面對不同類型的攻擊,安全策略也必然會有所不同。過去十年間,安全服務關注的大多是普遍發生的民用攻擊,而在最近一兩年間,高級攻擊的發現與防禦才成爲國內安全工作者的焦點。
從基本安全策略來看:對於民用攻擊來說,安全服務考慮的重點自然是如何進行有效的防禦;而對於高級網絡攻擊來說,則應以“一定防不住”爲出發點制定安全策略,優先考慮的不是如何防,而是如何才能
夠看見和發現新的威脅。
從防護優先級來看:在民用攻擊中,安全服務會優先査殺和防禦那些攻擊範圍廣、感染量大的木馬病毒,而對於偶發的個例攻擊,則可能會在兼顧效率的原則下,有選擇地忽略;但在高級網絡攻擊中,即便是隻有一個用戶被攻擊,安全服務也不能輕易的將其忽敘略,因爲這一個用戶就有可能是一個高價值APT目標。
從防禦的深度來看:在民用攻擊中,安全服務只要能成功阻止攻擊,就算是防禦成功了,通常不會特別關心攻擊的源頭和背後的攻擊者;但在面對高級攻擊時,安全服務就必須要具有關聯分析和溯源分析的能力,因爲只要攻擊的源頭還存在,那麼對特定目標的攻擊就不會停止。從這個角度看,民用攻擊中的安全服務就像是小區保安,只管保護,不管抓人也不管破案;而高級攻擊中的安全服務則像是偵探或警察,必須有能力分析現場,追捕嫌疑人。
從核心技術手法來看:民用攻擊的防禦主要靠的是具體的攻防技術,包括驅動、引擎、沙箱、雲端技術等多個方面;但高級攻擊的發現主要靠的是數據技術,包括數據採集、數據分析與數據呈現等多個方面。沒有大規模、翔實的數據記錄,就不太可能發現那些隱蔽性極強的高級攻擊;同樣,如果沒有足夠效率的數據關聯分析技術,也無法真正有效地追蹤攻擊者的實時變化。當我們需要在一個企業的內部網絡中發現高級攻擊時,就需要對這個企業內部網絡的數據進行充分的採集和記錄;而當我們需要在整個互聯網上分析或捕獲高級攻擊時,則需要我們對整個互聯網的數據有充分的採集和記錄,並且有足夠的大數據處理能力來快速的從海量數據中撈出針一樣細小的高級攻擊事件。