面對(duì)如今越發(fā)嚴(yán)重的安全形勢(shì)，傳統(tǒng)的安全思維也面臨諸多挑戰(zhàn)。
　　傳統(tǒng)安全方法已無(wú)法應(yīng)對(duì)高級(jí)攻擊
　　2014年是傳統(tǒng)安全行業(yè)面臨巨大挑戰(zhàn)的一年。數(shù)據(jù)顯示，接近八萬(wàn)家企業(yè)發(fā)生數(shù)據(jù)泄露，五百?gòu)?qiáng)中一半之內(nèi)的企業(yè)都在內(nèi)，因?yàn)榘踩录绊懙?6位高管引咎辭職，比如美國(guó)最大零售商Target的CEO包括CIO因?yàn)橛脩?hù)信息泄露而離開(kāi)公司。
　　這都是由于APT高級(jí)持續(xù)定向攻擊導(dǎo)致的。其實(shí)APT使用的方法不見(jiàn)得有多么高端，可能很簡(jiǎn)單的方法就把你拿下了。APT攻擊最關(guān)鍵的有兩點(diǎn)，分別是“持續(xù)”、“定向”，就是一旦盯上你了就一定要把你拿下。APT攻擊已經(jīng)成為我們面臨的最大威脅。
　　360天眼實(shí)驗(yàn)室跟蹤到的中國(guó)被APT攻擊的情況顯示，很多團(tuán)伙組織在國(guó)內(nèi)進(jìn)行APT活動(dòng)。據(jù)360天眼實(shí)驗(yàn)室發(fā)現(xiàn)，2012年4月起，某境外組織對(duì)中國(guó)政府、科研院所、海事機(jī)構(gòu)、海運(yùn)建設(shè)、航運(yùn)企業(yè)等相關(guān)重要領(lǐng)域展開(kāi)了有計(jì)劃、有針對(duì)性的長(zhǎng)期滲透和攻擊，代號(hào)為OceanLotus(海蓮花)。該組織主要通過(guò)魚(yú)叉攻擊和水坑攻擊等方法，配合多種社會(huì)工程學(xué)手段進(jìn)行滲透，向境內(nèi)特定目標(biāo)人群傳播免殺木馬程序，秘密控制部分政府人員、外包商和行業(yè)專(zhuān)家的電腦系統(tǒng)，竊取系統(tǒng)中相關(guān)領(lǐng)域的機(jī)密資料。
　　通過(guò)一系列的分析回溯，我們發(fā)現(xiàn)海蓮花攻擊已經(jīng)潛伏了三年以上，境外組織針對(duì)我國(guó)相關(guān)政府機(jī)構(gòu)海事機(jī)構(gòu)包括研究所，進(jìn)行了長(zhǎng)達(dá)三年之久的定向跟蹤攻擊。但他們所采用的手法并不復(fù)雜，就是利用魚(yú)叉與水坑攻擊的方式，結(jié)合社會(huì)工程學(xué)發(fā)出帶有惡意軟件的郵件，以及攻陷組織機(jī)構(gòu)自身站點(diǎn)，在上面放一些偽裝的升級(jí)程序，利用這樣的方法感染主機(jī)，達(dá)到竊取機(jī)密信息的目的。雖然從技術(shù)角度來(lái)看，所使用的技術(shù)手段并不是很復(fù)雜，但是真的讓眾多國(guó)內(nèi)行業(yè)用戶(hù)被攻陷。
　　我們后面不斷的跟蹤，發(fā)現(xiàn)攻擊者的手段也在提升，利用云控木馬，包括近期還在活動(dòng)的利用非PE的PDF惡意樣本，這種惡意樣本，大部分公司員工是很難分辨的。所以可以看到，現(xiàn)有的很多安全技術(shù)，不管是防火墻、IPS、防病毒，還是沙箱，面對(duì)眾多現(xiàn)代新型攻擊時(shí)，都很容易被繞過(guò)，傳統(tǒng)的防護(hù)手段已經(jīng)捉襟見(jiàn)肘，無(wú)法抵擋高端攻擊了。
　　我們?cè)瓉?lái)總希望在某一個(gè)時(shí)間、某一個(gè)位置把攻擊擋住，這在現(xiàn)今看來(lái)，已經(jīng)不太可能了。原來(lái)的防御思路就像在研究一片樹(shù)葉，而現(xiàn)在的思路需要把視野放寬到整個(gè)森林。當(dāng)我們看到整個(gè)互聯(lián)網(wǎng)上的數(shù)據(jù)時(shí)，就會(huì)找到很多的線索。
　　大數(shù)據(jù)方法發(fā)現(xiàn)未知威脅
　　當(dāng)我們把眼睛放在整個(gè)互聯(lián)網(wǎng)的森林，通過(guò)360大數(shù)據(jù)技術(shù)進(jìn)行安全防范，看看會(huì)有什么不一樣？
