今天,全聯(lián)接已成為一種新的常態(tài)。人類社會因為發(fā)展的需求,聯(lián)接已經(jīng)從物理世界延伸到數(shù)字世界。越來越多的個人、企業(yè)、組織和機構(gòu)加入了全聯(lián)接的世界,眼鏡、手表、甚至是家用電器,健康檢測等終端產(chǎn)品都在向智能化演進,在與人類的活動建立起數(shù)字的聯(lián)接。
泛在的聯(lián)接在高速發(fā)展,傳統(tǒng)的安全結(jié)構(gòu)卻正在逐步瓦解,聯(lián)接技術(shù)要求更加敏捷和無處不在,同時又需要確保安全可靠與保護數(shù)據(jù)隱私,而保障安全可靠和數(shù)據(jù)隱私防護就要克服泛在化的安全漏洞、風(fēng)險、防御持續(xù)惡意的入侵。擺在我們面前的是不斷變化的互聯(lián)網(wǎng)與不斷升級的威脅,這種變化升級,不斷挑戰(zhàn)著我們的安全思維。
Yes, the change challenges today's security thinking. RSA 2015安全會議的主題耐人尋味,安全,是要爆發(fā)一場靈魂深處的革命么?
今年最炙手可熱的幾個安全關(guān)鍵詞是“高級威脅”、“安全智能”、“威脅情報”。人們在經(jīng)受了長期的攻防態(tài)勢失衡焦慮之后,終于意識到常規(guī)的安全防御很難解決高級的定向攻擊,個人與普通組織也無法對抗專業(yè)黑客組織甚至國家級安全機構(gòu)的網(wǎng)絡(luò)攻擊。于是,大家集體轉(zhuǎn)向了“intelligence”。“intelligence”這個詞具有雙重含義,一方面是“Threat Intelligence”即“威脅情報”,一方面是“Security Intelligence”即“安全智能”,正好用來應(yīng)對“高級威脅”。
“情報”和“智能”之間是什么關(guān)系?情報是支撐一切安全機制實現(xiàn)智能化的基礎(chǔ)。大家最初的安全意識一般從接收到各類安全事件而來,病毒特征庫從病毒樣本以及安全分析人員對于計算機病毒的多方面認(rèn)識與經(jīng)驗而來,IPS特征庫從系統(tǒng)漏洞的技術(shù)原理及網(wǎng)絡(luò)攻擊報文樣本特征分析而來,沙箱行為模式庫從各類文件實體在計算機網(wǎng)絡(luò)環(huán)境中的運行特點及其可能造成的后果判定而來。
“intelligence”使得我們能夠開發(fā)出下一代安全產(chǎn)品與專門防御高級威脅的BDS(Breach Detection System)產(chǎn)品,包括NGFW、NGIPS、NGSOC、NGSIEM、APT沙箱、大數(shù)據(jù)安全分析系統(tǒng)以及云化的安全智能中心。新一代安全產(chǎn)品有一個顯著的共同點,都是采集大量環(huán)境數(shù)據(jù)與樣本數(shù)據(jù),綜合大量單點檢測結(jié)果,更多地使用數(shù)據(jù)分析工具與技術(shù),實現(xiàn)以下目標(biāo):
一:快速響應(yīng)能力(Reactive),實現(xiàn)綜合研判、精準(zhǔn)事件、快速閉環(huán)。
從安全網(wǎng)關(guān)角度而言,NGFW與NGIPS都通過集成更復(fù)雜的環(huán)境數(shù)據(jù)來加強檢測能力,以及提升告警的精準(zhǔn)度。而作為后端系統(tǒng),傳統(tǒng)SOC與SIEM產(chǎn)品已在一定程度上具備安全事件綜合研判的能力,但由于技術(shù)與架構(gòu)所限,難于處理非結(jié)構(gòu)化數(shù)據(jù),也無法關(guān)注到大時間窗里的海量威脅情報數(shù)據(jù),更無法實現(xiàn)實時流的分析。安全運維人員希望做千萬級億級事件記錄集調(diào)查時,系統(tǒng)能像搜索引擎一樣快速反饋結(jié)果。大數(shù)據(jù)安全系統(tǒng)應(yīng)運而生。有了大數(shù)據(jù)平臺就可以輕而易舉地處理億萬級別的情報數(shù)據(jù),可以針對某一事件綜合研判,過濾掉冗余、干擾與錯誤信息,提高應(yīng)急響應(yīng)的及時性。
二:預(yù)警能力(Predictive),通過已知威脅推演未知威脅,提升威脅感知能力,實現(xiàn)威脅的早期預(yù)警。
如果以2014年為分水嶺,那么2014年以前,對于安全能力,用戶一般只關(guān)注安全產(chǎn)品對已知威脅的覆蓋程度,而2014年以后,已經(jīng)有更多用戶開始關(guān)心哪些安全產(chǎn)品可以防御未知攻擊,用戶甚至希望能夠有技術(shù)手段識別社會工程學(xué)攻擊。
