IT不再是企業(yè)業(yè)務(wù)的支撐，而是驅(qū)動力，例如云計算創(chuàng)新、BYOD高效辦公。IT與業(yè)務(wù)結(jié)合越緊密，安全問題對業(yè)務(wù)造成的影響就越直接，而安全攻擊本身越復(fù)雜，對業(yè)務(wù)開展造成的阻礙就越大。IT的效率和安全永遠(yuǎn)在博弈前進，而APT的出現(xiàn)，使得CIO/CISO心中的天平再次出現(xiàn)了傾斜，而且很難再恢復(fù)。

　　APT：安全防御的新難題

　　近兩年發(fā)生的一些重大安全事件可以幫助我們理解CIO/CISO的這種擔(dān)憂。伊朗核設(shè)施震網(wǎng)攻擊：2010年7月，攻擊者使用最新漏洞蠕蟲軟件對伊朗納坦茲的核設(shè)施進行攻擊，使得伊朗的布什爾核電站推遲啟動。后續(xù)調(diào)查顯示，這次攻擊系美國針對鈾濃縮設(shè)備的攻擊；韓國銀行APT攻擊：2013年3月，黑客通過社交工程和惡意軟件攻擊多家金融機構(gòu)，導(dǎo)致信息系統(tǒng)幾乎癱瘓。后續(xù)調(diào)查顯示，此次攻擊系朝鮮所為，黑客至少用了8個月來策劃，攻擊次數(shù)達(dá)到1500次，受害計算機總數(shù)達(dá)48000臺，黑客所植入的惡意軟件共有76種。

　　可以看到，APT攻擊主要針對的是一個國家和企業(yè)的核心利益，這和傳統(tǒng)攻擊明顯不同。APT攻擊與傳統(tǒng)攻擊的本質(zhì)區(qū)別源于攻擊的目的性、組織性和資源投入差異。APT攻擊者屬于精銳部隊，精準(zhǔn)持續(xù)攻擊。而傳統(tǒng)攻擊者則屬于散兵游勇，打一槍換個地方。APT防御是在和一個類似軍隊的組織對抗，這就是CIO/CISO不安的最大原因。

　　據(jù)統(tǒng)計，目前80%的APT攻擊都是通過惡意軟件來實施。另外，據(jù)CNCERT統(tǒng)計，相比2011年，2012年移動終端惡意軟件增加了25倍，企業(yè)BYOD策略的實施，在企業(yè)防御墻上又開了一道口子，隨著BYOD部署的深入，移動APT攻擊會越來越頻繁。所以，惡意文件檢測很重要，目前業(yè)界APT防御主要基于此。

　　APT攻擊者利用社會工程、外網(wǎng)探測、釣魚網(wǎng)站、釣魚郵件、PC惡意軟件、BYOD移動設(shè)備惡意軟件、內(nèi)網(wǎng)探測掃描、AD身份盜用、網(wǎng)絡(luò)端口盜用、流量加密等多種攻擊手段，分多個階段，繞過傳統(tǒng)防火墻、入侵防御、防病毒等系統(tǒng)，長期隱藏于目標(biāo)網(wǎng)絡(luò)中，進行精準(zhǔn)的信息竊取和破壞活動。因此，APT防御的目的是要檢測整個APT攻擊行為和路徑，而不僅僅是其中的一個惡意軟件手段。即使木桶的一塊板再高，如果有其它短板，CIO/CISO的不安仍然不會消除。

　　華為無漏洞APT防御解決方案

　　由此可見，APT的防護，除了局部的惡意文件檢測防護，還需要對網(wǎng)絡(luò)和端點的異常行為進行關(guān)聯(lián)協(xié)同分析，以檢測APT，并能夠快速實施全局的APT響應(yīng)與控制。

　　基于這個思想，華為推出了無漏洞APT防御解決方案，全面防御APT威脅。它包括5大部分：網(wǎng)關(guān)、終端、云后臺、沙箱，以及大數(shù)據(jù)分析系統(tǒng)。其中，網(wǎng)關(guān)提供網(wǎng)絡(luò)APT檢測與APT阻斷控制功能；云后臺和沙箱為網(wǎng)關(guān)擴展APT檢測能力：簽名檢測、信譽檢測和未知文件沙箱檢測；終端提供端點側(cè)的BYOD保護與APT控制功能；大數(shù)據(jù)行為分析系統(tǒng)則是APT防護的中樞，提供基于大數(shù)據(jù)的APT事件全局關(guān)聯(lián)檢測能力，并實現(xiàn)全局APT安全控制。

　　安全網(wǎng)關(guān)設(shè)備對網(wǎng)絡(luò)數(shù)據(jù)進行3～7層的逐層檢測，既保證全面的檢測，又能實現(xiàn)高性能。數(shù)據(jù)報文到NGFW/IPS安全網(wǎng)關(guān)時，首先在IP層進行主機信譽過濾，之后經(jīng)過IPS掃描檢測和簽名庫檢測過濾，數(shù)據(jù)文件通過安全設(shè)備AV簽名匹配過濾，以及Web信譽、文件信譽、黑灰白名單匹配過濾，到這一步已經(jīng)能夠識別較多的APT攻擊事件，最后未能識別的文件放入沙箱中檢測，通過還原文件行為識別惡意文件。云后臺通過集成沙箱的檢測結(jié)果，加速更新主機信譽、Web信譽、文件信譽和IPS入侵庫、AV病毒庫，有效縮短零日威脅的時間窗。

