《魏書(shū)》中用“一箭易折,十箭難斷”警示大家要團(tuán)結(jié)一心，齊心協(xié)力,國(guó)家就可以穩(wěn)固。社會(huì)發(fā)展到今天，合作已經(jīng)成為主流的文化。在強(qiáng)大利益驅(qū)動(dòng)下,潛伏在網(wǎng)絡(luò)下面的黑客充分利用多種合作模式，不論是在單個(gè)APT攻擊中的攻擊工具組合，還是黑客組織之間的合作都達(dá)到至高的境界，網(wǎng)絡(luò)攻擊也從隨機(jī)撒網(wǎng)式的攻擊行為發(fā)展到以APT高級(jí)持續(xù)性威脅(Advanced Persistent Threat)攻擊為代表的鏈?zhǔn)浇M合攻擊行為，給安全帶來(lái)巨大的挑戰(zhàn)。

以其人之道還其人之身，在這場(chǎng)攻與防的斗爭(zhēng)，華為構(gòu)建了“一個(gè)中心，三個(gè)基本點(diǎn)”的APT立體協(xié)作防御體系，悄然扛起了抗擊APT攻擊的大旗。

中心：CIS(Cybersecurity Intelligent System)大數(shù)據(jù)安全分析為基礎(chǔ)

任何協(xié)同合作，眾多的合作方只有與核心方緊密配合，才能達(dá)成最后的目標(biāo)。在華為構(gòu)筑的APT立體防御體系中，CIS大數(shù)據(jù)安全分析當(dāng)之無(wú)愧的稱為核心節(jié)點(diǎn)。

CIS大數(shù)據(jù)平臺(tái)中，通過(guò)在企業(yè)不同位置部署探針，如在互聯(lián)網(wǎng)出口、分支互聯(lián)鏈路、關(guān)鍵服務(wù)器區(qū)等，采集實(shí)時(shí)流量的元數(shù)據(jù)信息，元數(shù)據(jù)包含應(yīng)用層會(huì)話的關(guān)鍵信息、各種協(xié)議頭部?jī)?nèi)容，如HTTP頭數(shù)據(jù)，元數(shù)據(jù)雖然不包括流量載荷的內(nèi)容，但是不丟失系統(tǒng)信息，而且便于管理。CIS大數(shù)據(jù)平臺(tái)同時(shí)存儲(chǔ)大量的歷史流量元數(shù)據(jù)信息，從而有效的利用大數(shù)據(jù)平臺(tái)在空間和時(shí)間維度的擴(kuò)容能力，在海量的信息的基礎(chǔ)上，充分利用機(jī)器學(xué)習(xí)的能力，提煉出各種攻擊異常的模型，實(shí)現(xiàn)對(duì)實(shí)時(shí)流量的高速檢測(cè)，于細(xì)微處發(fā)現(xiàn)異常，由點(diǎn)連線，由線連面，找到真正的攻擊行為，最后完整的畫(huà)出APT攻擊的整個(gè)輪廓。CIS通過(guò)對(duì)APT攻擊的有效分析和判斷，進(jìn)而快速的將攻擊威脅信息同時(shí)上傳到云端安全智能中心，以及下傳到部署在企業(yè)各地的安全設(shè)備中，從而為有效攔截APT攻擊確定了基石。

CIS作為整個(gè)APT 防御的核心，可以快速、準(zhǔn)確的對(duì)APT攻擊進(jìn)行檢測(cè)與判斷。

基本點(diǎn)一：云端安全智能中心，網(wǎng)聚全球安全力量

在合作的組織中，大家只有通過(guò)共享信息，各方步驟才能協(xié)調(diào)一致，行動(dòng)才更有效率。同樣在這場(chǎng)防御挑戰(zhàn)全球安全的APT攻擊中，通過(guò)分享并利用全球安全廠商的力量，可以更有效的實(shí)現(xiàn)對(duì)APT攻擊的抗衡。

在華為的APT防御體系中，華為提供基于云端的安全智能系統(tǒng)，該體系一方面通過(guò)CIS的檢測(cè)可以分享華為在APT檢測(cè)上的成果，同時(shí)華為的云端安全智能系統(tǒng)也會(huì)吸收全球優(yōu)秀廠商關(guān)于APT的檢測(cè)信息，為CIS大數(shù)據(jù)平臺(tái)提供更有效的信息，從而更快速有效準(zhǔn)確的判斷APT攻擊。在華為云端的安全智能系統(tǒng)中，傳統(tǒng)的安全簽名和信譽(yù)數(shù)據(jù)只是其中很基礎(chǔ)的一部分，例如IP/MD5/DNS等信譽(yù)體系，在應(yīng)對(duì)APT攻擊中的作用有限，而更有效的威脅信息，是包括APT攻擊的思路、策略、模式等具有完全針對(duì)性的信息，安全智能系統(tǒng)和情境感知、基于攻擊鏈的縱深防御等思想正在形成新一代的防御體系的基石。

基本點(diǎn)二：安全沙箱，搜索APT攻擊中的“隱形殺手”

在APT攻擊中，那些惡意軟件使用各種高級(jí)逃逸技術(shù)或者利用0day漏洞，來(lái)逃脫安全設(shè)備的檢測(cè)，當(dāng)之無(wú)愧的可以稱之為APT攻擊中的隱形殺手。

在華為APT的防御系統(tǒng)中，沙箱是一個(gè)非常重要的角色。各種隱藏在常見(jiàn)的如word、excel、PDF等辦公軟件中的惡意軟件，要想進(jìn)入企業(yè)，第一關(guān)便是要經(jīng)過(guò)沙箱的檢測(cè)，華為沙箱采用多重的檢測(cè)技術(shù)，包括靜態(tài)分析、動(dòng)態(tài)執(zhí)行、行為匹配等，從而可以快速有效的識(shí)別各種高級(jí)惡意軟件。面對(duì)通過(guò)Web流量中傳播的各種0day惡意軟件眾多廠商束手無(wú)策，華為是全球僅有的兩個(gè)可以完整檢測(cè)的廠家之一，有效的防止漏網(wǎng)之魚(yú)，構(gòu)筑了APT防御的第一道防線。

基本點(diǎn)三：基于情境感知下一代安全，精確的實(shí)現(xiàn)多點(diǎn)清除

在大數(shù)據(jù)平臺(tái)和沙箱發(fā)現(xiàn)APT攻擊行為并形成該APT攻擊的各種威脅信息后，會(huì)將信息下發(fā)給部署在企業(yè)網(wǎng)絡(luò)的安全設(shè)備中，由這些設(shè)備根據(jù)威脅信息完成對(duì)APT攻擊點(diǎn)的徹底防御和清除。華為基于情境感知的下一代安全設(shè)備，包括NGIPS、NGFW、VNGFW以及各種終端安全設(shè)備，從而快速有效的實(shí)現(xiàn)對(duì)APT各個(gè)攻擊點(diǎn)的清除。

華為APT防御系統(tǒng)，為企業(yè)構(gòu)筑的是APT破壞還沒(méi)開(kāi)始，威脅就已經(jīng)清除的堅(jiān)實(shí)防線。