在2015年8月6日ITValue主办的2015IT价值峰会上，360企业安全集团天眼实验室高级总监韩永刚分享了他对于“安全”的观点。韩永刚称，2015年全球信息安全从普通的安全产品守则转到2015年最热的三个话题：大数据、可视化、威胁情报。为什么会有这样一个变化？

以下为演讲全文：

面对如今越发严重的安全形势，传统的安全思维也面临诸多挑战。

传统安全方法已无法应对高级攻击

2014年是传统安全行业面临巨大挑战的一年。数据显示，接近八万家企业发生数据泄露，五百强中一半之内的企业都在内，因为安全事件影响到16位高管引咎辞职，比如美国最大零售商Target的CEO包括CIO因为用户信息泄露而离开公司。

这都是由于APT高级持续定向攻击导致的。其实APT使用的方法不见得有多么高端，可能很简单的方法就把你拿下了。APT攻击最关键的有两点，分别是“持续”、“定向”，就是一旦盯上你了就一定要把你拿下。APT攻击已经成为我们面临的最大威胁。

360天眼实验室跟踪到的中国被APT攻击的情况显示，很多团伙组织在国内进行APT活动。据360天眼实验室发现，2012年4月起，某境外组织对中国政府、科研院所、海事机构、海运建设、航运企业等相关重要领域展开了有计划、有针对性的长期渗透和攻击，代号为OceanLotus(海莲花)。该组织主要通过鱼叉攻击和水坑攻击等方法，配合多种社会工程学手段进行渗透，向境内特定目标人群传播免杀木马程序，秘密控制部分政府人员、外包商和行业专家的电脑系统，窃取系统中相关领域的机密资料。

通过一系列的分析回溯，我们发现海莲花攻击已经潜伏了三年以上，境外组织针对我国相关政府机构海事机构包括研究所，进行了长达三年之久的定向跟踪攻击。但他们所采用的手法并不复杂，就是利用鱼叉与水坑攻击的方式，结合社会工程学发出带有恶意软件的邮件，以及攻陷组织机构自身站点，在上面放一些伪装的升级程序，利用这样的方法感染主机，达到窃取机密信息的目的。虽然从技术角度来看，所使用的技术手段并不是很复杂，但是真的让众多国内行业用户被攻陷。

我们后面不断的跟踪，发现攻击者的手段也在提升，利用云控木马，包括近期还在活动的利用非PE的PDF恶意样本，这种恶意样本，大部分公司员工是很难分辨的。所以可以看到，现有的很多安全技术，不管是防火墙、IPS、防病毒，还是沙箱，面对众多现代新型攻击时，都很容易被绕过，传统的防护手段已经捉襟见肘，无法抵挡高端攻击了。

我们原来总希望在某一个时间、某一个位置把攻击挡住，这在现今看来，已经不太可能了。原来的防御思路就像在研究一片树叶，而现在的思路需要把视野放宽到整个森林。当我们看到整个互联网上的数据时，就会找到很多的线索。

大数据方法发现未知威胁

当我们把眼睛放在整个互联网的森林，通过360大数据技术进行安全防范，看看会有什么不一样？

以一个没有任何防护检测的设备为例，通过360大数据技术平台，我们可以看到在一个关于恶意攻击样本的相关问题，包括一些恶意的域名、有没有其他的手法、这个攻击的背景以及受攻击的信息还有哪些手段来做等，还可以关联到相关的服务器的IP地址，包括相关的域名、域名之间的联线。整个可视化的过程就是基于全网数据的分析，而且这是一个可视化的分析过程，而不仅仅是一个展现过程，而这一切靠的都是大数据分析能力。

360拥有全球最大的文件库，总日志数达到95亿；主防库覆盖中国5亿PC客户端，总日志数达到50000亿；域名库拥有50亿域名解析记录；互联网存活网址库每天有300亿条查询量，每天处理一百多亿条……所有这些安全大数据综合在一起，让我们能够通过分析看到线索，还原整个攻击的过程。当然，只有大数据本身还是远远不够的。在大数据方面，不能单纯看数据有多大，还要看对大数据的分析处理能力。360公司拥有一个EB的数据，拥有超过40000台服务器，具备一分钟可调动几十万CPU核的综合处理能力。所使用的数据挖掘与分析方法包括机器学习、人工智能、深度学习等多种方法，这样360才能在有任何线索时，就快速把整个过程回溯分析出来，即便没有线索，也能通过无监督的机器学习找出线索。

过去，我们将太多的精力放在实时防御上面，但并没有将威胁完全挡住，这个时代已经过去了。我们需要建立一个完整的防御体系，从防御、检测到响应，甚至通过威胁情报将攻击事件的预测做起来，而这一切的核心就是要掌握海量的数据，并具备强大的数据分析能力。

现在，我们已经处在一个必须变革的时代，已经不可能靠一两个安全专家就将安全这件事搞定。只有将网络层、终端层、应用交互层、用户行为层等多种数据搜集起来，才可能让企业具备持续的威胁检测发现能力，及时发现未知威胁，避免遭到更大的安全损失。（文/ITValue 胡敏 本文根据韩永刚在2015IT价值峰会的演讲整理）

关于ITValue一年一度的IT价值峰会

今年峰会主题为“IT新思维——新一轮技术商业创新的方向与方法”，300余名来自知名企业CEO、CIO、CTO、IT总监、技术总监、互联网及信息化资深专家和学者齐聚三亚海棠湾香格里拉度假酒店，将在三天的时间里探讨IT思维、互联网+转型路径、云视角下的IT、互联网颠覆者等主题进行深入的交流和讨论。Face to Face技术专家与CIO一对一交流、千亿级企业CIO俱乐部沙龙、国内外产业科技创新项目DEMO SHOW、转型私董会、创业私董会、SAP大数据游艇论坛、华硕之夜IT嘉年华晚会等特色活动将把三天的活动推向一个又一个高潮。

更多峰会精彩内容，请持续关注ITValue公众微信号：itvalue