IT不再是企業(yè)業(yè)務(wù)的支撐，而是驅(qū)動(dòng)力，例如云計(jì)算創(chuàng)新、BYOD高效辦公。IT與業(yè)務(wù)結(jié)合越緊密，安全問(wèn)題對(duì)業(yè)務(wù)造成的影響就越直接，而安全攻擊本身越復(fù)雜，對(duì)業(yè)務(wù)開(kāi)展造成的阻礙就越大。IT的效率和安全永遠(yuǎn)在博弈前進(jìn)，而APT的出現(xiàn)，使得CIO/CISO心中的天平再次出現(xiàn)了傾斜，而且很難再恢復(fù)。

　　APT：安全防御的新難題

　　近兩年發(fā)生的一些重大安全事件可以幫助我們理解CIO/CISO的這種擔(dān)憂。伊朗核設(shè)施震網(wǎng)攻擊：2010年7月，攻擊者使用最新漏洞蠕蟲軟件對(duì)伊朗納坦茲的核設(shè)施進(jìn)行攻擊，使得伊朗的布什爾核電站推遲啟動(dòng)。后續(xù)調(diào)查顯示，這次攻擊系美國(guó)針對(duì)鈾濃縮設(shè)備的攻擊；韓國(guó)銀行APT攻擊：2013年3月，黑客通過(guò)社交工程和惡意軟件攻擊多家金融機(jī)構(gòu)，導(dǎo)致信息系統(tǒng)幾乎癱瘓。后續(xù)調(diào)查顯示，此次攻擊系朝鮮所為，黑客至少用了8個(gè)月來(lái)策劃，攻擊次數(shù)達(dá)到1500次，受害計(jì)算機(jī)總數(shù)達(dá)48000臺(tái)，黑客所植入的惡意軟件共有76種。

　　可以看到，APT攻擊主要針對(duì)的是一個(gè)國(guó)家和企業(yè)的核心利益，這和傳統(tǒng)攻擊明顯不同。APT攻擊與傳統(tǒng)攻擊的本質(zhì)區(qū)別源于攻擊的目的性、組織性和資源投入差異。APT攻擊者屬于精銳部隊(duì)，精準(zhǔn)持續(xù)攻擊。而傳統(tǒng)攻擊者則屬于散兵游勇，打一槍換個(gè)地方。APT防御是在和一個(gè)類似軍隊(duì)的組織對(duì)抗，這就是CIO/CISO不安的最大原因。

　　據(jù)統(tǒng)計(jì)，目前80%的APT攻擊都是通過(guò)惡意軟件來(lái)實(shí)施。另外，據(jù)CNCERT統(tǒng)計(jì)，相比2011年，2012年移動(dòng)終端惡意軟件增加了25倍，企業(yè)BYOD策略的實(shí)施，在企業(yè)防御墻上又開(kāi)了一道口子，隨著BYOD部署的深入，移動(dòng)APT攻擊會(huì)越來(lái)越頻繁。所以，惡意文件檢測(cè)很重要，目前業(yè)界APT防御主要基于此。

　　APT攻擊者利用社會(huì)工程、外網(wǎng)探測(cè)、釣魚網(wǎng)站、釣魚郵件、PC惡意軟件、BYOD移動(dòng)設(shè)備惡意軟件、內(nèi)網(wǎng)探測(cè)掃描、AD身份盜用、網(wǎng)絡(luò)端口盜用、流量加密等多種攻擊手段，分多個(gè)階段，繞過(guò)傳統(tǒng)防火墻、入侵防御、防病毒等系統(tǒng)，長(zhǎng)期隱藏于目標(biāo)網(wǎng)絡(luò)中，進(jìn)行精準(zhǔn)的信息竊取和破壞活動(dòng)。因此，APT防御的目的是要檢測(cè)整個(gè)APT攻擊行為和路徑，而不僅僅是其中的一個(gè)惡意軟件手段。即使木桶的一塊板再高，如果有其它短板，CIO/CISO的不安仍然不會(huì)消除。

