隨著大數(shù)據(jù)分析技術(shù)與安全的結(jié)合,安全技術(shù)和理念正開始面臨著一輪新的變革與融合。在日前召開的媒體沙龍活動上,華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線首席安全架構(gòu)師錢曉斌表示,安全技術(shù)從無到有的發(fā)展實(shí)際上是一個非常艱難的過程,由于安全廠商之間的安全理念不同,技術(shù)路線也存在很多差異,難以實(shí)現(xiàn)統(tǒng)一的安全模型。因此,針對特定問題的具體解決方案比較多,這在技術(shù)的發(fā)展上留下了非常多的問題。而現(xiàn)在大數(shù)據(jù)的方法為安全產(chǎn)業(yè)打開了一個窗口,大數(shù)據(jù)驅(qū)動了技術(shù)發(fā)展層面上的變革,也改變了安全研究的方法。
錢曉斌談到,“在剛剛結(jié)束的RSA2014大會上,給我留下深刻印象的關(guān)鍵字是創(chuàng)新沙盤里一個小公司提的口號。我們內(nèi)心想過這種方法,但當(dāng)別人第一次把這種口號提出來時,我心里還是覺得挺震撼的。‘No signatures, no sandboxing, no heuristics, no behavioral analysis - Just math’,我想這個口號可以指引我們向未來走得很遠(yuǎn)。”
智能安全的兩個理解
錢曉斌談到,智能安全體現(xiàn)在兩個層面,一是安全知識,二是安全能力的生產(chǎn)過程以及安全防御過程的智能化。
1、安全知識:安全的核心就是攻和防的關(guān)系,在這個關(guān)系里,安全廠商提供給用戶服務(wù)來抵御攻擊者的攻擊行為。那么安全廠商提供給客戶的到底是什么?錢曉斌表示,安全廠商提供的核心服務(wù)是安全硬件或軟件里包含的安全能力,安全能力的核心就是安全知識。而安全知識實(shí)際上就是安全廠商跟攻擊者之間博弈的核心點(diǎn)。
2、安全能力的生產(chǎn)過程以及安全防御過程的智能化,需要人干預(yù)的內(nèi)容越來越少,用戶的維護(hù)越來越簡單、系統(tǒng)使用的成本也越來越低。錢曉斌談到,智能化體現(xiàn)在安全能力的進(jìn)一步發(fā)展,如傳統(tǒng)防火墻、UTM快速發(fā)展為下一代防火墻;防病毒開始演進(jìn)為沙箱,又快速形成BDS(攻擊防御系統(tǒng))的概念;IDS也從IPS快速演進(jìn)為下一代IPS;SOC進(jìn)一步演變?yōu)镾IO(安全智能中心),來實(shí)現(xiàn)數(shù)據(jù)采集、安全分析、威脅挖掘的高度自動化。
兩大難題的N種解法
錢曉斌談到,安全發(fā)展到現(xiàn)在,核心競爭力已聚焦在兩個方面:一是安全管理,一是安全分析。但在智能化領(lǐng)域,這兩方面仍然存在很多挑戰(zhàn)。
1、安全管理中的智能化挑戰(zhàn)。首先是安全協(xié)同與環(huán)境感知,現(xiàn)在各種層面的設(shè)備都越來越注重這方面的功能特性。其次是應(yīng)用層面的管理,基于精細(xì)化應(yīng)用識別的訪問控制,是安全智能的基礎(chǔ)。再其次,智能策略,自動化的策略配置也是安全智能的核心。最后,還需要用戶友好的安全可視化。還有安全預(yù)測,這些方面的安全管理上的問題,很多還是需要不斷的往前演進(jìn),給用戶提供更好的體驗(yàn)。
2、威脅分析的自動化。以往安全實(shí)驗(yàn)室中的人工分析方式越來越不適應(yīng)當(dāng)前的威脅態(tài)勢快速發(fā)展要求,需要更多地使用人工智能的方法。首先需要海量樣本收集的能力,其次工具和平臺的建設(shè)也是至關(guān)重要,三是數(shù)據(jù)密集型計算,這種計算方法非常適用于大數(shù)據(jù)環(huán)境下的安全分析。四是模式的挖掘,最困難的是實(shí)現(xiàn)從已知模式到未知模式的跳躍。五是機(jī)器學(xué)習(xí),對于機(jī)器來說可以比人注意到更多的內(nèi)在關(guān)聯(lián)關(guān)系。
