云聚全球安全力量的華為APT防御體系重磅出擊
《魏書》中用“一箭易折,十箭難斷”警示大家要團(tuán)結(jié)一心,齊心協(xié)力,國家就可以穩(wěn)固。社會發(fā)展到今天,合作已經(jīng)成為主流的文化。在強(qiáng)大利益驅(qū)動下,潛伏在網(wǎng)絡(luò)下面的黑客充分利用多種合作模式,不論是在單個APT攻擊中的攻擊工具組合,還是黑客組織之間的合作都達(dá)到至高的境界,網(wǎng)絡(luò)攻擊也從隨機(jī)撒網(wǎng)式的攻擊行為發(fā)展到以APT高級持續(xù)性威脅(Advanced Persistent Threat)攻擊為代表的鏈?zhǔn)浇M合攻擊行為,給安全帶來巨大的挑戰(zhàn)。
以其人之道還其人之身,在這場攻與防的斗爭,華為構(gòu)建了“一個中心,三個基本點”的APT立體協(xié)作防御體系,悄然扛起了抗擊APT攻擊的大旗。
中心:CIS(Cybersecurity Intelligent System)大數(shù)據(jù)安全分析為基礎(chǔ)
任何協(xié)同合作,眾多的合作方只有與核心方緊密配合,才能達(dá)成最后的目標(biāo)。在華為構(gòu)筑的APT立體防御體系中,CIS大數(shù)據(jù)安全分析當(dāng)之無愧的稱為核心節(jié)點。
CIS大數(shù)據(jù)平臺中,通過在企業(yè)不同位置部署探針,如在互聯(lián)網(wǎng)出口、分支互聯(lián)鏈路、關(guān)鍵服務(wù)器區(qū)等,采集實時流量的元數(shù)據(jù)信息,元數(shù)據(jù)包含應(yīng)用層會話的關(guān)鍵信息、各種協(xié)議頭部內(nèi)容,如HTTP頭數(shù)據(jù),元數(shù)據(jù)雖然不包括流量載荷的內(nèi)容,但是不丟失系統(tǒng)信息,而且便于管理。CIS大數(shù)據(jù)平臺同時存儲大量的歷史流量元數(shù)據(jù)信息,從而有效的利用大數(shù)據(jù)平臺在空間和時間維度的擴(kuò)容能力,在海量的信息的基礎(chǔ)上,充分利用機(jī)器學(xué)習(xí)的能力,提煉出各種攻擊異常的模型,實現(xiàn)對實時流量的高速檢測,于細(xì)微處發(fā)現(xiàn)異常,由點連線,由線連面,找到真正的攻擊行為,最后完整的畫出APT攻擊的整個輪廓。CIS通過對APT攻擊的有效分析和判斷,進(jìn)而快速的將攻擊威脅信息同時上傳到云端安全智能中心,以及下傳到部署在企業(yè)各地的安全設(shè)備中,從而為有效攔截APT攻擊確定了基石。
CIS作為整個APT 防御的核心,可以快速、準(zhǔn)確的對APT攻擊進(jìn)行檢測與判斷。
基本點一:云端安全智能中心,網(wǎng)聚全球安全力量
在合作的組織中,大家只有通過共享信息,各方步驟才能協(xié)調(diào)一致,行動才更有效率。同樣在這場防御挑戰(zhàn)全球安全的APT攻擊中,通過分享并利用全球安全廠商的力量,可以更有效的實現(xiàn)對APT攻擊的抗衡。
在華為的APT防御體系中,華為提供基于云端的安全智能系統(tǒng),該體系一方面通過CIS的檢測可以分享華為在APT檢測上的成果,同時華為的云端安全智能系統(tǒng)也會吸收全球優(yōu)秀廠商關(guān)于APT的檢測信息,為CIS大數(shù)據(jù)平臺提供更有效的信息,從而更快速有效準(zhǔn)確的判斷APT攻擊。在華為云端的安全智能系統(tǒng)中,傳統(tǒng)的安全簽名和信譽(yù)數(shù)據(jù)只是其中很基礎(chǔ)的一部分,例如IP/MD5/DNS等信譽(yù)體系,在應(yīng)對APT攻擊中的作用有限,而更有效的威脅信息,是包括APT攻擊的思路、策略、模式等具有完全針對性的信息,安全智能系統(tǒng)和情境感知、基于攻擊鏈的縱深防御等思想正在形成新一代的防御體系的基石。
基本點二:安全沙箱,搜索APT攻擊中的“隱形殺手”
在APT攻擊中,那些惡意軟件使用各種高級逃逸技術(shù)或者利用0day漏洞,來逃脫安全設(shè)備的檢測,當(dāng)之無愧的可以稱之為APT攻擊中的隱形殺手。
在華為APT的防御系統(tǒng)中,沙箱是一個非常重要的角色。各種隱藏在常見的如word、excel、PDF等辦公軟件中的惡意軟件,要想進(jìn)入企業(yè),第一關(guān)便是要經(jīng)過沙箱的檢測,華為沙箱采用多重的檢測技術(shù),包括靜態(tài)分析、動態(tài)執(zhí)行、行為匹配等,從而可以快速有效的識別各種高級惡意軟件。面對通過Web流量中傳播的各種0day惡意軟件眾多廠商束手無策,華為是全球僅有的兩個可以完整檢測的廠家之一,有效的防止漏網(wǎng)之魚,構(gòu)筑了APT防御的第一道防線。
基本點三:基于情境感知下一代安全,精確的實現(xiàn)多點清除
在大數(shù)據(jù)平臺和沙箱發(fā)現(xiàn)APT攻擊行為并形成該APT攻擊的各種威脅信息后,會將信息下發(fā)給部署在企業(yè)網(wǎng)絡(luò)的安全設(shè)備中,由這些設(shè)備根據(jù)威脅信息完成對APT攻擊點的徹底防御和清除。華為基于情境感知的下一代安全設(shè)備,包括NGIPS、NGFW、VNGFW以及各種終端安全設(shè)備,從而快速有效的實現(xiàn)對APT各個攻擊點的清除。
華為APT防御系統(tǒng),為企業(yè)構(gòu)筑的是APT破壞還沒開始,威脅就已經(jīng)清除的堅實防線。