在2014中国互联网安全大会中，大家听了很多关于网络攻击和APT的内容。APT到底哪里最厉害，或者说最具威胁性？来自Arbor Networks亚太区技术总监张泰兴带来了题为“网络安全缺口”的主题演讲。

　　张泰兴一开始就以Operation Aurora为例，大概是在2010年1月份谷歌才公开承认内网被入侵它入侵。调查发现早在2009年1月份，黑客已经入侵了谷歌的服务器。他们在里面活动了大概一年的时间，这段时间能找到多少资料、搞多少破坏。另一个是Shady Rat，它是专门攻击美国政府部门的黑客公司，在2012年才被发现。其实早在5年前，黑客就已经入侵。

　　APT最可怕，它能够入侵里的系统内网，在你的内网活动而不被发觉。这是APT最厉害的地方。潜伏在你的内网里面，有些五年，有些一年，有些三年，我们不知道，这就是APT最厉害的地方。

　　张泰兴表示，他们部署了很多防火墙、IPS、沙箱技术等等，但总是会存在一些安全漏洞，黑客还是有机会锁定目标。我们现在又会使用wifi，它也会给黑客提供后门，锁定第一个入侵目标。黑客不会只攻击一个目标就停手，它会做一些扫描、复制，有时候可能会发现自己对黑客自己有利的资料，比如客户的资料、信用卡资料，他们会偷取这些资料。APT不是偷取一次就完了，他们一点一点的偷，可以偷一个星期，一个月，一年，两年，四年，五年。他们就是设法潜伏在内网不被发觉，慢慢的把这些资料偷出来。

　　防火墙已经被用了二十多年，问题是为什么很多企业安放了这些安全产品，他们还是会被成功入侵，最可怕的是那些APT在内网活动，他们都不知道。等到资料被偷走之后，黑客向外公布，他们才知道自己的内网被入侵了。

　　我们的网络安全切口到底在哪里呢？我们花了那么多钱安装防火墙，其实切口就在这边，市场上根本没有很好的方案帮助你调查内网的恶意软件行为。防火墙就像保安，一过了防火墙，就不关它的事情。IPS和沙箱不是不好，它们的功能都是保护边界。一旦APT突破了边界，开始在内网活动，它们通常就不能起太大作用。APT就是利用了这个漏洞，才能给我们制造这么多的麻烦。现在很大的问题是没有一个很好的方案让我们很清醒地看到内网的恶意行为。

　　接下来是解决方案，Gartner去年公布了一个白皮书，针对APT，不是一个产品或者是方案就可以解决APT的问题。如果要解决APT事件，要把它分成三个部分，分为Endpoint、Payload、Network。

　　我们的产品具有两种功能，可以直接搜集流量。目前所有的交换机和路由器经过它们，它们都会产生Flow。简单来说，我们有一个产品，它能收集Flow。一旦搜集了这些信息，这个箱子就能很清楚的体现出内网的可视度，可以很清楚的说出谁在做什么、哪个IP地址在跟哪一个IP地址沟通、哪一个IP地址在跟哪一个服务器沟通，它们之间做了什么、什么时候开始、什么时候停止、交换了多少资料，我们可以通过这些信息来分析是不是存在不正当的行为。有一个服务器可能是属于工程部门的，我突然看到人力部门访问了这个服务器。我们可以发现问题，并且进行控制。

　　我们公司在成立的早期都是集中在服务运营商，现在做了十四年，也取得了一些成绩。现在做安全产品，不能单靠产品的功能，安全和黑客在赛跑，我们要跑在黑客的前面。很多安全公司都开始进行安全的研究，他们会搜集资料进行分析，可能会做出一些指纹出来。问题是每个安全公司都会说我的研究是全世界最好的。

　　Arbor Networks也有自己的安全小组，做这些研究的方法是大同小异的，我们每天能分析到的资料是80TB，大概占全球三分之一的网络流量。我看到的越多，保护的也就越多。过去十四年，我们建立了庞大的运营商客户群，大概有300个运营商跟我们分享这些资料。

　　分析了这些样本，可以将结果下载到机器上，我们知道内部和外部发生了什么事情，我们的产品可以将二者关联起来，可以关注企业的安全状态，我可以轻易的说出内网中的哪一个IP地址在进行扫描，哪一个IP地址在跟外面的钓鱼网站沟通，哪一个IP地址在做一些违规的行为。如果内网有什么恶意行为，黑客入侵了你的内网，在内网活动，这些都很容易的被发掘出来。发掘出来之后，就可以针对攻击相关事件进行保护。这个服务器可能是装的高级客户档案，只有经理级别可以访问这台服务器，我就设定一个权限，这个服务器只让经理级别来访问。

　　有了Flow可以了解内网的可视度。我们的产品还有一个功能，它也能搜集到应用层的资料。将这三个关联起来，它能提供的案例有很多。我们可以用它发觉资料外泄的事件，怎么这个IP地址在每个星期五的半夜都会发一百兆的文件给一个钓鱼网。还有一些最新的攻击。如果是用签名的方法去发觉攻击，可能还不是很有效。我们是用行为分析，虽然我没有签名，我不懂这个恶意软件是什么，如果这个软件是恶意的话，一定可以扫描一些坏的行为，扫描一些IP地址，会散播病毒。从行为分析可以判断IP地址。

　　Arbor Networks采用了Pravail技术，可以清楚的知道内网发生什么事情，这些恶意行为真的很快被攻破。从整个安全的角度，我们还有一些问题点。我们还有一些云端的方案，也有企业级的方案。我们能提供的方案不仅是在内网，还有ATLAS的方案。