笑傲江湖中武功排行TOP1的高手風清揚，一曲“獨孤九劍”，深諳天下武功，唯快不破的道理，快是要在火光化石之間悉知對手的下一招，然后快速出招制敵，令狐沖后來以此也練成“為人見人愛，花見花開”的頂尖高手。第二次世界大戰，隆美爾在北非戰無不勝，依靠的是能悉知對手的作戰手法，輔以對手現狀的了解，迅速的調整戰略，以快制敵，獲得對手給予的美稱：沙漠之狐。這一切，都源于少數人真正深刻的理解了一個原則：知己知彼，百戰不殆。道理是相通的，安全防護也遵循這個原則，誰搶先一步理解并熟練的運用了這個原則，誰就在安全攻防戰中搶得先機。

攻擊者精準的“知彼”往往事半功倍

高級黑客為了解對手，對信息的收集那是相當的重視，攻擊的方式，惡意軟件都依賴于對用戶的了解，所有的一切攻擊步驟都是定制，刀刀直中要害。例如通過搜集組織員工的信息，深入了解他們的社會關系、個人愛好、終端的安全防護等情況，繼而定制一些攻擊手段來控制該員工電腦，以此為跳板從而順利進入組織網絡。

在Google 遭受的極光APT攻擊中，就是利用某個員工對攝影的喜好，定制偽造照片網站的Web服務器。該Google員工收到來自信任的人發來的網絡鏈接并且點擊它，就進入了惡意網站并在不知不覺中下載更多木馬軟件，震驚全球的“極光事件”就此拉開大幕。

傳統安全只“知己” 被動防御攻防失衡

傳統的安全防御，是以漏洞為中心展開的。傳統防御的安全產品是依靠對漏洞的理解，并在此基礎上利用漏洞的觸發條件進行簽名設計，只有匹配簽名的攻擊，才能被識別。此種模式下，簽名的質量與范疇直接影響了防御體系的有效性，在面對變化多端的高級威脅時，由于缺乏對未知威脅的防御經驗，往往導致防御能力大打折扣。

近年來安全防御體系也在不斷的進化過程中，這種變化其實也是在“知己”方面投入更多的力量。例如NGFW\NGIPS等安全產品著力發展情境感知的能力，這些感知能力包括資產、位置、拓撲、應用、身份、內容等信息。這種基于漏洞的被動防御體系優化的，可以提高檢測精準度，但是無法對目前攻防失衡的現狀產生質的影響。

新思維聚焦“知彼” 主動防御搶占先機

Verizon發布《2013年數據破壞調查報告》，明確提出了應對APT的最高原則——知己、更要知彼，強調真正主動有效的安全預防體系是“料敵先機”。

所謂“知彼”就是要有效識別攻擊對手、工具及相關技術原理等信息，可以利用這些數據來發現惡意活動，甚至可以定位到具體的組織或個人。

具體到時下最熱門的高級威脅攻擊APT， “知彼”就是要有效的對APT攻擊鏈進行識別，識別攻擊者的攻擊行為引發的異常，比如DNS異常行為、Mail異常等等，在分析大量攻防基礎數據和安全智能基礎上，深度了解攻擊方的各種攻擊鏈、攻擊工具、攻擊手法等，提取相關的信息，并結合大量 “知己”信息，運用強大的機器自學習能力，總結攻擊模型，從而有效的識別各種異常行為，“未見其人，先聞其聲”，這種主動防御模式，完全突破了以前被動挨打的局面，從而有效的扭轉攻防失衡的狀態。變被動為主動，有效的擴大入侵和破壞之間的時間窗，縮小檢測和響應之間的時間窗，構筑應對高級威脅的防御體系。

在認識“知彼”的過程中，包括機器自學習等前沿技術得以應用發展，繼而引導了安全智能的熱潮。同時安全智能又成為檢測模型的極好輸入，形式一個良好的反饋體系。展望未來，安全產品將可以快速地利用安全智能，更快、更準確的識別各種高級威脅攻擊。

華為安全，知己知彼，引領未來安全之路

作為業界主流安全廠商，華為一方面堅持加強“知己”的修煉，繼續優化提升以USG6000下一代防火墻為典型代表的單點防御安全產品的感知能力和防御精準度;另一方面也積極探索“知彼”領域的探索，在2015年率先發布沙箱、大數據分析平臺、云清洗解決方案等系列化的安全產品與解決方案，實現了主動防御模式的創新。

在大量攻擊樣本和各種威脅信息的基礎上，深入分析各種攻擊行為和攻擊手法，通過專家分析和機器自學習，華為CIS 大數據平臺產品建立了豐富的異常檢測模型，可以有效識別APT攻擊鏈上各個環節上的異常行為，同時通過對環境的深入認識，包括識別環境中的價值資產、用戶等內部信息，通過最后的多維威脅分析，可以有效的識別各種高級威脅，同時還可以生成相關的威脅信息并共享給NGFW、NGIPS等傳統安全設備，真正構筑了全網“知己知彼”的全網反饋式主動防御體系。