　　以一個(gè)沒(méi)有任何防護(hù)檢測(cè)的設(shè)備為例，通過(guò)360大數(shù)據(jù)技術(shù)平臺(tái)，我們可以看到在一個(gè)關(guān)于惡意攻擊樣本的相關(guān)問(wèn)題，包括一些惡意的域名、有沒(méi)有其他的手法、這個(gè)攻擊的背景以及受攻擊的信息還有哪些手段來(lái)做等，還可以關(guān)聯(lián)到相關(guān)的服務(wù)器的IP地址，包括相關(guān)的域名、域名之間的聯(lián)線。整個(gè)可視化的過(guò)程就是基于全網(wǎng)數(shù)據(jù)的分析，而且這是一個(gè)可視化的分析過(guò)程，而不僅僅是一個(gè)展現(xiàn)過(guò)程，而這一切靠的都是大數(shù)據(jù)分析能力。
　　360擁有全球最大的文件庫(kù)，總?cè)罩緮?shù)達(dá)到95億；主防庫(kù)覆蓋中國(guó)5億PC客戶(hù)端，總?cè)罩緮?shù)達(dá)到50000億；域名庫(kù)擁有50億域名解析記錄；互聯(lián)網(wǎng)存活網(wǎng)址庫(kù)每天有300億條查詢(xún)量，每天處理一百多億條……所有這些安全大數(shù)據(jù)綜合在一起，讓我們能夠通過(guò)分析看到線索，還原整個(gè)攻擊的過(guò)程。當(dāng)然，只有大數(shù)據(jù)本身還是遠(yuǎn)遠(yuǎn)不夠的。在大數(shù)據(jù)方面，不能單純看數(shù)據(jù)有多大，還要看對(duì)大數(shù)據(jù)的分析處理能力。360公司擁有一個(gè)EB的數(shù)據(jù)，擁有超過(guò)40000臺(tái)服務(wù)器，具備一分鐘可調(diào)動(dòng)幾十萬(wàn)CPU核的綜合處理能力。所使用的數(shù)據(jù)挖掘與分析方法包括機(jī)器學(xué)習(xí)、人工智能、深度學(xué)習(xí)等多種方法，這樣360才能在有任何線索時(shí)，就快速把整個(gè)過(guò)程回溯分析出來(lái)，即便沒(méi)有線索，也能通過(guò)無(wú)監(jiān)督的機(jī)器學(xué)習(xí)找出線索。
　　過(guò)去，我們將太多的精力放在實(shí)時(shí)防御上面，但并沒(méi)有將威脅完全擋住，這個(gè)時(shí)代已經(jīng)過(guò)去了。我們需要建立一個(gè)完整的防御體系，從防御、檢測(cè)到響應(yīng)，甚至通過(guò)威脅情報(bào)將攻擊事件的預(yù)測(cè)做起來(lái)，而這一切的核心就是要掌握海量的數(shù)據(jù)，并具備強(qiáng)大的數(shù)據(jù)分析能力。
　　現(xiàn)在，我們已經(jīng)處在一個(gè)必須變革的時(shí)代，已經(jīng)不可能靠一兩個(gè)安全專(zhuān)家就將安全這件事搞定。只有將網(wǎng)絡(luò)層、終端層、應(yīng)用交互層、用戶(hù)行為層等多種數(shù)據(jù)搜集起來(lái)，才可能讓企業(yè)具備持續(xù)的威脅檢測(cè)發(fā)現(xiàn)能力，及時(shí)發(fā)現(xiàn)未知威脅，避免遭到更大的安全損失。（文/ITValue 胡敏 本文根據(jù)韓永剛在2015IT價(jià)值峰會(huì)的演講整理）
　　關(guān)于ITValue一年一度的IT價(jià)值峰會(huì)
　　今年峰會(huì)主題為“IT新思維——新一輪技術(shù)商業(yè)創(chuàng)新的方向與方法”，300余名來(lái)自知名企業(yè)CEO、CIO、CTO、IT總監(jiān)、技術(shù)總監(jiān)、互聯(lián)網(wǎng)及信息化資深專(zhuān)家和學(xué)者齊聚三亞海棠灣香格里拉度假酒店，將在三天的時(shí)間里探討IT思維、互聯(lián)網(wǎng)轉(zhuǎn)型路徑、云視角下的IT、互聯(lián)網(wǎng)顛覆者等主題進(jìn)行深入的交流和討論。Face to Face技術(shù)專(zhuān)家與CIO一對(duì)一交流、千億級(jí)企業(yè)CIO俱樂(lè)部沙龍、國(guó)內(nèi)外產(chǎn)業(yè)科技創(chuàng)新項(xiàng)目DEMO SHOW、轉(zhuǎn)型私董會(huì)、創(chuàng)業(yè)私董會(huì)、SAP大數(shù)據(jù)游艇論壇、華碩之夜IT嘉年華晚會(huì)等特色活動(dòng)將把三天的活動(dòng)推向一個(gè)又一個(gè)高潮。