国产在线拍揄自揄拍视频,久久中文字幕一区二区三区,久久久久久中文字幕

從 RSA 熱詞看威脅情報在 NGFW 上的落地

責任編輯：editor005

作者：網康科技

2016-03-15 14:58:32

摘自：FreeBuf.COM

從長遠看，廠商之間的合縱連橫互相取長補短，是大勢所趨；NGFW與云端威脅情報的聯動也將成為傳統安全廠商與互聯網公司的一個契合點。

RSA 2016剛剛在美國舊金山莫斯康展覽中心落下帷幕。作為整個信息安全行業的風向標，本屆RSA大會以Connect to Protect為主題，探討信息安全產業的發展大勢。

解讀今年RSA大會的主題詞

如何解讀這個翻譯起來略有生澀的主題?或許我們可以從RSA大會主席阿米特·約倫(Amit Yoran)所發表的題為“睡者醒來”的主題演講中一窺端倪。阿米特認為：“安全防御是個失敗的戰略，未來業界應該增加在安全檢測技術上的投資。作為提升安全檢測能力重要手段的威脅情報，其重要性自然更加凸顯“。從參展廠商在介紹自己產品時所使用的頻率最高的幾個熱詞看，今年大家也似乎更愿意將“威脅情報”關聯到“檢測”(Detection)、“響應”(Response)上。

RSA大會主席阿米特·約倫(Amit Yoran)

就此，國內有安全業內人士將Connect解讀為現在國內頗為流行的一個熱詞 — 互聯互通。“云管端互聯互通，安全保衛看得見”。具體來講，就是利用云計算技術超強的數據挖掘和關聯能力，對端(終端)和管(管道，或泛化的網絡邊界)上所部署設備上傳的安全日志進行全局關聯分析，實現對異常行為的建模分析，使安全防護體系具備了全局可視性。這里所說的可視性，指的是借助云端生成的海量威脅情報，看清網絡威脅狀態，尤其是傳統安全防護體系架構下孤島式設備上無法看清的高級安全威脅。將云端的威脅情報信息及大數據的高度智能用于判別日趨復雜的威脅，已成為業界公認的技術發展方向。

具體到NGFW這個細分產品品類上，威脅情報也并不是什么新鮮事物。早在2014年，知名市場調研機構IDC與網康聯合發布的《中國下一代防火墻發展趨勢研究》白皮書中就提出，當今NGFW必須備五大核心要素以對抗新型安全威脅，其中一條就是外部的安全智能：“防火墻本地的運算性能和檢測能力始終是有限的，NGFW應當具有與外部云計算聯動的能力，并且能夠利用大數據分析技術應對威脅特征庫中并未收錄的未知威脅。”概念比較淺顯易懂，但到了威脅情報真正在NGFW產品上落地，雖無需如西天取經般經歷九九八十一難，也需要邁過不算容易的三道坎。

阻礙威脅情報在NGFW上落地的三道坎

1、情報來源坎

威脅情報的基礎之一是大數據分析，而大數據，貴在一個“大”字，也就是要有足夠豐富的原始數據做支撐。

在這方面，近年來新興的互聯網企業具有與生俱來的優勢，因為大型互聯網公司所擁有的動輒上億的終端都可以用作采集大數據的探針設備，其數十億級的病毒樣本、DNS解析記錄等數據源更是傳統安全公司無法比擬的。

但傳統安全企業在數據收集方面也并非無優勢可言。傳統安全企業的大數據收集主要依托于NGFW等安全設備，通過監測、防御、數據挖掘等手段，生成更準確、更及時、適用性更精準的威脅情報。

從長遠看，廠商之間的合縱連橫互相取長補短，是大勢所趨;NGFW與云端威脅情報的聯動也將成為傳統安全廠商與互聯網公司的一個契合點。例如，網康的NGFW就大量的引入了360的威脅情報，極大的提高了威脅檢測的準確性和時效性;反過來，遍布在全國各地的數千臺網康NGFW探針設備，也可以用收集到的安全日志數據反哺360威脅情報庫。

2、數據整合坎

對于威脅情報的理解，不同廠商還存在眾多不同意見，大家的理解可能又都存在不夠完整不夠準確的地方。譬如，有廠商認為IP地址黑名單、惡意網址列表、惡意軟件哈希列表、病毒特征碼、IPS簽名規則等都屬于威脅情報范疇，也有廠商認為只有符合一定標準、容易分享、容易被程序執行的信息才叫威脅情報。

這意味著任何廠商想要整合多平臺來源的威脅情報都不會是易事;即使做到了情報整合，在相當長的一段時間內，數據源也將會不可避免的包含大量的數據噪音。

這就要求NGFW在引入外部威脅情報時，必須能夠在大數據采集的基礎上，從原始數據中進行二次提取，建立基礎指標、應用層指標等多種類型指標，然后基于指標之間的關聯分析、每個指標的變化狀況，通過大數據分析建立信譽評估等機制，感知信息安全態勢，否則數據只能是數據，永遠成不了威脅情報。簡而言之，源自大數據的威脅情報，看起來很美，在NGFW上用起來不容易。只有具備了數據二次加工和分析建模能力的廠商才能夠將數據點石成金轉化為對NGFW有價值的威脅情報。

3、變現坎

如何將威脅情報的分析結果轉換為NGFW上可操作的安全實務，也就是上文中提到的“互聯互通”。威脅情報對NGFW最實際的價值，就是可以形成行之有效的安全解決方案，實現對已有產品功能上的提升，否則無異于“空轉”。目前，很多威脅情報還只是在云端或者服務器端進行應用，這對于幫助用戶應對安全威脅是遠遠不夠的。

威脅情報主要應用于快速發現問題，為用戶提供進行快速響應的依據;與已有的NGFW防御體系進行聯動，就可以實現快速發現、及時響應、聯動防御的效果，這樣才能將威脅情報的價值最大化 — 賦予NGFW設備應有的智能，可以實時感知網絡威脅狀態并做出調整，防御能力大幅度提升。

小結

威脅情報從前幾年單純的一個熱詞轉換為今年RSA展會上越來越多的成熟產品和方案，這里折射出的是從傳統的以“防范”為中心過渡到當前以“快速檢測和響應”為中心的安全防御思維的轉變。

NGFW結合威脅情報這個最強外腦，構建安全事件的快速識別、全網可視化和快速響應體系，形成安全事件處置和管理的閉環，這是威脅情報技術在NGFW產品上落地解決新興安全威脅的成功實踐，也是對Connect to Protect這個主題詞的具體詮釋。

NGFW RSA 情報來源