近日,360聯(lián)合Gartner共同發(fā)布了《數(shù)據(jù)驅(qū)動(dòng)的安全協(xié)同》調(diào)研報(bào)告。報(bào)告指出,信息安全是一場持續(xù)的戰(zhàn)爭過程,但目前卻面臨著諸多方面的困境,未來信息安全的制勝之道在于各方力量的協(xié)同。
信息安全形勢(shì)日益嚴(yán)峻
近年來,全球網(wǎng)絡(luò)空間的安全威脅愈演愈烈。由于互聯(lián)網(wǎng)技術(shù)與傳統(tǒng)行業(yè)的融合日漸緊密,以致于網(wǎng)絡(luò)安全引發(fā)的危機(jī)波及面更廣,造成的惡劣影響更大。
圖1被動(dòng)式防御已經(jīng)無法對(duì)抗高強(qiáng)度、跨國家的網(wǎng)絡(luò)攻擊
根據(jù)Verizon 2015數(shù)據(jù)泄露調(diào)查報(bào)告(《2015 DBIR》)稱,單單2014年就有79790家公司遭遇數(shù)據(jù)泄露,全球500強(qiáng)企業(yè)中超過半數(shù)發(fā)生過數(shù)據(jù)泄露事件。更令人驚悚的是,60%的案例中,攻擊者僅需要幾分鐘就可以得手,足見安全形勢(shì)之嚴(yán)峻。
從攻擊者采用的攻擊手段來看,0day漏洞、免殺木馬、定制化工具,并結(jié)合社會(huì)工程學(xué)等多種手段結(jié)合的方式日漸盛行。它們不僅難以被發(fā)現(xiàn),而且還會(huì)長時(shí)間駐留在電腦終端內(nèi),伺機(jī)而動(dòng),在鎖定重要目標(biāo)之后隨時(shí)發(fā)動(dòng)攻擊。這些攻擊不僅會(huì)對(duì)個(gè)人或者企業(yè)造成危害,而且可能導(dǎo)致國家關(guān)鍵基礎(chǔ)設(shè)施癱瘓,國家海量戰(zhàn)略數(shù)據(jù)被竊取或泄露。
信息安全防護(hù)的三重困境
當(dāng)前,被動(dòng)修補(bǔ)防護(hù)體系已經(jīng)無法從根本上解決安全威脅。如Gartner報(bào)告所稱,當(dāng)前人們面臨著網(wǎng)絡(luò)威脅檢測能力、響應(yīng)能力和應(yīng)用安全的三重困境。
首先,使用傳統(tǒng)技術(shù)的入侵檢測系統(tǒng)和防病毒軟件無法及時(shí)發(fā)現(xiàn)新型攻擊,大量誤報(bào)的信息也會(huì)淹沒真實(shí)的報(bào)警。當(dāng)前,攻擊方采用的攻擊腳本和惡意程序已達(dá)百億規(guī)模,如果沒有創(chuàng)新技術(shù),就無法確保惡意代碼被檢出。此外,傳統(tǒng)SIEM和SOC產(chǎn)品提供的各種關(guān)聯(lián)算法和定制規(guī)則無法從海量威脅信息中檢測出真正有威脅的信息。
其次,企業(yè)IT架構(gòu)和攻擊者的手法同步變得更加復(fù)雜,安全團(tuán)隊(duì)無力應(yīng)付各種復(fù)雜的工作。近幾年,云計(jì)算、虛擬化、SDN等新興技術(shù)的廣泛應(yīng)用讓企業(yè)安全邊界越來越大,企業(yè)部署的安全產(chǎn)品種類和復(fù)雜程度日漸增加,導(dǎo)致安全團(tuán)隊(duì)長期超負(fù)荷運(yùn)轉(zhuǎn)。企業(yè)運(yùn)維變成了一個(gè)勞動(dòng)密集型的工作。
