今天,全聯(lián)接已成為一種新的常態(tài)。人類社會因?yàn)榘l(fā)展的需求,聯(lián)接已經(jīng)從物理世界延伸到數(shù)字世界。越來越多的個(gè)人、企業(yè)、組織和機(jī)構(gòu)加入了全聯(lián)接的世界,眼鏡、手表、甚至是家用電器,健康檢測等終端產(chǎn)品都在向智能化演進(jìn),在與人類的活動建立起數(shù)字的聯(lián)接。
泛在的聯(lián)接在高速發(fā)展,傳統(tǒng)的安全結(jié)構(gòu)卻正在逐步瓦解,聯(lián)接技術(shù)要求更加敏捷和無處不在,同時(shí)又需要確保安全可靠與保護(hù)數(shù)據(jù)隱私,而保障安全可靠和數(shù)據(jù)隱私防護(hù)就要克服泛在化的安全漏洞、風(fēng)險(xiǎn)、防御持續(xù)惡意的入侵。擺在我們面前的是不斷變化的互聯(lián)網(wǎng)與不斷升級的威脅,這種變化升級,不斷挑戰(zhàn)著我們的安全思維。
Yes, the change challenges today's security thinking. RSA 2015安全會議的主題耐人尋味,安全,是要爆發(fā)一場靈魂深處的革命么?
今年最炙手可熱的幾個(gè)安全關(guān)鍵詞是“高級威脅”、“安全智能”、“威脅情報(bào)”。人們在經(jīng)受了長期的攻防態(tài)勢失衡焦慮之后,終于意識到常規(guī)的安全防御很難解決高級的定向攻擊,個(gè)人與普通組織也無法對抗專業(yè)黑客組織甚至國家級安全機(jī)構(gòu)的網(wǎng)絡(luò)攻擊。于是,大家集體轉(zhuǎn)向了“intelligence”。“intelligence”這個(gè)詞具有雙重含義,一方面是“Threat Intelligence”即“威脅情報(bào)”,一方面是“Security Intelligence”即“安全智能”,正好用來應(yīng)對“高級威脅”。
“情報(bào)”和“智能”之間是什么關(guān)系?情報(bào)是支撐一切安全機(jī)制實(shí)現(xiàn)智能化的基礎(chǔ)。大家最初的安全意識一般從接收到各類安全事件而來,病毒特征庫從病毒樣本以及安全分析人員對于計(jì)算機(jī)病毒的多方面認(rèn)識與經(jīng)驗(yàn)而來,IPS特征庫從系統(tǒng)漏洞的技術(shù)原理及網(wǎng)絡(luò)攻擊報(bào)文樣本特征分析而來,沙箱行為模式庫從各類文件實(shí)體在計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境中的運(yùn)行特點(diǎn)及其可能造成的后果判定而來。
“intelligence”使得我們能夠開發(fā)出下一代安全產(chǎn)品與專門防御高級威脅的BDS(Breach Detection System)產(chǎn)品,包括NGFW、NGIPS、NGSOC、NGSIEM、APT沙箱、大數(shù)據(jù)安全分析系統(tǒng)以及云化的安全智能中心。新一代安全產(chǎn)品有一個(gè)顯著的共同點(diǎn),都是采集大量環(huán)境數(shù)據(jù)與樣本數(shù)據(jù),綜合大量單點(diǎn)檢測結(jié)果,更多地使用數(shù)據(jù)分析工具與技術(shù),實(shí)現(xiàn)以下目標(biāo):
一:快速響應(yīng)能力(Reactive),實(shí)現(xiàn)綜合研判、精準(zhǔn)事件、快速閉環(huán)。
從安全網(wǎng)關(guān)角度而言,NGFW與NGIPS都通過集成更復(fù)雜的環(huán)境數(shù)據(jù)來加強(qiáng)檢測能力,以及提升告警的精準(zhǔn)度。而作為后端系統(tǒng),傳統(tǒng)SOC與SIEM產(chǎn)品已在一定程度上具備安全事件綜合研判的能力,但由于技術(shù)與架構(gòu)所限,難于處理非結(jié)構(gòu)化數(shù)據(jù),也無法關(guān)注到大時(shí)間窗里的海量威脅情報(bào)數(shù)據(jù),更無法實(shí)現(xiàn)實(shí)時(shí)流的分析。安全運(yùn)維人員希望做千萬級億級事件記錄集調(diào)查時(shí),系統(tǒng)能像搜索引擎一樣快速反饋結(jié)果。大數(shù)據(jù)安全系統(tǒng)應(yīng)運(yùn)而生。有了大數(shù)據(jù)平臺就可以輕而易舉地處理億萬級別的情報(bào)數(shù)據(jù),可以針對某一事件綜合研判,過濾掉冗余、干擾與錯(cuò)誤信息,提高應(yīng)急響應(yīng)的及時(shí)性。
二:預(yù)警能力(Predictive),通過已知威脅推演未知威脅,提升威脅感知能力,實(shí)現(xiàn)威脅的早期預(yù)警。
如果以2014年為分水嶺,那么2014年以前,對于安全能力,用戶一般只關(guān)注安全產(chǎn)品對已知威脅的覆蓋程度,而2014年以后,已經(jīng)有更多用戶開始關(guān)心哪些安全產(chǎn)品可以防御未知攻擊,用戶甚至希望能夠有技術(shù)手段識別社會工程學(xué)攻擊。
