笑傲江湖中武功排行TOP1的高手风清扬,一曲“独孤九剑”,深谙天下武功,唯快不破的道理,快是要在火光化石之间悉知对手的下一招,然后快速出招制敌,令狐冲后来以此也练成“为人见人爱,花见花开”的顶尖高手。第二次世界大战,隆美尔在北非战无不胜,依靠的是能悉知对手的作战手法,辅以对手现状的了解,迅速的调整战略,以快制敌,获得对手给予的美称:沙漠之狐。这一切,都源于少数人真正深刻的理解了一个原则:知己知彼,百战不殆。道理是相通的,安全防护也遵循这个原则,谁抢先一步理解并熟练的运用了这个原则,谁就在安全攻防战中抢得先机。
攻击者精准的“知彼”往往事半功倍
高级黑客为了解对手,对信息的收集那是相当的重视,攻击的方式,恶意软件都依赖于对用户的了解,所有的一切攻击步骤都是定制,刀刀直中要害。例如通过搜集组织员工的信息,深入了解他们的社会关系、个人爱好、终端的安全防护等情况,继而定制一些攻击手段来控制该员工电脑,以此为跳板从而顺利进入组织网络。
在Google 遭受的极光APT攻击中,就是利用某个员工对摄影的喜好,定制伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站并在不知不觉中下载更多木马软件,震惊全球的“极光事件”就此拉开大幕。
传统安全只“知己” 被动防御攻防失衡
传统的安全防御,是以漏洞为中心展开的。传统防御的安全产品是依靠对漏洞的理解,并在此基础上利用漏洞的触发条件进行签名设计,只有匹配签名的攻击,才能被识别。此种模式下,签名的质量与范畴直接影响了防御体系的有效性,在面对变化多端的高级威胁时,由于缺乏对未知威胁的防御经验,往往导致防御能力大打折扣。
近年来安全防御体系也在不断的进化过程中,这种变化其实也是在“知己”方面投入更多的力量。例如NGFW\NGIPS等安全产品着力发展情境感知的能力,这些感知能力包括资产、位置、拓扑、应用、身份、内容等信息。这种基于漏洞的被动防御体系优化的,可以提高检测精准度,但是无法对目前攻防失衡的现状产生质的影响。
新思维聚焦“知彼” 主动防御抢占先机
Verizon发布《2013年数据破坏调查报告》,明确提出了应对APT的最高原则——知己、更要知彼,强调真正主动有效的安全预防体系是“料敌先机”。
所谓“知彼”就是要有效识别攻击对手、工具及相关技术原理等信息,可以利用这些数据来发现恶意活动,甚至可以定位到具体的组织或个人。
具体到时下最热门的高级威胁攻击APT, “知彼”就是要有效的对APT攻击链进行识别,识别攻击者的攻击行为引发的异常,比如DNS异常行为、Mail异常等等,在分析大量攻防基础数据和安全智能基础上,深度了解攻击方的各种攻击链、攻击工具、攻击手法等,提取相关的信息,并结合大量 “知己”信息,运用强大的机器自学习能力,总结攻击模型,从而有效的识别各种异常行为,“未见其人,先闻其声”,这种主动防御模式,完全突破了以前被动挨打的局面,从而有效的扭转攻防失衡的状态。变被动为主动,有效的扩大入侵和破坏之间的时间窗,缩小检测和响应之间的时间窗,构筑应对高级威胁的防御体系。
在认识“知彼”的过程中,包括机器自学习等前沿技术得以应用发展,继而引导了安全智能的热潮。同时安全智能又成为检测模型的极好输入,形式一个良好的反馈体系。展望未来,安全产品将可以快速地利用安全智能,更快、更准确的识别各种高级威胁攻击。
华为安全,知己知彼,引领未来安全之路
作为业界主流安全厂商,华为一方面坚持加强“知己”的修炼,继续优化提升以USG6000下一代防火墙为典型代表的单点防御安全产品的感知能力和防御精准度;另一方面也积极探索“知彼”领域的探索,在2015年率先发布沙箱、大数据分析平台、云清洗解决方案等系列化的安全产品与解决方案,实现了主动防御模式的创新。
在大量攻击样本和各种威胁信息的基础上,深入分析各种攻击行为和攻击手法,通过专家分析和机器自学习,华为CIS 大数据平台产品建立了丰富的异常检测模型,可以有效识别APT攻击链上各个环节上的异常行为,同时通过对环境的深入认识,包括识别环境中的价值资产、用户等内部信息,通过最后的多维威胁分析,可以有效的识别各种高级威胁,同时还可以生成相关的威胁信息并共享给NGFW、NGIPS等传统安全设备,真正构筑了全网“知己知彼”的全网反馈式主动防御体系。
