《魏書》中用“一箭易折,十箭難斷”警示大家要團(tuán)結(jié)一心，齊心協(xié)力,國家就可以穩(wěn)固。社會發(fā)展到今天，合作已經(jīng)成為主流的文化。在強(qiáng)大利益驅(qū)動下,潛伏在網(wǎng)絡(luò)下面的黑客充分利用多種合作模式，不論是在單個APT攻擊中的攻擊工具組合，還是黑客組織之間的合作都達(dá)到至高的境界，網(wǎng)絡(luò)攻擊也從隨機(jī)撒網(wǎng)式的攻擊行為發(fā)展到以APT高級持續(xù)性威脅(Advanced Persistent Threat)攻擊為代表的鏈?zhǔn)浇M合攻擊行為，給安全帶來巨大的挑戰(zhàn)。

以其人之道還其人之身，在這場攻與防的斗爭，華為構(gòu)建了“一個中心，三個基本點”的APT立體協(xié)作防御體系，悄然扛起了抗擊APT攻擊的大旗。

中心：CIS(Cybersecurity Intelligent System)大數(shù)據(jù)安全分析為基礎(chǔ)

任何協(xié)同合作，眾多的合作方只有與核心方緊密配合，才能達(dá)成最后的目標(biāo)。在華為構(gòu)筑的APT立體防御體系中，CIS大數(shù)據(jù)安全分析當(dāng)之無愧的稱為核心節(jié)點。

CIS大數(shù)據(jù)平臺中，通過在企業(yè)不同位置部署探針，如在互聯(lián)網(wǎng)出口、分支互聯(lián)鏈路、關(guān)鍵服務(wù)器區(qū)等，采集實時流量的元數(shù)據(jù)信息，元數(shù)據(jù)包含應(yīng)用層會話的關(guān)鍵信息、各種協(xié)議頭部內(nèi)容，如HTTP頭數(shù)據(jù)，元數(shù)據(jù)雖然不包括流量載荷的內(nèi)容，但是不丟失系統(tǒng)信息，而且便于管理。CIS大數(shù)據(jù)平臺同時存儲大量的歷史流量元數(shù)據(jù)信息，從而有效的利用大數(shù)據(jù)平臺在空間和時間維度的擴(kuò)容能力，在海量的信息的基礎(chǔ)上，充分利用機(jī)器學(xué)習(xí)的能力，提煉出各種攻擊異常的模型，實現(xiàn)對實時流量的高速檢測，于細(xì)微處發(fā)現(xiàn)異常，由點連線，由線連面，找到真正的攻擊行為，最后完整的畫出APT攻擊的整個輪廓。CIS通過對APT攻擊的有效分析和判斷，進(jìn)而快速的將攻擊威脅信息同時上傳到云端安全智能中心，以及下傳到部署在企業(yè)各地的安全設(shè)備中，從而為有效攔截APT攻擊確定了基石。

CIS作為整個APT 防御的核心，可以快速、準(zhǔn)確的對APT攻擊進(jìn)行檢測與判斷。

基本點一：云端安全智能中心，網(wǎng)聚全球安全力量

在合作的組織中，大家只有通過共享信息，各方步驟才能協(xié)調(diào)一致，行動才更有效率。同樣在這場防御挑戰(zhàn)全球安全的APT攻擊中，通過分享并利用全球安全廠商的力量，可以更有效的實現(xiàn)對APT攻擊的抗衡。

在華為的APT防御體系中，華為提供基于云端的安全智能系統(tǒng)，該體系一方面通過CIS的檢測可以分享華為在APT檢測上的成果，同時華為的云端安全智能系統(tǒng)也會吸收全球優(yōu)秀廠商關(guān)于APT的檢測信息，為CIS大數(shù)據(jù)平臺提供更有效的信息，從而更快速有效準(zhǔn)確的判斷APT攻擊。在華為云端的安全智能系統(tǒng)中，傳統(tǒng)的安全簽名和信譽(yù)數(shù)據(jù)只是其中很基礎(chǔ)的一部分，例如IP/MD5/DNS等信譽(yù)體系，在應(yīng)對APT攻擊中的作用有限，而更有效的威脅信息，是包括APT攻擊的思路、策略、模式等具有完全針對性的信息，安全智能系統(tǒng)和情境感知、基于攻擊鏈的縱深防御等思想正在形成新一代的防御體系的基石。

基本點二：安全沙箱，搜索APT攻擊中的“隱形殺手”

在APT攻擊中，那些惡意軟件使用各種高級逃逸技術(shù)或者利用0day漏洞，來逃脫安全設(shè)備的檢測，當(dāng)之無愧的可以稱之為APT攻擊中的隱形殺手。

在華為APT的防御系統(tǒng)中，沙箱是一個非常重要的角色。各種隱藏在常見的如word、excel、PDF等辦公軟件中的惡意軟件，要想進(jìn)入企業(yè)，第一關(guān)便是要經(jīng)過沙箱的檢測，華為沙箱采用多重的檢測技術(shù)，包括靜態(tài)分析、動態(tài)執(zhí)行、行為匹配等，從而可以快速有效的識別各種高級惡意軟件。面對通過Web流量中傳播的各種0day惡意軟件眾多廠商束手無策，華為是全球僅有的兩個可以完整檢測的廠家之一，有效的防止漏網(wǎng)之魚，構(gòu)筑了APT防御的第一道防線。

基本點三：基于情境感知下一代安全，精確的實現(xiàn)多點清除

在大數(shù)據(jù)平臺和沙箱發(fā)現(xiàn)APT攻擊行為并形成該APT攻擊的各種威脅信息后，會將信息下發(fā)給部署在企業(yè)網(wǎng)絡(luò)的安全設(shè)備中，由這些設(shè)備根據(jù)威脅信息完成對APT攻擊點的徹底防御和清除。華為基于情境感知的下一代安全設(shè)備，包括NGIPS、NGFW、VNGFW以及各種終端安全設(shè)備，從而快速有效的實現(xiàn)對APT各個攻擊點的清除。

華為APT防御系統(tǒng)，為企業(yè)構(gòu)筑的是APT破壞還沒開始，威脅就已經(jīng)清除的堅實防線。