　　華為無(wú)漏洞APT防御解決方案

　　由此可見(jiàn)，APT的防護(hù)，除了局部的惡意文件檢測(cè)防護(hù)，還需要對(duì)網(wǎng)絡(luò)和端點(diǎn)的異常行為進(jìn)行關(guān)聯(lián)協(xié)同分析，以檢測(cè)APT，并能夠快速實(shí)施全局的APT響應(yīng)與控制。

　　基于這個(gè)思想，華為推出了無(wú)漏洞APT防御解決方案，全面防御APT威脅。它包括5大部分：網(wǎng)關(guān)、終端、云后臺(tái)、沙箱，以及大數(shù)據(jù)分析系統(tǒng)。其中，網(wǎng)關(guān)提供網(wǎng)絡(luò)APT檢測(cè)與APT阻斷控制功能；云后臺(tái)和沙箱為網(wǎng)關(guān)擴(kuò)展APT檢測(cè)能力：簽名檢測(cè)、信譽(yù)檢測(cè)和未知文件沙箱檢測(cè)；終端提供端點(diǎn)側(cè)的BYOD保護(hù)與APT控制功能；大數(shù)據(jù)行為分析系統(tǒng)則是APT防護(hù)的中樞，提供基于大數(shù)據(jù)的APT事件全局關(guān)聯(lián)檢測(cè)能力，并實(shí)現(xiàn)全局APT安全控制。

　　安全網(wǎng)關(guān)設(shè)備對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行3～7層的逐層檢測(cè)，既保證全面的檢測(cè)，又能實(shí)現(xiàn)高性能。數(shù)據(jù)報(bào)文到NGFW/IPS安全網(wǎng)關(guān)時(shí)，首先在IP層進(jìn)行主機(jī)信譽(yù)過(guò)濾，之后經(jīng)過(guò)IPS掃描檢測(cè)和簽名庫(kù)檢測(cè)過(guò)濾，數(shù)據(jù)文件通過(guò)安全設(shè)備AV簽名匹配過(guò)濾，以及Web信譽(yù)、文件信譽(yù)、黑灰白名單匹配過(guò)濾，到這一步已經(jīng)能夠識(shí)別較多的APT攻擊事件，最后未能識(shí)別的文件放入沙箱中檢測(cè)，通過(guò)還原文件行為識(shí)別惡意文件。云后臺(tái)通過(guò)集成沙箱的檢測(cè)結(jié)果，加速更新主機(jī)信譽(yù)、Web信譽(yù)、文件信譽(yù)和IPS入侵庫(kù)、AV病毒庫(kù)，有效縮短零日威脅的時(shí)間窗。

　　沙箱技術(shù)是檢測(cè)惡意文件的重要手段，華為經(jīng)過(guò)將近5年積累，目前支持種類最全的沙箱：Windows PE沙箱、Web沙箱、重量級(jí)沙箱和Android沙箱，靜態(tài)檢測(cè)與動(dòng)態(tài)檢測(cè)相結(jié)合，同時(shí)威脅行為特征支持300左右，用以覆蓋全面的未知文件威脅檢測(cè)，例如Windows PE文件、PDF文件、Office文件、Web文件和圖像文件，標(biāo)準(zhǔn)配置沙箱系統(tǒng)性能達(dá)到每天7萬(wàn)個(gè)文件，識(shí)別率達(dá)到99%以上，威脅響應(yīng)時(shí)間在30s左右。

