第一次世界大戰(zhàn)中的凡爾登戰(zhàn)役，二戰(zhàn)時期的斯大林格勒大會戰(zhàn)，這些如雷貫日的戰(zhàn)役都是當時歷史上的轉折戰(zhàn)役，此戰(zhàn)后攻防的平衡由此打破，戰(zhàn)場發(fā)生了翻天變化。對于信息安全的歷史，就是在攻與防的螺旋式斗爭中前進，時至今日，在這場戰(zhàn)役中，黑客由于手握APT重器而暫時占優(yōu)，也由此制造了一個個黑煙四起的黑道世界。

隨著大數(shù)據(jù)技術的發(fā)展和成熟，將這些技術應用到安全領域的大數(shù)據(jù)安全分析，會成為APT攻防戰(zhàn)役中的轉折點嗎?

企業(yè)被“ 入侵”100%不可避免,只是時間早晚的問題

被“入侵”是指黑客通過各種途徑潛伏進入到企業(yè)。APT攻擊入侵之所以不可避免，除APT所用的超能武器外，還有重要的外在原因。其一是一種“對手不對稱”的對抗，APT入侵初期只是為了控制一個跳板，因此入侵的攻防實際是一個超級黑客組織和一個安全意識不佳的普通員工之間的對抗，一個稍顯專業(yè)的釣魚網站就讓員工淪陷，而傳統(tǒng)的邊界安全設備采用以漏洞為中心的被動防御體系，在防范未知威脅上無能為力，這必然造就對抗的后果是黑方100%能勝利，所以企業(yè)被入侵也就是自然而然的事情。另外一個原因是BYOD的普及以及萬物互聯(lián)的物聯(lián)網(IoE)的發(fā)展，企業(yè)的終端控制權將逐漸喪失，大量屬于企業(yè)和非屬于企業(yè)的移動設備隨時隨地的接入網絡，控制權的消失，標志安全控制權的消失，跳板的可選擇性也越來越大。總而言之，企業(yè)被入侵，那是板上釘釘?shù)氖虑椋徊贿^是有的企業(yè)發(fā)現(xiàn)了，有的企業(yè)還蒙在鼓里自娛自樂的YY著自己的安全。

既然入侵依然遲早不可避免，那么入侵后的內網攻防則必定會成為攻防戰(zhàn)役的主戰(zhàn)場。

APT“入侵”到“破壞”還有很長時間窗

如果將數(shù)據(jù)外發(fā)或者造成企業(yè)系統(tǒng)不可用看做是APT攻擊的破壞結果，那么對于APT攻擊而言，從入侵到破壞還有很長的路要黑。入侵僅僅只是大幕開啟，跳板只是跳板，為了達到攻擊的目標，APT攻擊鏈的大部分活動都是在企業(yè)的網絡內部完成，包括跳板的控制，企業(yè)內部橫向滲透，重要資產數(shù)據(jù)的控制和轉移，數(shù)據(jù)外發(fā)、攻擊痕跡的擦除等，其中從入侵跳板到數(shù)據(jù)外發(fā)之間的過程，就是入侵到破壞之間的時間窗，在這個時間窗中，APT有大量的內部活動，以及外部互聯(lián)的活動，在這個時間窗里的檢測與反檢測才是APT攻防最核心的斗智斗勇。

APT攻擊在內網的活動都被隱藏在內網正常的行為中，要想從中找出蛛絲馬跡遠非尋常方法可以達到。網絡從千兆邁向萬兆，需要分析的數(shù)據(jù)急劇上升，網絡速度越來越快，也意味找包處理和轉發(fā)速度越來越快，網絡中的事件發(fā)送速率也隨之激增。同時，為了增強檢測的準確性和快速性，除對網絡傳輸?shù)母鞣N數(shù)據(jù)包進行檢測外，還需要收集網絡內部的信息，以及外部的信息，也就是所謂的擴大情景感知的范圍以及增加威脅情報的分析，所以這些要求，都極大的增加了在這個時間窗中有效檢測的難度，傳統(tǒng)的各種分析工具如SIEM都是這場戰(zhàn)役的戰(zhàn)敗者。

華為大數(shù)據(jù)安全分析，APT攻防戰(zhàn)役中的轉折點

時勢造英雄，隨大數(shù)據(jù)技術的發(fā)展，包括數(shù)據(jù)從采集、存儲到分析處理技術的成熟，機器自學習和人工智能的發(fā)展，大數(shù)據(jù)分析平臺可以從海量的數(shù)據(jù)中找到APT攻擊的蛛絲馬跡。

華為CIS安全分析平臺，采用大數(shù)據(jù)基礎平臺，充分利用了大數(shù)據(jù)在面對海量信息的高效處理的能力，如Hadoop分布式數(shù)據(jù)庫、實時流處理技術、spark等最新的技術，依托機器學習的智能，使得海量流量的挖掘和處理成為現(xiàn)實。CIS從時間和空間兩個維度上擴大了流量收集范圍，通過采集全網的流量、日志、文件等數(shù)據(jù)，尤其是關鍵路徑的流量，以及終端的各種流量等，這些實時和離線的流量形成檢測APT攻擊的數(shù)據(jù)基礎。在CIS大數(shù)據(jù)平臺中，內置有豐富的異常檢測模型，如web異常、DNS異常等等，這些模型可以對APT攻擊鏈中的350+以上的異常行為進行檢測。通過這些異常模型，可以從海量的流量中有效的檢測非常輕微異常行為，而這些輕微的異常行為很大可能是APT攻擊在某個環(huán)節(jié)的具體表現(xiàn)，正是由于可以檢測出大量極易被忽視的這些輕微異常，CIS大數(shù)據(jù)安全分析實現(xiàn)了大海撈針，從蛛絲馬跡中抽絲剝繭，這些細微異常線索通過多維度威脅關聯(lián)分析，從而有效的將眾多雜亂無章的異常有機的串聯(lián)在一起，以點帶線，以線成面，形成了具體的APT攻擊鏈模，勾畫出完整的攻擊鏈，沿攻擊鏈進行多維度的分析，最后準確定位APT高級攻擊，真正實現(xiàn)了從漏洞為中心的傳統(tǒng)安全體系發(fā)展到以威脅為中心，以攻擊鏈為線索，依靠數(shù)據(jù)驅動的APT檢測與攔截安全體系，為APT防護開創(chuàng)了新的局面，幫助企業(yè)有效的實現(xiàn)對APT威脅的管理，讓企業(yè)成為APT攻防戰(zhàn)役中的勝利者。