今天,全聯接已成為一種新的常態。人類社會因為發展的需求,聯接已經從物理世界延伸到數字世界。越來越多的個人、企業、組織和機構加入了全聯接的世界,眼鏡、手表、甚至是家用電器,健康檢測等終端產品都在向智能化演進,在與人類的活動建立起數字的聯接。
泛在的聯接在高速發展,傳統的安全結構卻正在逐步瓦解,聯接技術要求更加敏捷和無處不在,同時又需要確保安全可靠與保護數據隱私,而保障安全可靠和數據隱私防護就要克服泛在化的安全漏洞、風險、防御持續惡意的入侵。擺在我們面前的是不斷變化的互聯網與不斷升級的威脅,這種變化升級,不斷挑戰著我們的安全思維。
Yes, the change challenges today's security thinking. RSA 2015安全會議的主題耐人尋味,安全,是要爆發一場靈魂深處的革命么?
今年最炙手可熱的幾個安全關鍵詞是“高級威脅”、“安全智能”、“威脅情報”。人們在經受了長期的攻防態勢失衡焦慮之后,終于意識到常規的安全防御很難解決高級的定向攻擊,個人與普通組織也無法對抗專業黑客組織甚至國家級安全機構的網絡攻擊。于是,大家集體轉向了“intelligence”。“intelligence”這個詞具有雙重含義,一方面是“Threat Intelligence”即“威脅情報”,一方面是“Security Intelligence”即“安全智能”,正好用來應對“高級威脅”。
“情報”和“智能”之間是什么關系?情報是支撐一切安全機制實現智能化的基礎。大家最初的安全意識一般從接收到各類安全事件而來,病毒特征庫從病毒樣本以及安全分析人員對于計算機病毒的多方面認識與經驗而來,IPS特征庫從系統漏洞的技術原理及網絡攻擊報文樣本特征分析而來,沙箱行為模式庫從各類文件實體在計算機網絡環境中的運行特點及其可能造成的后果判定而來。
“intelligence”使得我們能夠開發出下一代安全產品與專門防御高級威脅的BDS(Breach Detection System)產品,包括NGFW、NGIPS、NGSOC、NGSIEM、APT沙箱、大數據安全分析系統以及云化的安全智能中心。新一代安全產品有一個顯著的共同點,都是采集大量環境數據與樣本數據,綜合大量單點檢測結果,更多地使用數據分析工具與技術,實現以下目標:
一:快速響應能力(Reactive),實現綜合研判、精準事件、快速閉環。
從安全網關角度而言,NGFW與NGIPS都通過集成更復雜的環境數據來加強檢測能力,以及提升告警的精準度。而作為后端系統,傳統SOC與SIEM產品已在一定程度上具備安全事件綜合研判的能力,但由于技術與架構所限,難于處理非結構化數據,也無法關注到大時間窗里的海量威脅情報數據,更無法實現實時流的分析。安全運維人員希望做千萬級億級事件記錄集調查時,系統能像搜索引擎一樣快速反饋結果。大數據安全系統應運而生。有了大數據平臺就可以輕而易舉地處理億萬級別的情報數據,可以針對某一事件綜合研判,過濾掉冗余、干擾與錯誤信息,提高應急響應的及時性。
二:預警能力(Predictive),通過已知威脅推演未知威脅,提升威脅感知能力,實現威脅的早期預警。
如果以2014年為分水嶺,那么2014年以前,對于安全能力,用戶一般只關注安全產品對已知威脅的覆蓋程度,而2014年以后,已經有更多用戶開始關心哪些安全產品可以防御未知攻擊,用戶甚至希望能夠有技術手段識別社會工程學攻擊。
那么,是否能以已知威脅的檢測知識為基礎,擴展到對未知威脅的感知能力呢?基于各類基線的異常檢測、可視化的數據特征呈現、威脅檢測模型的動態擴展、基于運行結果的代碼邏輯分析、基于機器學習的相似度分析、人機行為模式差異度分析、多維度的安全信譽度評估,以及多種大數據分析方法,都有可能提供從已知跨越未知的橋梁。一旦這些方法變得穩定實用,對于潛在威脅的早期預警能力也會大大提高。在與攻擊者的對抗過程中,可以有更從容地組織、實施防御方案。
三:前攝能力(Proactive),通過威脅情報的共享,防御機制的聯動,構建敏捷協同的威脅前攝型安全體系。
威脅情報可能是威脅攻擊的本體數據,也可能是它的描述數據,或者是結構化的機讀數據。隨著大家對威脅情報的重視,這類數據的信息規范化與使用規范化已經成為非常明顯的一個趨勢。威脅情報的共享機制最終會演變為社會化計算平臺上的一種業務。各個相對封閉的系統中,威脅情報的生產者同時也是消費者,在整個互聯網世界里,不同系統所生產的威脅情報又為其他系統所用,大家互惠互利。
目前而言,威脅情報只在小范圍內實現了局部的規范化與自動化,還未在安全行業形成事實標準。這中間只是時間問題,很快會出現開放的威脅情報運營中心,并快速形成行業聯盟,推動更多安全廠商的產品基于標準實現設備與設備之間威脅情報交換,讓在線系統更加智能、敏捷,從而實現全網安全防御系統的實時協同,提高整網安全水平。
在今年的RSA大會上,創新沙盤依然會點燃大家的安全思維。預計創新主題將會聚焦在威脅情報管理、大數據安全分析以及未知威脅檢測方面,讓我們一起期待最具創新價值的安全廠商現身。中國作為網絡大國,中國安全廠商在RSA大會上的表現倍受關注。據悉,包括華為在內的眾多國內安全廠商會帶著沙箱等創新產品高調亮相RSA。中國安全廠商的表現值得我們期待。
立足當下,展望未來,以下安全趨勢將成為業界在未來幾年內所密切關注的重點:
1、隨著沙箱與大數據分析產品的興起,主要的技術挑戰來自于更有針對性的高級躲避技術,包括anti-debugging、anti-vm、代碼流混淆與數據污染等。
2、DDoS攻擊與僵尸網絡的治理進一步掀起“安全即服務”的云化運營高潮,并在運營商與數據中心以及安全廠商間形成商業模式。
3、新的威脅繼續大面積爆發在互聯網基礎設施與主流基礎軟件上,如同2014的 OpenSSL Heartbleed以及 Linux bash漏洞。
4、數字空間犯罪組織可能會針對互聯網金融以及日益開放物聯網與工控網發起致命攻擊。
5、移動智能終端的安全直接影響人們的工作與生活,甚至影響到運營商的LTE網絡。
6、國內出現開放的威脅情報共享組織,并快速形成行業聯盟,推動更多安全廠商的產品基于標準實現設備與設備之間威脅情報交換,在線系統更加智能、敏捷,從而實現全網安全防御系統的實時協同。
7、企業與云數據中心更注重構建可持續的安全運維能力。更智能的安全運維平臺、更高級的安全運維工具、更便捷的安全運維服務將廣受關注。
8、中國網絡安全的法治化建設進入發展的快速通道,中國互聯網安全治理形成政府與民間聯手合作的雙軌化運作。國內安全產業格局正在發生巨變,全球網絡空間安全格局所受的深遠影響也將逐步呈現。
京公網安備 11010502049343號