從海量的數(shù)據(jù)中找到APT攻擊的蛛絲馬跡。

華為CIS安全分析平臺(tái)，采用大數(shù)據(jù)基礎(chǔ)平臺(tái)，充分利用了大數(shù)據(jù)在面對(duì)海量信息的高效處理的能力，如Hadoop分布式數(shù)據(jù)庫、實(shí)時(shí)流處理技術(shù)、spark等最新的技術(shù)，依托機(jī)器學(xué)習(xí)的智能，使得海量流量的挖掘和處理成為現(xiàn)實(shí)。CIS從時(shí)間和空間兩個(gè)維度上擴(kuò)大了流量收集范圍，通過采集全網(wǎng)的流量、日志、文件等數(shù)據(jù)，尤其是關(guān)鍵路徑的流量，以及終端的各種流量等，這些實(shí)時(shí)和離線的流量形成檢測APT攻擊的數(shù)據(jù)基礎(chǔ)。在CIS大數(shù)據(jù)平臺(tái)中，內(nèi)置有豐富的異常檢測模型，如web異常、DNS異常等等，這些模型可以對(duì)APT攻擊鏈中的350+以上的異常行為進(jìn)行檢測。通過這些異常模型，可以從海量的流量中有效的檢測非常輕微異常行為，而這些輕微的異常行為很大可能是APT攻擊在某個(gè)環(huán)節(jié)的具體表現(xiàn)，正是由于可以檢測出大量極易被忽視的這些輕微異常，CIS大數(shù)據(jù)安全分析實(shí)現(xiàn)了大海撈針，從蛛絲馬跡中抽絲剝繭，這些細(xì)微異常線索通過多維度威脅關(guān)聯(lián)分析，從而有效的將眾多雜亂無章的異常有機(jī)的串聯(lián)在一起，以點(diǎn)帶線，以線成面，形成了具體的APT攻擊鏈模，勾畫出完整的攻擊鏈，沿攻擊鏈進(jìn)行多維度的分析，最后準(zhǔn)確定位APT高級(jí)攻擊，真正實(shí)現(xiàn)了從漏洞為中心的傳統(tǒng)安全體系發(fā)展到以威脅為中心，以攻擊鏈為線索，依靠數(shù)據(jù)驅(qū)動(dòng)的APT檢測與攔截安全體系，為APT防護(hù)開創(chuàng)了新的局面，幫助企業(yè)有效的實(shí)現(xiàn)對(duì)APT威脅的管理，讓企業(yè)成為APT攻防戰(zhàn)役中的勝利者。