APT是高級(jí)持續(xù)性威脅，攻擊者是有針對(duì)性的持續(xù)活動(dòng)，這些活動(dòng)背后的操作者會(huì)花費(fèi)大量時(shí)間和經(jīng)歷制定詳細(xì)計(jì)劃，讓他們不僅能夠訪問(wèn)企業(yè)網(wǎng)絡(luò)和數(shù)據(jù)，還能夠保持其訪問(wèn)權(quán)限達(dá)數(shù)年之久。而一般使用的方法包括惡意軟件、軟件漏洞、WEB漏洞、釣魚(yú)郵件等完成攻擊，所以可以理解是各種日常攻擊的組合。

這也是面對(duì)APT攻擊一直沒(méi)有一個(gè)有效防護(hù)手段的原因，人員變更、安全策略變更、軟硬件供應(yīng)商的變更等，這些在你的安全策略比較成熟的情況下，都是APT很好的切入點(diǎn)。

披露出來(lái)的APT攻擊會(huì)給人造成一種假象，即APT攻擊大多數(shù)都是以政治目的引起的，在商業(yè)環(huán)境中并不多見(jiàn)。其實(shí)這是安全圈的一個(gè)怪現(xiàn)象，家丑不可外揚(yáng)，當(dāng)企業(yè)受到攻擊之后，誰(shuí)也不愿意披露出來(lái)。并且筆者也相信，很多安全廠商在協(xié)助客戶調(diào)查APT攻擊時(shí)，也都會(huì)被要求簽保密協(xié)議。

在互聯(lián)網(wǎng)+時(shí)代，IT系統(tǒng)從過(guò)去的支撐部門(mén)，變成了業(yè)務(wù)驅(qū)動(dòng)部門(mén)，IT已經(jīng)成為企業(yè)的核心資產(chǎn)，不是你并沒(méi)有被APT光顧，而是黑客認(rèn)為投入和收益沒(méi)有達(dá)成比例，當(dāng)收益數(shù)倍高于投入時(shí)，也許APT攻擊就離你不遠(yuǎn)了。

應(yīng)用大數(shù)據(jù)安全分析平臺(tái)抵御APT

為了應(yīng)對(duì)日益嚴(yán)峻的安全威脅，大數(shù)據(jù)安全分析技術(shù)的應(yīng)用，給安全環(huán)境帶了改善，基于大數(shù)據(jù)技術(shù)的智能威脅防御技術(shù)，打破了傳統(tǒng) APT 防御手段中對(duì)于大數(shù)據(jù)量的存儲(chǔ)問(wèn)題、調(diào)查問(wèn)題、模型歸納問(wèn)題等。實(shí)現(xiàn)背景數(shù)據(jù)過(guò)濾，對(duì)象數(shù)據(jù)提取，環(huán)境數(shù)據(jù)集成，分析模型運(yùn)算，數(shù)據(jù)結(jié)果展現(xiàn)等功能。與傳統(tǒng)手段相比，能夠更加有效的呈現(xiàn)高級(jí)威脅、刻畫(huà)安全狀態(tài)、預(yù)測(cè)未來(lái)趨勢(shì)。

作為國(guó)內(nèi)專業(yè)的安全公司，綠盟科技大數(shù)據(jù)安全分析平臺(tái)便是一款采用大數(shù)據(jù)技術(shù)的安全分析產(chǎn)品。通過(guò)匯總網(wǎng)絡(luò)中的安全設(shè)備、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、操作系統(tǒng)數(shù)據(jù)消除安全孤島，實(shí)現(xiàn)整體環(huán)境安全分析及檢測(cè)。

據(jù)了解，綠盟大數(shù)據(jù)安全分析平臺(tái)能夠接收多種數(shù)據(jù)源，包括但不限于網(wǎng)絡(luò)設(shè)備，如交換機(jī)、 路由器、網(wǎng)關(guān)等;安全設(shè)備，如防火墻、入侵防護(hù)、網(wǎng)閘、防毒墻等;安全系統(tǒng)，如身份認(rèn)證系統(tǒng)、集中授權(quán)系統(tǒng)等;應(yīng)用系統(tǒng)，如郵件系統(tǒng)、OA 系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、中間件系統(tǒng)等;業(yè)務(wù)系統(tǒng)，如 ERP 系統(tǒng)、CRM 系統(tǒng)等，全面覆蓋企業(yè)IT架構(gòu)中的各個(gè)層面，做到萬(wàn)無(wú)一失。

另外，通過(guò)安全態(tài)勢(shì)分析可以針對(duì)整體范圍或某一特定時(shí)間與環(huán)境，進(jìn)行因素理解與分析，最終形成歷史的整體態(tài)勢(shì)以及對(duì)未來(lái)短期的預(yù)測(cè)。通過(guò)態(tài)勢(shì)分析能夠很好的洞察企業(yè)內(nèi)部整體安全狀態(tài)，通過(guò)量化的評(píng)判指標(biāo)能夠直觀的理解當(dāng)前態(tài)勢(shì)情況。

值得一提的是，綠盟大數(shù)據(jù)分析平臺(tái)可配置圖形分析工具的應(yīng)用，使得數(shù)據(jù)分析結(jié)果能夠以更為簡(jiǎn)潔的方式進(jìn)行展現(xiàn)。可視化工具能夠繪制出常見(jiàn)的圖形，如折線圖、柱狀圖、條形圖、餅狀圖、表格等。圖形中的維度可以進(jìn)行任意調(diào)整，圖形中的被衡量的數(shù)據(jù)也可進(jìn)行調(diào)整，并且能夠自動(dòng)實(shí)現(xiàn)圖形與表格的相互轉(zhuǎn)換。

攻擊溯源 不要讓攻擊者逍遙法外

目前的安全事件難以找到源頭，難以發(fā)現(xiàn)攻擊過(guò)程，難以了解安全攻擊狀態(tài)，難以評(píng) 估受損程度，難以抵御下次攻擊。在這些事件中攻擊溯源尤其難以掌握，只要掌握住攻擊溯源后續(xù)問(wèn)題便可迎刃而解。

同時(shí)，所有的攻擊行為會(huì)以數(shù)據(jù)方式進(jìn)行固化保存，即使攻擊行為已經(jīng)結(jié)束，并且攻擊者消除企業(yè)內(nèi)受影響系統(tǒng)內(nèi)的日志，他的攻擊行為都會(huì)被完整記錄下來(lái)。攻擊行為的記錄能夠作為證據(jù)進(jìn)行永久保存，以便成為未來(lái)維權(quán)時(shí)的有效證據(jù)。

若想要不被任何數(shù)據(jù)安全隱困擾，不用再為重要數(shù)據(jù)丟失而煩惱擔(dān)心，尤其是有高度的隱秘性，以竊取核心資料為目的的APT攻擊威脅，不妨試試大數(shù)據(jù)分析平臺(tái)。