端管云三级联动 华为推APT大数据安全方案

  【天极网网络频道】【天极网网络频道】2015年5月21日，华为在华为网络大会(HNC2015)上推出了APT大数据安全解决方案。该方案以保护企业核心信息资产为核心，使用FireHunter系列安全沙箱、CIS网络安全智能系统、USG6000V系列软件防火墙等产品，覆盖了端、管、云全联接的网络防护，有效防范APT攻击带来的威胁。

  华为FireHunter系列安全沙箱用于对APT攻击中高级恶意软件的检测和防御，从而避免恶意软件对企业网络的渗透。由于使用了信誉系统和多层检测技术，FireHunter拥有业界最快的文件检测速度，每天能检测出超过18万个文件，是业界同类产品的1.5倍。同时FireHunter支持Web页面零日漏洞检测，在国内同类产品中是唯一的。支持该能力的厂家在全球范围内也仅有两家。这些技术使FireHunter发现未知威胁的效率大大增加。华为交换机与企业网络通信产品线副总裁刘立柱谈到，在部署华为安全沙箱的某个项目中，短短的两个月内我们就检测出230个未知威胁，其中72个是业界首次发现的。

华为交换机与企业网络通信产品线副总裁刘立柱

  对于沙箱技术， 刘立柱表示，因为APT最重要的第一步就是渗透、感染，如果APT沙箱检测的能力达不到分钟级，可能就会导致感染的扩大，如果不能快速把隐含在流量当中的恶意软件识别出来，这个问题非常大，这对APT沙箱本身的识别能力提出了更高的要求。FireHunter安全沙箱采用三层技术检测，第一层是基于信誉的，也就是特征库。第二层是启发式检测，第三个是虚拟化的仿真式运算。三层结合在一起，这样我们整个响应的效率会达到分钟级的，所以7万个文件我们只要5分钟。

  在华为发布的APT解决方案中，在端、管、云上的威胁阻断和清除，既可以通过硬件形态的安全设备实现，也可以通过虚拟化、跨平台的软件防火墙实现。本次华为发布的USG6000V系列软件防火墙，可根据业务需求，弹性地部署在敏捷交换机、敏捷路由器上，让全网的网元设备都具备安全能力。USG6000V丰富全面的安全特性，结合Agile Controller或其他SDN管理平台，构筑了网络中无处不在的安全能力。由于使用了Intel最新的DPDK和SRIOV技术及Hyperscan软件模式匹配引擎，每个软件防火墙的性能最高可达40Gbps，是业界平均水平的5倍。

  刘立柱表示，APT攻击隐藏在正常网络访问中，一旦成功渗透，则可能会潜伏很长时间。这期间恶意软件会不断扩散，不断获取更高权限，直至窃取到关键信息。因此，APT攻击极具隐蔽性。华为新推出的CIS网络安全智能系统，就是为了预警和清除对企业网络的APT攻击。CIS以大数据平台为基础，对海量的关键流量、日志、上下文以及外部的情报信息进行大数据关联性分析，及时发现各种可疑行为，预警被感染的对象，阻止APT攻击进一步渗透扩散，继而实施阻断、溯源和清理。CIS能检测出350多种可疑行为，是业界水平的2倍以上。相比于传统检测方式，CIS能够更快、更准地发现APT攻击。

  刘立柱补充道，APT的大数据安全分析的深度和算法的难度要高于DDoS。APT安全需要深度的机器学习，各种APT攻击行为、恶意的行为、未知的威胁产生的各种各样的网络流量上的蛛丝马迹，这些蛛丝马迹都要进行相关的联动分析。如果遭遇了APT攻击，APT攻击之后需要获得更高的控制权限，最终对核心系统达成控制的目标攻击，这样它的行为一定会表现出来，跟正常的流量一对比，就能发现异常行为。华为基于这样的设计理念来考虑APT大数据安全怎么去设计和发展，对于CIS网络安全智能系统来说就是加大采集样本范围以及运算的效率、可疑行为数目的积累。

  对于天极网记者提出的华为端管云的三级联动系统相比其他安全厂商的云管端解决方案有何优势的问题，刘立柱说，华为主要还是聚焦在网络安全领域，我们可以基于网络流量上去找到恶意的威胁和进行相应的防护，这个我们是有优势的。不管这些数据来源来自于云，还是来自于管道，或者来自于部分的端点，华为都可以采用大数据进行安全防护。应用层上所有漏洞最后都会反映到流量上面。

  对于目前物联网的安全现状，刘立柱表示，尽管物联网的发展让我们的生活更加便捷，但同时也放大了网络安全威胁。据统计，70%的物联网终端存在安全漏洞，且缺乏认证和传输加密。这意味着安全问题将延伸到人类生活的所有角落，危害更大。另一方面，物联网使攻击载体规模迅速放大，物联网终端将沦为APT攻击的跳板和僵尸网络的目标。对此，物联网所有的中心都会通过管道连到云中心才能起作用，华为在管道上可以发挥网络安全上的优势。

  总之，凭借华为“端管云”的三级联动，华为推出的APT大数据安全方案，帮助客户构筑出更加安全、清洁的全联接网络环境。