　　沙箱技術(shù)是檢測惡意文件的重要手段，華為經(jīng)過將近5年積累，目前支持種類最全的沙箱：Windows PE沙箱、Web沙箱、重量級沙箱和Android沙箱，靜態(tài)檢測與動態(tài)檢測相結(jié)合，同時威脅行為特征支持300左右，用以覆蓋全面的未知文件威脅檢測，例如Windows PE文件、PDF文件、Office文件、Web文件和圖像文件，標(biāo)準(zhǔn)配置沙箱系統(tǒng)性能達(dá)到每天7萬個文件，識別率達(dá)到99%以上，威脅響應(yīng)時間在30s左右。

　　華為BYOD安全解決方案能夠作為APT防御方案的一部分，提供MDM（移動設(shè)備管理）/NAC（網(wǎng)絡(luò)接入控制）終端安全管控能力，有效降低了APT攻擊的威脅。但是，APT并沒有消除，例如移動設(shè)備在社交網(wǎng)站上下載了定向的惡意軟件，這些惡意軟件很容易通過Wi-Fi和VPN通道滲透到企業(yè)內(nèi)網(wǎng)。因此，華為BYOD安全方案新增了基于移動Container沙箱的MAM（移動應(yīng)用管理）方案，將移動應(yīng)用進行單獨隔離和安全策略管理。同時，大數(shù)據(jù)行為分析系統(tǒng)通過對BYOD PC終端和移動終端異常行為進行分析，結(jié)合網(wǎng)絡(luò)側(cè)異常行為的大數(shù)據(jù)分析結(jié)果，精確定位APT威脅，消除企業(yè)CIO/CISO對開展企業(yè)BYOD辦公的疑慮，提升企業(yè)運作效率。

　　APT精確檢測只是第一步，更重要的是應(yīng)急響應(yīng)與控制。華為APT解決方案分為兩個層面，一個是局部的APT響應(yīng)控制，一個是全局的APT響應(yīng)控制。

　　安全網(wǎng)關(guān)設(shè)備在檢測到掃描入侵、端口盜用、CC通道、惡意Web訪問、釣魚郵件、惡意文件下載等網(wǎng)絡(luò)層威脅時，即時做出網(wǎng)絡(luò)安全策略控制，簡單而快速地消除APT安全隱患。但是這種控制只是局部的，安全管理員沒有足夠的信息來確認(rèn)，在其它網(wǎng)絡(luò)節(jié)點或者終端上是否有來自同一個APT組織的其它手段的攻擊。而基于大數(shù)據(jù)全局檢測結(jié)果，安全管理員能夠迅速定位APT攻擊的路徑和已經(jīng)感染、可能感染的終端的位置，并通過網(wǎng)關(guān)控制阻斷APT網(wǎng)絡(luò)攻擊通道，并隔離修復(fù)被感染的BYOD移動終端。

　　例如來自某個國家的APT攻擊，使用最新的惡意軟件，繞過了安全網(wǎng)關(guān)，入侵到企業(yè)某個Wi-Fi接入的BYOD設(shè)備，行為分析系統(tǒng)通過大數(shù)據(jù)分析網(wǎng)關(guān)安全異常、端點異常，檢測到了疑似APT攻擊。此時安全管理員可以基于大數(shù)據(jù)檢測結(jié)果，下發(fā)安全隔離策略給AnyOffice客戶端和AC，在終端上隔離惡意軟件，強制終端下線。

　　基于華為的IT實踐和全球安全趨勢分析，我們認(rèn)為，最多3年以后，APT攻擊將越來越具有隱蔽性，攻擊者會逐步從使用惡意文件進行APT攻擊轉(zhuǎn)變到采用綜合手段攻擊，綜合攻擊最終會成為主流，用以繞過企業(yè)的沙箱檢測手段，包括增加惡意軟件的潛伏期、一次性使用惡意軟件和惡意Web頁面等等。這就需要APT方案能夠在未來幾年進行擴展，不僅需要使用沙箱技術(shù)，還需要使用大數(shù)據(jù)檢測技術(shù)。

　　華為APT解決方案，在完整的框架下，優(yōu)化單點防御能力，如領(lǐng)先的網(wǎng)關(guān)檢測與控制產(chǎn)品，完善的沙箱檢測技術(shù)、領(lǐng)先的BYOD安全防御方案，結(jié)合網(wǎng)絡(luò)和端點的全局大數(shù)據(jù)分析技術(shù)，為客戶提供無漏洞的APT檢測與控制響應(yīng)解決方案，使企業(yè)IT的安全與效率再一次真正恢復(fù)平衡。