最后,多樣化的IT環(huán)境和開發(fā)模式的變化也讓應(yīng)用層漏洞數(shù)量快速增加。由于業(yè)務(wù)上線和更新速度的不斷提升,大部分開發(fā)團(tuán)隊(duì)都采用敏捷開發(fā)模式,需求和實(shí)現(xiàn)在一輪輪的迭代中快速改變,安全測試工作被大大壓縮,導(dǎo)致應(yīng)用上線時(shí)漏洞數(shù)激增。
協(xié)同成信息安全制勝之道
針對(duì)上述安全困境,Gartner提出了包括12種具體安全能力的自適應(yīng)安全架構(gòu)。但考慮到實(shí)際中,很少有安全供應(yīng)商具備如此全面的能力,因此,要打贏信息安全這一仗,各方力量的協(xié)同最為關(guān)鍵,其中數(shù)據(jù)協(xié)同、智能協(xié)同和產(chǎn)業(yè)協(xié)同這三種協(xié)同能力最為重要。
首先,數(shù)據(jù)協(xié)同包括異構(gòu)數(shù)據(jù)協(xié)同和云地?cái)?shù)據(jù)協(xié)同。異構(gòu)數(shù)據(jù)協(xié)同是將多個(gè)安全檢測設(shè)備同時(shí)作為數(shù)據(jù)來源,進(jìn)行多源數(shù)據(jù)協(xié)同分析,利用部分先驗(yàn)知識(shí)將微小的線索聯(lián)系起來,由點(diǎn)及面,發(fā)現(xiàn)攻擊行為。云地?cái)?shù)據(jù)協(xié)同是本地安全設(shè)備與云端威脅情報(bào)進(jìn)行協(xié)同,獲取最新的先驗(yàn)知識(shí)。這種方式可以有效降低企業(yè)成本,提升企業(yè)收益。
其次,智能協(xié)同包括“機(jī)器+機(jī)器”的智能協(xié)同、“機(jī)器+人”的智能協(xié)同和“人+人”的智能協(xié)同。“機(jī)器+機(jī)器”的智能協(xié)同是指大量基礎(chǔ)的響應(yīng)工作由機(jī)器之間自動(dòng)協(xié)同完成。“機(jī)器+人”的智能協(xié)同是指采用“機(jī)器輔助+人工分析”的方式對(duì)現(xiàn)場線索和海量數(shù)據(jù)進(jìn)行自動(dòng)化關(guān)聯(lián)分析,以便對(duì)APT攻擊進(jìn)行發(fā)現(xiàn)和溯源。“人+人”的智能協(xié)同是指充分利用白帽子的力量,采用眾測模式公開懸賞等方式,對(duì)漏洞進(jìn)行發(fā)現(xiàn)和修復(fù)。
最后,產(chǎn)業(yè)協(xié)同是指應(yīng)用開發(fā)商和生態(tài)供應(yīng)商以及客戶之間展開良性互動(dòng),提升管理效率,降低安全風(fēng)險(xiǎn),為消費(fèi)者提供高質(zhì)量的服務(wù)。Gartner的一份2015年的研究報(bào)告認(rèn)為,“到2019年,全球2000強(qiáng)企業(yè)50%的對(duì)外服務(wù)和解決方案花費(fèi),將通過不到十家組織生態(tài)系統(tǒng)的戰(zhàn)略供應(yīng)商提供。”
結(jié)語
總體而言,當(dāng)前,單靠一個(gè)廠商的力量無法解決整個(gè)行業(yè)面臨的問題。建立信息安全領(lǐng)域的行業(yè)協(xié)同機(jī)制,去應(yīng)對(duì)日漸加劇的網(wǎng)絡(luò)威脅已是迫在眉睫。安全協(xié)同能力,不論在數(shù)據(jù)、智能還是產(chǎn)業(yè)層面,是安全+大數(shù)據(jù)背景下的必然產(chǎn)物,也是從傳統(tǒng)安全向下一代安全的演進(jìn)的重要能力。