　　華為BYOD安全解決方案能夠作為APT防御方案的一部分，提供MDM（移動(dòng)設(shè)備管理）/NAC（網(wǎng)絡(luò)接入控制）終端安全管控能力，有效降低了APT攻擊的威脅。但是，APT并沒(méi)有消除，例如移動(dòng)設(shè)備在社交網(wǎng)站上下載了定向的惡意軟件，這些惡意軟件很容易通過(guò)Wi-Fi和VPN通道滲透到企業(yè)內(nèi)網(wǎng)。因此，華為BYOD安全方案新增了基于移動(dòng)Container沙箱的MAM（移動(dòng)應(yīng)用管理）方案，將移動(dòng)應(yīng)用進(jìn)行單獨(dú)隔離和安全策略管理。同時(shí)，大數(shù)據(jù)行為分析系統(tǒng)通過(guò)對(duì)BYOD PC終端和移動(dòng)終端異常行為進(jìn)行分析，結(jié)合網(wǎng)絡(luò)側(cè)異常行為的大數(shù)據(jù)分析結(jié)果，精確定位APT威脅，消除企業(yè)CIO/CISO對(duì)開(kāi)展企業(yè)BYOD辦公的疑慮，提升企業(yè)運(yùn)作效率。

　　APT精確檢測(cè)只是第一步，更重要的是應(yīng)急響應(yīng)與控制。華為APT解決方案分為兩個(gè)層面，一個(gè)是局部的APT響應(yīng)控制，一個(gè)是全局的APT響應(yīng)控制。

　　安全網(wǎng)關(guān)設(shè)備在檢測(cè)到掃描入侵、端口盜用、CC通道、惡意Web訪問(wèn)、釣魚郵件、惡意文件下載等網(wǎng)絡(luò)層威脅時(shí)，即時(shí)做出網(wǎng)絡(luò)安全策略控制，簡(jiǎn)單而快速地消除APT安全隱患。但是這種控制只是局部的，安全管理員沒(méi)有足夠的信息來(lái)確認(rèn)，在其它網(wǎng)絡(luò)節(jié)點(diǎn)或者終端上是否有來(lái)自同一個(gè)APT組織的其它手段的攻擊。而基于大數(shù)據(jù)全局檢測(cè)結(jié)果，安全管理員能夠迅速定位APT攻擊的路徑和已經(jīng)感染、可能感染的終端的位置，并通過(guò)網(wǎng)關(guān)控制阻斷APT網(wǎng)絡(luò)攻擊通道，并隔離修復(fù)被感染的BYOD移動(dòng)終端。

　　例如來(lái)自某個(gè)國(guó)家的APT攻擊，使用最新的惡意軟件，繞過(guò)了安全網(wǎng)關(guān)，入侵到企業(yè)某個(gè)Wi-Fi接入的BYOD設(shè)備，行為分析系統(tǒng)通過(guò)大數(shù)據(jù)分析網(wǎng)關(guān)安全異常、端點(diǎn)異常，檢測(cè)到了疑似APT攻擊。此時(shí)安全管理員可以基于大數(shù)據(jù)檢測(cè)結(jié)果，下發(fā)安全隔離策略給AnyOffice客戶端和AC，在終端上隔離惡意軟件，強(qiáng)制終端下線。

　　基于華為的IT實(shí)踐和全球安全趨勢(shì)分析，我們認(rèn)為，最多3年以后，APT攻擊將越來(lái)越具有隱蔽性，攻擊者會(huì)逐步從使用惡意文件進(jìn)行APT攻擊轉(zhuǎn)變到采用綜合手段攻擊，綜合攻擊最終會(huì)成為主流，用以繞過(guò)企業(yè)的沙箱檢測(cè)手段，包括增加惡意軟件的潛伏期、一次性使用惡意軟件和惡意Web頁(yè)面等等。這就需要APT方案能夠在未來(lái)幾年進(jìn)行擴(kuò)展，不僅需要使用沙箱技術(shù)，還需要使用大數(shù)據(jù)檢測(cè)技術(shù)。

　　華為APT解決方案，在完整的框架下，優(yōu)化單點(diǎn)防御能力，如領(lǐng)先的網(wǎng)關(guān)檢測(cè)與控制產(chǎn)品，完善的沙箱檢測(cè)技術(shù)、領(lǐng)先的BYOD安全防御方案，結(jié)合網(wǎng)絡(luò)和端點(diǎn)的全局大數(shù)據(jù)分析技術(shù)，為客戶提供無(wú)漏洞的APT檢測(cè)與控制響應(yīng)解決方案，使企業(yè)IT的安全與效率再一次真正恢復(fù)平衡。