WAF與威脅情報(bào) 參加 RSA 2017 的一些感悟

責(zé)任編輯:editor005

作者:王小瑞

2017-02-16 14:39:40

摘自:安全牛

本周二召開(kāi)的 RSA 2017(美國(guó))展會(huì)上,盛邦安全CEO權(quán)小文遠(yuǎn)程在線接受媒體采訪,談?wù)摿怂麑?duì)此次展會(huì)上技術(shù)產(chǎn)品和國(guó)內(nèi)外安全產(chǎn)業(yè)的一些看法。

一款產(chǎn)品的發(fā)展,都是從解決基礎(chǔ)問(wèn)題進(jìn)化到解決復(fù)雜問(wèn)題,是一個(gè)由粗到精的過(guò)程。

本周二召開(kāi)的 RSA 2017(美國(guó))展會(huì)上,盛邦安全CEO權(quán)小文遠(yuǎn)程在線接受媒體采訪,談?wù)摿怂麑?duì)此次展會(huì)上技術(shù)產(chǎn)品和國(guó)內(nèi)外安全產(chǎn)業(yè)的一些看法。

WAF要更加精細(xì)和準(zhǔn)確

盛邦是一家專注于Web安全的廠商,因此我們格外關(guān)注這方面的同行。Imperva在全球是最好的WAF廠商之一,目前它的WAF產(chǎn)品正在往企業(yè)級(jí)延“深”,做得越來(lái)越精細(xì)。

我們知道,一切技術(shù)都需要在業(yè)務(wù)與安全之間取得平衡。因?yàn)槠髽I(yè)的困難在于這兩者之間的選擇,要么不放過(guò)(無(wú)法進(jìn)行業(yè)務(wù)),要么全放過(guò)(不安全)。所以,安全技術(shù)的好壞就在于是否能夠做到精細(xì)和準(zhǔn)確,而Imperva的核心競(jìng)爭(zhēng)力就是能夠做到更加精確和有效的判斷控制。

盛邦安全也在遵循這種思路和做法,通過(guò)把攻擊行為拆分成多個(gè)階段,并分別做出判斷。傳統(tǒng)的產(chǎn)品往往等事件發(fā)生后再做選擇,要么放過(guò)要么阻斷,控制點(diǎn)是后置的。而我們現(xiàn)在做早期判斷技術(shù),盡早的對(duì)攻擊行為進(jìn)行判斷,而且更加的細(xì)致,以減輕企業(yè)在要安全還是要業(yè)務(wù)之間的兩難選擇程度。

更精細(xì)化的識(shí)別和控制是WAF的一個(gè)發(fā)展方向。

與威脅情報(bào)等分析技術(shù)結(jié)合

威脅情報(bào)在國(guó)外已經(jīng)非常成熟,安全產(chǎn)品普遍的都在引入,但在國(guó)內(nèi)并不多見(jiàn)。盛邦安全有一部分的海外市場(chǎng),所以在新的產(chǎn)品技術(shù)上跟的比較緊。至少在情報(bào)利用上沒(méi)有問(wèn)題,接入之后就能做到分析和阻斷。而盛邦安全的銳御系列WAF產(chǎn)品,應(yīng)該是國(guó)內(nèi)最早的也可能是目前唯一的支持威脅情報(bào)的WAF類產(chǎn)品。

過(guò)去的產(chǎn)品技術(shù)一般都是基于內(nèi)置的簽名來(lái)判斷,現(xiàn)在的安全產(chǎn)品則普遍采用多安全引擎,引入了多種分析手段,比如威脅情報(bào)。除此之外,還會(huì)再輔助一些其他的分析引擎。比如利用云端的大數(shù)據(jù)分析引擎,做歷史行為基線分析,還有云端沙盒等,這些都是未來(lái)的發(fā)展方向。

從國(guó)際上來(lái)看,WAF這款產(chǎn)品已經(jīng)從生命周期的早期走向成熟階段,越來(lái)越多的企業(yè)已經(jīng)將WAF引入到他們的生產(chǎn)環(huán)境里來(lái)。在這個(gè)階段,需要解決的已經(jīng)不是簡(jiǎn)簡(jiǎn)單單的安全問(wèn)題,而是一種安全可用性與業(yè)務(wù)相結(jié)合的能力。

