笑傲江湖中武功排行TOP1的高手風(fēng)清揚(yáng)，一曲“獨(dú)孤九劍”，深諳天下武功，唯快不破的道理，快是要在火光化石之間悉知對(duì)手的下一招，然后快速出招制敵，令狐沖后來以此也練成“為人見人愛，花見花開”的頂尖高手。第二次世界大戰(zhàn)，隆美爾在北非戰(zhàn)無不勝，依靠的是能悉知對(duì)手的作戰(zhàn)手法，輔以對(duì)手現(xiàn)狀的了解，迅速的調(diào)整戰(zhàn)略，以快制敵，獲得對(duì)手給予的美稱：沙漠之狐。這一切，都源于少數(shù)人真正深刻的理解了一個(gè)原則：知己知彼，百戰(zhàn)不殆。道理是相通的，安全防護(hù)也遵循這個(gè)原則，誰搶先一步理解并熟練的運(yùn)用了這個(gè)原則，誰就在安全攻防戰(zhàn)中搶得先機(jī)。

攻擊者精準(zhǔn)的“知彼”往往事半功倍

高級(jí)黑客為了解對(duì)手，對(duì)信息的收集那是相當(dāng)?shù)闹匾?，攻擊的方式，惡意軟件都依賴于?duì)用戶的了解，所有的一切攻擊步驟都是定制，刀刀直中要害。例如通過搜集組織員工的信息，深入了解他們的社會(huì)關(guān)系、個(gè)人愛好、終端的安全防護(hù)等情況，繼而定制一些攻擊手段來控制該員工電腦，以此為跳板從而順利進(jìn)入組織網(wǎng)絡(luò)。

在Google 遭受的極光APT攻擊中，就是利用某個(gè)員工對(duì)攝影的喜好，定制偽造照片網(wǎng)站的Web服務(wù)器。該Google員工收到來自信任的人發(fā)來的網(wǎng)絡(luò)鏈接并且點(diǎn)擊它，就進(jìn)入了惡意網(wǎng)站并在不知不覺中下載更多木馬軟件，震驚全球的“極光事件”就此拉開大幕。

傳統(tǒng)安全只“知己” 被動(dòng)防御攻防失衡

傳統(tǒng)的安全防御，是以漏洞為中心展開的。傳統(tǒng)防御的安全產(chǎn)品是依靠對(duì)漏洞的理解，并在此基礎(chǔ)上利用漏洞的觸發(fā)條件進(jìn)行簽名設(shè)計(jì)，只有匹配簽名的攻擊，才能被識(shí)別。此種模式下，簽名的質(zhì)量與范疇直接影響了防御體系的有效性，在面對(duì)變化多端的高級(jí)威脅時(shí)，由于缺乏對(duì)未知威脅的防御經(jīng)驗(yàn)，往往導(dǎo)致防御能力大打折扣。

近年來安全防御體系也在不斷的進(jìn)化過程中，這種變化其實(shí)也是在“知己”方面投入更多的力量。例如NGFW\NGIPS等安全產(chǎn)品著力發(fā)展情境感知的能力，這些感知能力包括資產(chǎn)、位置、拓?fù)?、?yīng)用、身份、內(nèi)容等信息。這種基于漏洞的被動(dòng)防御體系優(yōu)化的，可以提高檢測(cè)精準(zhǔn)度，但是無法對(duì)目前攻防失衡的現(xiàn)狀產(chǎn)生質(zhì)的影響。

新思維聚焦“知彼” 主動(dòng)防御搶占先機(jī)

Verizon發(fā)布《2013年數(shù)據(jù)破壞調(diào)查報(bào)告》，明確提出了應(yīng)對(duì)APT的最高原則——知己、更要知彼，強(qiáng)調(diào)真正主動(dòng)有效的安全預(yù)防體系是“料敵先機(jī)”。

所謂“知彼”就是要有效識(shí)別攻擊對(duì)手、工具及相關(guān)技術(shù)原理等信息，可以利用這些數(shù)據(jù)來發(fā)現(xiàn)惡意活動(dòng)，甚至可以定位到具體的組織或個(gè)人。

具體到時(shí)下最熱門的高級(jí)威脅攻擊APT， “知彼”就是要有效的對(duì)APT攻擊鏈進(jìn)行識(shí)別，識(shí)別攻擊者的攻擊行為引發(fā)的異常，比如DNS異常行為、Mail異常等等，在分析大量攻防基礎(chǔ)數(shù)據(jù)和安全智能基礎(chǔ)上，深度了解攻擊方的各種攻擊鏈、攻擊工具、攻擊手法等，提取相關(guān)的信息，并結(jié)合大量 “知己”信息，運(yùn)用強(qiáng)大的機(jī)器自學(xué)習(xí)能力，總結(jié)攻擊模型，從而有效的識(shí)別各種異常行為，“未見其人，先聞其聲”，這種主動(dòng)防御模式，完全突破了以前被動(dòng)挨打的局面，從而有效的扭轉(zhuǎn)攻防失衡的狀態(tài)。變被動(dòng)為主動(dòng)，有效的擴(kuò)大入侵和破壞之間的時(shí)間窗，縮小檢測(cè)和響應(yīng)之間的時(shí)間窗，構(gòu)筑應(yīng)對(duì)高級(jí)威脅的防御體系。

在認(rèn)識(shí)“知彼”的過程中，包括機(jī)器自學(xué)習(xí)等前沿技術(shù)得以應(yīng)用發(fā)展，繼而引導(dǎo)了安全智能的熱潮。同時(shí)安全智能又成為檢測(cè)模型的極好輸入，形式一個(gè)良好的反饋體系。展望未來，安全產(chǎn)品將可以快速地利用安全智能，更快、更準(zhǔn)確的識(shí)別各種高級(jí)威脅攻擊。

華為安全，知己知彼，引領(lǐng)未來安全之路

作為業(yè)界主流安全廠商，華為一方面堅(jiān)持加強(qiáng)“知己”的修煉，繼續(xù)優(yōu)化提升以USG6000下一代防火墻為典型代表的單點(diǎn)防御安全產(chǎn)品的感知能力和防御精準(zhǔn)度;另一方面也積極探索“知彼”領(lǐng)域的探索，在2015年率先發(fā)布沙箱、大數(shù)據(jù)分析平臺(tái)、云清洗解決方案等系列化的安全產(chǎn)品與解決方案，實(shí)現(xiàn)了主動(dòng)防御模式的創(chuàng)新。

在大量攻擊樣本和各種威脅信息的基礎(chǔ)上，深入分析各種攻擊行為和攻擊手法，通過專家分析和機(jī)器自學(xué)習(xí)，華為CIS 大數(shù)據(jù)平臺(tái)產(chǎn)品建立了豐富的異常檢測(cè)模型，可以有效識(shí)別APT攻擊鏈上各個(gè)環(huán)節(jié)上的異常行為，同時(shí)通過對(duì)環(huán)境的深入認(rèn)識(shí)，包括識(shí)別環(huán)境中的價(jià)值資產(chǎn)、用戶等內(nèi)部信息，通過最后的多維威脅分析，可以有效的識(shí)別各種高級(jí)威脅，同時(shí)還可以生成相關(guān)的威脅信息并共享給NGFW、NGIPS等傳統(tǒng)安全設(shè)備，真正構(gòu)筑了全網(wǎng)“知己知彼”的全網(wǎng)反饋式主動(dòng)防御體系。