隨著大數(shù)據(jù)分析技術(shù)與安全的結(jié)合,安全技術(shù)和理念正開(kāi)始面臨著一輪新的變革與融合。在日前召開(kāi)的媒體沙龍活動(dòng)上,華為企業(yè)網(wǎng)絡(luò)產(chǎn)品線首席安全架構(gòu)師錢(qián)曉斌表示,安全技術(shù)從無(wú)到有的發(fā)展實(shí)際上是一個(gè)非常艱難的過(guò)程,由于安全廠商之間的安全理念不同,技術(shù)路線也存在很多差異,難以實(shí)現(xiàn)統(tǒng)一的安全模型。因此,針對(duì)特定問(wèn)題的具體解決方案比較多,這在技術(shù)的發(fā)展上留下了非常多的問(wèn)題。而現(xiàn)在大數(shù)據(jù)的方法為安全產(chǎn)業(yè)打開(kāi)了一個(gè)窗口,大數(shù)據(jù)驅(qū)動(dòng)了技術(shù)發(fā)展層面上的變革,也改變了安全研究的方法。
錢(qián)曉斌談到,“在剛剛結(jié)束的RSA2014大會(huì)上,給我留下深刻印象的關(guān)鍵字是創(chuàng)新沙盤(pán)里一個(gè)小公司提的口號(hào)。我們內(nèi)心想過(guò)這種方法,但當(dāng)別人第一次把這種口號(hào)提出來(lái)時(shí),我心里還是覺(jué)得挺震撼的。‘No signatures, no sandboxing, no heuristics, no behavioral analysis - Just math’,我想這個(gè)口號(hào)可以指引我們向未來(lái)走得很遠(yuǎn)。”
智能安全的兩個(gè)理解
錢(qián)曉斌談到,智能安全體現(xiàn)在兩個(gè)層面,一是安全知識(shí),二是安全能力的生產(chǎn)過(guò)程以及安全防御過(guò)程的智能化。
1、安全知識(shí):安全的核心就是攻和防的關(guān)系,在這個(gè)關(guān)系里,安全廠商提供給用戶服務(wù)來(lái)抵御攻擊者的攻擊行為。那么安全廠商提供給客戶的到底是什么?錢(qián)曉斌表示,安全廠商提供的核心服務(wù)是安全硬件或軟件里包含的安全能力,安全能力的核心就是安全知識(shí)。而安全知識(shí)實(shí)際上就是安全廠商跟攻擊者之間博弈的核心點(diǎn)。
2、安全能力的生產(chǎn)過(guò)程以及安全防御過(guò)程的智能化,需要人干預(yù)的內(nèi)容越來(lái)越少,用戶的維護(hù)越來(lái)越簡(jiǎn)單、系統(tǒng)使用的成本也越來(lái)越低。錢(qián)曉斌談到,智能化體現(xiàn)在安全能力的進(jìn)一步發(fā)展,如傳統(tǒng)防火墻、UTM快速發(fā)展為下一代防火墻;防病毒開(kāi)始演進(jìn)為沙箱,又快速形成BDS(攻擊防御系統(tǒng))的概念;IDS也從IPS快速演進(jìn)為下一代IPS;SOC進(jìn)一步演變?yōu)镾IO(安全智能中心),來(lái)實(shí)現(xiàn)數(shù)據(jù)采集、安全分析、威脅挖掘的高度自動(dòng)化。
兩大難題的N種解法
錢(qián)曉斌談到,安全發(fā)展到現(xiàn)在,核心競(jìng)爭(zhēng)力已聚焦在兩個(gè)方面:一是安全管理,一是安全分析。但在智能化領(lǐng)域,這兩方面仍然存在很多挑戰(zhàn)。
1、安全管理中的智能化挑戰(zhàn)。首先是安全協(xié)同與環(huán)境感知,現(xiàn)在各種層面的設(shè)備都越來(lái)越注重這方面的功能特性。其次是應(yīng)用層面的管理,基于精細(xì)化應(yīng)用識(shí)別的訪問(wèn)控制,是安全智能的基礎(chǔ)。再其次,智能策略,自動(dòng)化的策略配置也是安全智能的核心。最后,還需要用戶友好的安全可視化。還有安全預(yù)測(cè),這些方面的安全管理上的問(wèn)題,很多還是需要不斷的往前演進(jìn),給用戶提供更好的體驗(yàn)。
2、威脅分析的自動(dòng)化。以往安全實(shí)驗(yàn)室中的人工分析方式越來(lái)越不適應(yīng)當(dāng)前的威脅態(tài)勢(shì)快速發(fā)展要求,需要更多地使用人工智能的方法。首先需要海量樣本收集的能力,其次工具和平臺(tái)的建設(shè)也是至關(guān)重要,三是數(shù)據(jù)密集型計(jì)算,這種計(jì)算方法非常適用于大數(shù)據(jù)環(huán)境下的安全分析。四是模式的挖掘,最困難的是實(shí)現(xiàn)從已知模式到未知模式的跳躍。五是機(jī)器學(xué)習(xí),對(duì)于機(jī)器來(lái)說(shuō)可以比人注意到更多的內(nèi)在關(guān)聯(lián)關(guān)系。