華為智能安全未來發(fā)展
1、APT攻擊防護(hù)
從威脅層面上看APT是一個最危險的方法,我們把它理解為未知的,針對特定目標(biāo)的一些嚴(yán)重的攻擊活動。這些攻擊活動,主要是它的隱蔽性、持久性、還有目標(biāo)的特定性。為了檢測APT,你必須看到其隱蔽的特征。錢曉斌談到,華為的做法首先是從惡意軟件的全生命周期做分析。一個攻擊活動有它的生命周期,包括它的開發(fā)過程、測試過程、傳播過程,最后自我銷毀或者是被發(fā)現(xiàn)的過程。在這個過程里有一個傳播的時間,如果在這個時間過程中及早發(fā)現(xiàn)它,則最終還是能夠控制住;另外就是全路徑分析,就意味著需要關(guān)注各個入口各種終端的數(shù)據(jù),不管是外部、內(nèi)部、通過社會工程學(xué)方法等等,必須關(guān)注到所有的地方,所有地方都可能存在安全漏洞。
2、華為安全信譽(yù)系統(tǒng)
“我們希望在安全智能層面站得更高一點(diǎn),在安全信譽(yù)的層面來解決安全的問題,就跟我們在現(xiàn)實(shí)的世界里一樣。” 錢曉斌向媒體表示。
錢曉斌介紹到,如某個IP訪問企業(yè)的資產(chǎn),企業(yè)已經(jīng)有了你的信譽(yù)屬性,就能知道這個IP可能存在什么樣的問題,企業(yè)就可以應(yīng)用相應(yīng)的策略來應(yīng)對。但是信譽(yù)的知識是需要預(yù)先積累的,如Google它有很強(qiáng)的運(yùn)營能力,長時間以來沒發(fā)生過什么安全問題,經(jīng)過測試我們認(rèn)為它確實(shí)安全,把它認(rèn)為是信譽(yù)度好的。還有一些經(jīng)常注冊一些隨機(jī)域名或是和一些知名網(wǎng)站相似的域名,它可能就是一個欺詐的網(wǎng)站,這些域名經(jīng)過日常檢測,可能經(jīng)常會被掛馬,把這些網(wǎng)站放到黑名單中。還有大量中間區(qū)域的網(wǎng)站,總數(shù)非常大,但并不被大家頻繁訪問,這些網(wǎng)站也容易出現(xiàn)安全風(fēng)險,在防御體系里就需要有更深度的檢測機(jī)制。
企業(yè)在前端經(jīng)過信譽(yù)庫快速處理,后端根據(jù)信譽(yù)指示進(jìn)行相應(yīng)的處理,這樣能用較低的時間成本與資源成本,智能化地提升安全能力。錢曉斌談到,在信譽(yù)體系里更容易做到智能協(xié)同,因?yàn)樾抛u(yù)數(shù)據(jù)在共享層面更容易操作,效率更高。
最后,錢曉斌談到,總體來說華為構(gòu)建自己的安全智能中心,不僅具有大數(shù)據(jù)的分析平臺,還有各種各樣的分析模型。這個安全智能中心包括了華為的特征庫生產(chǎn)系統(tǒng)與信譽(yù)查詢系統(tǒng),它也會接收來自各個層面的信息反饋。安全智能中心對于很多企業(yè)來說可能需要自建到內(nèi)部,這樣內(nèi)部形成一個數(shù)據(jù)自循環(huán)的系統(tǒng),檢測數(shù)據(jù)來自于內(nèi)部,最后形成對安全知識的反饋也來自于那里,這種部署方式也能滿足企業(yè)對于敏感數(shù)據(jù)的保護(hù)需求。
“我們想通過上述各個方面的思路,在安全智能上做更多工作,通過變革我們的技術(shù)本身的工具、方法還有模型,逐漸的把華為的安全體系做強(qiáng),更好的為用戶服務(wù)!”錢曉斌表示。
京公網(wǎng)安備 11010502049343號