那么,是否能以已知威脅的檢測知識為基礎(chǔ),擴展到對未知威脅的感知能力呢?基于各類基線的異常檢測、可視化的數(shù)據(jù)特征呈現(xiàn)、威脅檢測模型的動態(tài)擴展、基于運行結(jié)果的代碼邏輯分析、基于機器學(xué)習(xí)的相似度分析、人機行為模式差異度分析、多維度的安全信譽度評估,以及多種大數(shù)據(jù)分析方法,都有可能提供從已知跨越未知的橋梁。一旦這些方法變得穩(wěn)定實用,對于潛在威脅的早期預(yù)警能力也會大大提高。在與攻擊者的對抗過程中,可以有更從容地組織、實施防御方案。
三:前攝能力(Proactive),通過威脅情報的共享,防御機制的聯(lián)動,構(gòu)建敏捷協(xié)同的威脅前攝型安全體系。
威脅情報可能是威脅攻擊的本體數(shù)據(jù),也可能是它的描述數(shù)據(jù),或者是結(jié)構(gòu)化的機讀數(shù)據(jù)。隨著大家對威脅情報的重視,這類數(shù)據(jù)的信息規(guī)范化與使用規(guī)范化已經(jīng)成為非常明顯的一個趨勢。威脅情報的共享機制最終會演變?yōu)樯鐣嬎闫脚_上的一種業(yè)務(wù)。各個相對封閉的系統(tǒng)中,威脅情報的生產(chǎn)者同時也是消費者,在整個互聯(lián)網(wǎng)世界里,不同系統(tǒng)所生產(chǎn)的威脅情報又為其他系統(tǒng)所用,大家互惠互利。
目前而言,威脅情報只在小范圍內(nèi)實現(xiàn)了局部的規(guī)范化與自動化,還未在安全行業(yè)形成事實標(biāo)準(zhǔn)。這中間只是時間問題,很快會出現(xiàn)開放的威脅情報運營中心,并快速形成行業(yè)聯(lián)盟,推動更多安全廠商的產(chǎn)品基于標(biāo)準(zhǔn)實現(xiàn)設(shè)備與設(shè)備之間威脅情報交換,讓在線系統(tǒng)更加智能、敏捷,從而實現(xiàn)全網(wǎng)安全防御系統(tǒng)的實時協(xié)同,提高整網(wǎng)安全水平。
在今年的RSA大會上,創(chuàng)新沙盤依然會點燃大家的安全思維。預(yù)計創(chuàng)新主題將會聚焦在威脅情報管理、大數(shù)據(jù)安全分析以及未知威脅檢測方面,讓我們一起期待最具創(chuàng)新價值的安全廠商現(xiàn)身。中國作為網(wǎng)絡(luò)大國,中國安全廠商在RSA大會上的表現(xiàn)倍受關(guān)注。據(jù)悉,包括華為在內(nèi)的眾多國內(nèi)安全廠商會帶著沙箱等創(chuàng)新產(chǎn)品高調(diào)亮相RSA。中國安全廠商的表現(xiàn)值得我們期待。
立足當(dāng)下,展望未來,以下安全趨勢將成為業(yè)界在未來幾年內(nèi)所密切關(guān)注的重點:
1、隨著沙箱與大數(shù)據(jù)分析產(chǎn)品的興起,主要的技術(shù)挑戰(zhàn)來自于更有針對性的高級躲避技術(shù),包括anti-debugging、anti-vm、代碼流混淆與數(shù)據(jù)污染等。
2、DDoS攻擊與僵尸網(wǎng)絡(luò)的治理進一步掀起“安全即服務(wù)”的云化運營高潮,并在運營商與數(shù)據(jù)中心以及安全廠商間形成商業(yè)模式。
3、新的威脅繼續(xù)大面積爆發(fā)在互聯(lián)網(wǎng)基礎(chǔ)設(shè)施與主流基礎(chǔ)軟件上,如同2014的 OpenSSL Heartbleed以及 Linux bash漏洞。
4、數(shù)字空間犯罪組織可能會針對互聯(lián)網(wǎng)金融以及日益開放物聯(lián)網(wǎng)與工控網(wǎng)發(fā)起致命攻擊。
5、移動智能終端的安全直接影響人們的工作與生活,甚至影響到運營商的LTE網(wǎng)絡(luò)。
6、國內(nèi)出現(xiàn)開放的威脅情報共享組織,并快速形成行業(yè)聯(lián)盟,推動更多安全廠商的產(chǎn)品基于標(biāo)準(zhǔn)實現(xiàn)設(shè)備與設(shè)備之間威脅情報交換,在線系統(tǒng)更加智能、敏捷,從而實現(xiàn)全網(wǎng)安全防御系統(tǒng)的實時協(xié)同。
7、企業(yè)與云數(shù)據(jù)中心更注重構(gòu)建可持續(xù)的安全運維能力。更智能的安全運維平臺、更高級的安全運維工具、更便捷的安全運維服務(wù)將廣受關(guān)注。
8、中國網(wǎng)絡(luò)安全的法治化建設(shè)進入發(fā)展的快速通道,中國互聯(lián)網(wǎng)安全治理形成政府與民間聯(lián)手合作的雙軌化運作。國內(nèi)安全產(chǎn)業(yè)格局正在發(fā)生巨變,全球網(wǎng)絡(luò)空間安全格局所受的深遠(yuǎn)影響也將逐步呈現(xiàn)。