那么,是否能以已知威脅的檢測知識為基礎(chǔ),擴(kuò)展到對未知威脅的感知能力呢?基于各類基線的異常檢測、可視化的數(shù)據(jù)特征呈現(xiàn)、威脅檢測模型的動態(tài)擴(kuò)展、基于運(yùn)行結(jié)果的代碼邏輯分析、基于機(jī)器學(xué)習(xí)的相似度分析、人機(jī)行為模式差異度分析、多維度的安全信譽(yù)度評估,以及多種大數(shù)據(jù)分析方法,都有可能提供從已知跨越未知的橋梁。一旦這些方法變得穩(wěn)定實(shí)用,對于潛在威脅的早期預(yù)警能力也會大大提高。在與攻擊者的對抗過程中,可以有更從容地組織、實(shí)施防御方案。
三:前攝能力(Proactive),通過威脅情報(bào)的共享,防御機(jī)制的聯(lián)動,構(gòu)建敏捷協(xié)同的威脅前攝型安全體系。
威脅情報(bào)可能是威脅攻擊的本體數(shù)據(jù),也可能是它的描述數(shù)據(jù),或者是結(jié)構(gòu)化的機(jī)讀數(shù)據(jù)。隨著大家對威脅情報(bào)的重視,這類數(shù)據(jù)的信息規(guī)范化與使用規(guī)范化已經(jīng)成為非常明顯的一個(gè)趨勢。威脅情報(bào)的共享機(jī)制最終會演變?yōu)樯鐣?jì)算平臺上的一種業(yè)務(wù)。各個(gè)相對封閉的系統(tǒng)中,威脅情報(bào)的生產(chǎn)者同時(shí)也是消費(fèi)者,在整個(gè)互聯(lián)網(wǎng)世界里,不同系統(tǒng)所生產(chǎn)的威脅情報(bào)又為其他系統(tǒng)所用,大家互惠互利。
目前而言,威脅情報(bào)只在小范圍內(nèi)實(shí)現(xiàn)了局部的規(guī)范化與自動化,還未在安全行業(yè)形成事實(shí)標(biāo)準(zhǔn)。這中間只是時(shí)間問題,很快會出現(xiàn)開放的威脅情報(bào)運(yùn)營中心,并快速形成行業(yè)聯(lián)盟,推動更多安全廠商的產(chǎn)品基于標(biāo)準(zhǔn)實(shí)現(xiàn)設(shè)備與設(shè)備之間威脅情報(bào)交換,讓在線系統(tǒng)更加智能、敏捷,從而實(shí)現(xiàn)全網(wǎng)安全防御系統(tǒng)的實(shí)時(shí)協(xié)同,提高整網(wǎng)安全水平。
在今年的RSA大會上,創(chuàng)新沙盤依然會點(diǎn)燃大家的安全思維。預(yù)計(jì)創(chuàng)新主題將會聚焦在威脅情報(bào)管理、大數(shù)據(jù)安全分析以及未知威脅檢測方面,讓我們一起期待最具創(chuàng)新價(jià)值的安全廠商現(xiàn)身。中國作為網(wǎng)絡(luò)大國,中國安全廠商在RSA大會上的表現(xiàn)倍受關(guān)注。據(jù)悉,包括華為在內(nèi)的眾多國內(nèi)安全廠商會帶著沙箱等創(chuàng)新產(chǎn)品高調(diào)亮相RSA。中國安全廠商的表現(xiàn)值得我們期待。
立足當(dāng)下,展望未來,以下安全趨勢將成為業(yè)界在未來幾年內(nèi)所密切關(guān)注的重點(diǎn):
1、隨著沙箱與大數(shù)據(jù)分析產(chǎn)品的興起,主要的技術(shù)挑戰(zhàn)來自于更有針對性的高級躲避技術(shù),包括anti-debugging、anti-vm、代碼流混淆與數(shù)據(jù)污染等。
2、DDoS攻擊與僵尸網(wǎng)絡(luò)的治理進(jìn)一步掀起“安全即服務(wù)”的云化運(yùn)營高潮,并在運(yùn)營商與數(shù)據(jù)中心以及安全廠商間形成商業(yè)模式。
3、新的威脅繼續(xù)大面積爆發(fā)在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施與主流基礎(chǔ)軟件上,如同2014的 OpenSSL Heartbleed以及 Linux bash漏洞。
4、數(shù)字空間犯罪組織可能會針對互聯(lián)網(wǎng)金融以及日益開放物聯(lián)網(wǎng)與工控網(wǎng)發(fā)起致命攻擊。
5、移動智能終端的安全直接影響人們的工作與生活,甚至影響到運(yùn)營商的LTE網(wǎng)絡(luò)。
6、國內(nèi)出現(xiàn)開放的威脅情報(bào)共享組織,并快速形成行業(yè)聯(lián)盟,推動更多安全廠商的產(chǎn)品基于標(biāo)準(zhǔn)實(shí)現(xiàn)設(shè)備與設(shè)備之間威脅情報(bào)交換,在線系統(tǒng)更加智能、敏捷,從而實(shí)現(xiàn)全網(wǎng)安全防御系統(tǒng)的實(shí)時(shí)協(xié)同。
7、企業(yè)與云數(shù)據(jù)中心更注重構(gòu)建可持續(xù)的安全運(yùn)維能力。更智能的安全運(yùn)維平臺、更高級的安全運(yùn)維工具、更便捷的安全運(yùn)維服務(wù)將廣受關(guān)注。
8、中國網(wǎng)絡(luò)安全的法治化建設(shè)進(jìn)入發(fā)展的快速通道,中國互聯(lián)網(wǎng)安全治理形成政府與民間聯(lián)手合作的雙軌化運(yùn)作。國內(nèi)安全產(chǎn)業(yè)格局正在發(fā)生巨變,全球網(wǎng)絡(luò)空間安全格局所受的深遠(yuǎn)影響也將逐步呈現(xiàn)。
京公網(wǎng)安備 11010502049343號