笑傲江湖中武功排行TOP1的高手風(fēng)清揚，一曲“獨孤九劍”，深諳天下武功，唯快不破的道理，快是要在火光化石之間悉知對手的下一招，然后快速出招制敵，令狐沖后來以此也練成“為人見人愛，花見花開”的頂尖高手。第二次世界大戰(zhàn)，隆美爾在北非戰(zhàn)無不勝，依靠的是能悉知對手的作戰(zhàn)手法，輔以對手現(xiàn)狀的了解，迅速的調(diào)整戰(zhàn)略，以快制敵，獲得對手給予的美稱：沙漠之狐。這一切，都源于少數(shù)人真正深刻的理解了一個原則：知己知彼，百戰(zhàn)不殆。道理是相通的，安全防護也遵循這個原則，誰搶先一步理解并熟練的運用了這個原則，誰就在安全攻防戰(zhàn)中搶得先機。

攻擊者精準的“知彼”往往事半功倍

高級黑客為了解對手，對信息的收集那是相當?shù)闹匾暎舻姆绞?，惡意軟件都依賴于對用戶的了解，所有的一切攻擊步驟都是定制，刀刀直中要害。例如通過搜集組織員工的信息，深入了解他們的社會關(guān)系、個人愛好、終端的安全防護等情況，繼而定制一些攻擊手段來控制該員工電腦，以此為跳板從而順利進入組織網(wǎng)絡(luò)。

在Google 遭受的極光APT攻擊中，就是利用某個員工對攝影的喜好，定制偽造照片網(wǎng)站的Web服務(wù)器。該Google員工收到來自信任的人發(fā)來的網(wǎng)絡(luò)鏈接并且點擊它，就進入了惡意網(wǎng)站并在不知不覺中下載更多木馬軟件，震驚全球的“極光事件”就此拉開大幕。

傳統(tǒng)安全只“知己” 被動防御攻防失衡

傳統(tǒng)的安全防御，是以漏洞為中心展開的。傳統(tǒng)防御的安全產(chǎn)品是依靠對漏洞的理解，并在此基礎(chǔ)上利用漏洞的觸發(fā)條件進行簽名設(shè)計，只有匹配簽名的攻擊，才能被識別。此種模式下，簽名的質(zhì)量與范疇直接影響了防御體系的有效性，在面對變化多端的高級威脅時，由于缺乏對未知威脅的防御經(jīng)驗，往往導(dǎo)致防御能力大打折扣。

近年來安全防御體系也在不斷的進化過程中，這種變化其實也是在“知己”方面投入更多的力量。例如NGFW\NGIPS等安全產(chǎn)品著力發(fā)展情境感知的能力，這些感知能力包括資產(chǎn)、位置、拓撲、應(yīng)用、身份、內(nèi)容等信息。這種基于漏洞的被動防御體系優(yōu)化的，可以提高檢測精準度，但是無法對目前攻防失衡的現(xiàn)狀產(chǎn)生質(zhì)的影響。

新思維聚焦“知彼” 主動防御搶占先機

Verizon發(fā)布《2013年數(shù)據(jù)破壞調(diào)查報告》，明確提出了應(yīng)對APT的最高原則——知己、更要知彼，強調(diào)真正主動有效的安全預(yù)防體系是“料敵先機”。

所謂“知彼”就是要有效識別攻擊對手、工具及相關(guān)技術(shù)原理等信息，可以利用這些數(shù)據(jù)來發(fā)現(xiàn)惡意活動，甚至可以定位到具體的組織或個人。

具體到時下最熱門的高級威脅攻擊APT， “知彼”就是要有效的對APT攻擊鏈進行識別，識別攻擊者的攻擊行為引發(fā)的異常，比如DNS異常行為、Mail異常等等，在分析大量攻防基礎(chǔ)數(shù)據(jù)和安全智能基礎(chǔ)上，深度了解攻擊方的各種攻擊鏈、攻擊工具、攻擊手法等，提取相關(guān)的信息，并結(jié)合大量 “知己”信息，運用強大的機器自學(xué)習(xí)能力，總結(jié)攻擊模型，從而有效的識別各種異常行為，“未見其人，先聞其聲”，這種主動防御模式，完全突破了以前被動挨打的局面，從而有效的扭轉(zhuǎn)攻防失衡的狀態(tài)。變被動為主動，有效的擴大入侵和破壞之間的時間窗，縮小檢測和響應(yīng)之間的時間窗，構(gòu)筑應(yīng)對高級威脅的防御體系。

在認識“知彼”的過程中，包括機器自學(xué)習(xí)等前沿技術(shù)得以應(yīng)用發(fā)展，繼而引導(dǎo)了安全智能的熱潮。同時安全智能又成為檢測模型的極好輸入，形式一個良好的反饋體系。展望未來，安全產(chǎn)品將可以快速地利用安全智能，更快、更準確的識別各種高級威脅攻擊。

華為安全，知己知彼，引領(lǐng)未來安全之路

作為業(yè)界主流安全廠商，華為一方面堅持加強“知己”的修煉，繼續(xù)優(yōu)化提升以USG6000下一代防火墻為典型代表的單點防御安全產(chǎn)品的感知能力和防御精準度;另一方面也積極探索“知彼”領(lǐng)域的探索，在2015年率先發(fā)布沙箱、大數(shù)據(jù)分析平臺、云清洗解決方案等系列化的安全產(chǎn)品與解決方案，實現(xiàn)了主動防御模式的創(chuàng)新。

在大量攻擊樣本和各種威脅信息的基礎(chǔ)上，深入分析各種攻擊行為和攻擊手法，通過專家分析和機器自學(xué)習(xí)，華為CIS 大數(shù)據(jù)平臺產(chǎn)品建立了豐富的異常檢測模型，可以有效識別APT攻擊鏈上各個環(huán)節(jié)上的異常行為，同時通過對環(huán)境的深入認識，包括識別環(huán)境中的價值資產(chǎn)、用戶等內(nèi)部信息，通過最后的多維威脅分析，可以有效的識別各種高級威脅，同時還可以生成相關(guān)的威脅信息并共享給NGFW、NGIPS等傳統(tǒng)安全設(shè)備，真正構(gòu)筑了全網(wǎng)“知己知彼”的全網(wǎng)反饋式主動防御體系。