華為智能安全未來(lái)發(fā)展
1、APT攻擊防護(hù)
從威脅層面上看APT是一個(gè)最危險(xiǎn)的方法,我們把它理解為未知的,針對(duì)特定目標(biāo)的一些嚴(yán)重的攻擊活動(dòng)。這些攻擊活動(dòng),主要是它的隱蔽性、持久性、還有目標(biāo)的特定性。為了檢測(cè)APT,你必須看到其隱蔽的特征。錢(qián)曉斌談到,華為的做法首先是從惡意軟件的全生命周期做分析。一個(gè)攻擊活動(dòng)有它的生命周期,包括它的開(kāi)發(fā)過(guò)程、測(cè)試過(guò)程、傳播過(guò)程,最后自我銷毀或者是被發(fā)現(xiàn)的過(guò)程。在這個(gè)過(guò)程里有一個(gè)傳播的時(shí)間,如果在這個(gè)時(shí)間過(guò)程中及早發(fā)現(xiàn)它,則最終還是能夠控制住;另外就是全路徑分析,就意味著需要關(guān)注各個(gè)入口各種終端的數(shù)據(jù),不管是外部、內(nèi)部、通過(guò)社會(huì)工程學(xué)方法等等,必須關(guān)注到所有的地方,所有地方都可能存在安全漏洞。
2、華為安全信譽(yù)系統(tǒng)
“我們希望在安全智能層面站得更高一點(diǎn),在安全信譽(yù)的層面來(lái)解決安全的問(wèn)題,就跟我們?cè)诂F(xiàn)實(shí)的世界里一樣。” 錢(qián)曉斌向媒體表示。
錢(qián)曉斌介紹到,如某個(gè)IP訪問(wèn)企業(yè)的資產(chǎn),企業(yè)已經(jīng)有了你的信譽(yù)屬性,就能知道這個(gè)IP可能存在什么樣的問(wèn)題,企業(yè)就可以應(yīng)用相應(yīng)的策略來(lái)應(yīng)對(duì)。但是信譽(yù)的知識(shí)是需要預(yù)先積累的,如Google它有很強(qiáng)的運(yùn)營(yíng)能力,長(zhǎng)時(shí)間以來(lái)沒(méi)發(fā)生過(guò)什么安全問(wèn)題,經(jīng)過(guò)測(cè)試我們認(rèn)為它確實(shí)安全,把它認(rèn)為是信譽(yù)度好的。還有一些經(jīng)常注冊(cè)一些隨機(jī)域名或是和一些知名網(wǎng)站相似的域名,它可能就是一個(gè)欺詐的網(wǎng)站,這些域名經(jīng)過(guò)日常檢測(cè),可能經(jīng)常會(huì)被掛馬,把這些網(wǎng)站放到黑名單中。還有大量中間區(qū)域的網(wǎng)站,總數(shù)非常大,但并不被大家頻繁訪問(wèn),這些網(wǎng)站也容易出現(xiàn)安全風(fēng)險(xiǎn),在防御體系里就需要有更深度的檢測(cè)機(jī)制。
企業(yè)在前端經(jīng)過(guò)信譽(yù)庫(kù)快速處理,后端根據(jù)信譽(yù)指示進(jìn)行相應(yīng)的處理,這樣能用較低的時(shí)間成本與資源成本,智能化地提升安全能力。錢(qián)曉斌談到,在信譽(yù)體系里更容易做到智能協(xié)同,因?yàn)樾抛u(yù)數(shù)據(jù)在共享層面更容易操作,效率更高。
最后,錢(qián)曉斌談到,總體來(lái)說(shuō)華為構(gòu)建自己的安全智能中心,不僅具有大數(shù)據(jù)的分析平臺(tái),還有各種各樣的分析模型。這個(gè)安全智能中心包括了華為的特征庫(kù)生產(chǎn)系統(tǒng)與信譽(yù)查詢系統(tǒng),它也會(huì)接收來(lái)自各個(gè)層面的信息反饋。安全智能中心對(duì)于很多企業(yè)來(lái)說(shuō)可能需要自建到內(nèi)部,這樣內(nèi)部形成一個(gè)數(shù)據(jù)自循環(huán)的系統(tǒng),檢測(cè)數(shù)據(jù)來(lái)自于內(nèi)部,最后形成對(duì)安全知識(shí)的反饋也來(lái)自于那里,這種部署方式也能滿足企業(yè)對(duì)于敏感數(shù)據(jù)的保護(hù)需求。
“我們想通過(guò)上述各個(gè)方面的思路,在安全智能上做更多工作,通過(guò)變革我們的技術(shù)本身的工具、方法還有模型,逐漸的把華為的安全體系做強(qiáng),更好的為用戶服務(wù)!”錢(qián)曉斌表示。