對(duì)國(guó)外安全產(chǎn)業(yè)的感想

印象最深的是,感覺(jué)到了國(guó)外安全產(chǎn)業(yè)的脈動(dòng)。國(guó)外安全產(chǎn)業(yè)的發(fā)展還是很有規(guī)律可言的。RSA展會(huì)的論壇,就會(huì)有趨勢(shì)、理論類的演講,這些非常前沿的技術(shù),比如創(chuàng)新沙盒。而展區(qū)展出的產(chǎn)品相對(duì)來(lái)講則比較成熟。大致上論壇里講的技術(shù),一年左右會(huì)形成產(chǎn)品出現(xiàn)在展區(qū)。比如前兩年的威脅情報(bào)、去年的人工智能,已經(jīng)有非常多的廠商和產(chǎn)品涌現(xiàn)。

國(guó)外安全產(chǎn)業(yè)的這種有規(guī)律的發(fā)展節(jié)奏,給了我很大的觸動(dòng)。拿威脅情報(bào)這個(gè)概念來(lái)說(shuō),中國(guó)跟美國(guó)幾乎是同步開(kāi)展,但是現(xiàn)在看中國(guó)幾乎沒(méi)有能拿出手的產(chǎn)品,在客戶應(yīng)用方面的成功案例更是少之又少,至少我們?cè)趪?guó)內(nèi)沒(méi)有找到非常有效的威脅情報(bào)供應(yīng)商,還有分發(fā)、處理等環(huán)節(jié)。而威脅情報(bào)應(yīng)該是協(xié)同作戰(zhàn)才能有效,不可能一支獨(dú)秀,國(guó)內(nèi)的情報(bào)產(chǎn)業(yè)尚未形成。

反觀國(guó)外,這個(gè)產(chǎn)業(yè)鏈已經(jīng)發(fā)展的非常成熟。無(wú)論是從初期數(shù)據(jù)的收集到后期情報(bào)的分析、整合、處理、分發(fā)和利用,在每一個(gè)環(huán)節(jié)上都有很多優(yōu)秀的公司,客戶可以購(gòu)買到很好的威脅情報(bào)服務(wù)。

我想在這一點(diǎn)上,中國(guó)的安全產(chǎn)業(yè)界應(yīng)該感到汗顏。

空杯心態(tài) 積極進(jìn)取

除了威脅情報(bào)之外,還有一些前沿技術(shù)令人印象深刻,如人工智能、深度學(xué)習(xí)和大數(shù)據(jù)分析等替代性安全技術(shù)。大數(shù)據(jù)分析可以拋開(kāi)簽名,完全通過(guò)流量、數(shù)據(jù)分析來(lái)發(fā)現(xiàn)一切已知和未知的攻擊。這樣一來(lái),殺毒軟件還有用嗎?

這些新興技術(shù),國(guó)內(nèi)很多人認(rèn)為還是理念上的技術(shù),尚不能落地,但實(shí)際上它們的產(chǎn)品化進(jìn)展比我們想象的要快,而且要快很多。我覺(jué)得我們的產(chǎn)業(yè)在面向新技術(shù)的時(shí)候不夠積極。

我認(rèn)為,安全技術(shù)已經(jīng)處于一個(gè)發(fā)展變革非??焖俚臅r(shí)期,我們做信息安全的人應(yīng)該始終有一種空杯的心態(tài),并且是抱有積極響應(yīng)、學(xué)習(xí)并付諸于行動(dòng)的心態(tài)。否則我們很容易落伍,而安全尤其是一個(gè)不容落伍的行業(yè),有著技高一籌就可以雄霸天下的特性,因?yàn)樗膶?shí)質(zhì)是對(duì)抗。

這就是我參加RSA最大的感受,也激勵(lì)了我們要竭盡全力,專注投入的做好技術(shù)產(chǎn)品的研發(fā)。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)