安全從來不是一成不變,但當(dāng)我們聽?wèi)T了各種“下一代安全”時,難道就真的覺得“老三樣”不行了?事實上,防火墻、入侵檢測、防病毒這些老三樣們?nèi)匀徽紦?jù)著安全市場的出貨量主力。所以,市場一次又一次的告訴我們,它們依然有價值!
只不過,它們在變。
如果把這些安全設(shè)備、軟件比喻為手和腳的話,那么變的是什么,是不是缺少點(diǎn)什么?對的,“大腦”!在360網(wǎng)神看來,安全產(chǎn)品該由規(guī)則驅(qū)動轉(zhuǎn)向威脅情報驅(qū)動,進(jìn)而來說,數(shù)據(jù)則是安全的大腦,有了它才能讓手和腳更聰明、靈活。
威脅情報驅(qū)動如何讓安全“手腳腦并用”
過去基于簽名與特征碼來進(jìn)行檢測與攔截的防御體系不足以應(yīng)對復(fù)雜多變的安全態(tài)勢,已經(jīng)成為共識。如果回想下我們看過的很多古裝片中的場景,當(dāng)把守城門的衙役拿著“罪犯”畫像欲對其進(jìn)城實施逮捕時,很多時候無濟(jì)于事,因為他們檢查的對象往往進(jìn)行了喬裝打扮。
回到現(xiàn)實網(wǎng)絡(luò)安全環(huán)境中也一樣,很多時候黑客把惡意樣本投遞到企業(yè)的內(nèi)網(wǎng)中去,現(xiàn)在的防御體系大多對這個文件落地的一刻進(jìn)行攔截和檢測,但這種檢測能力非常有限,因為惡意樣本也會“喬裝打扮”。對這時的防御體系來說,能檢測得到就檢測,檢測不到就算了。
以上可以看作它們是以規(guī)則驅(qū)動的安全產(chǎn)品,顯然這個防御等級并不高,并且看起來也有點(diǎn)“傻”。這時,安全要做的是什么?即使入網(wǎng)的那一瞬間沒攔住,也要對它密切監(jiān)控。
如果說過去完全依賴于規(guī)則下發(fā)進(jìn)行的響應(yīng)已經(jīng)力不從心,那么未來的安全靠什么?
360網(wǎng)神的答案是“威脅情報”。
360網(wǎng)神近日發(fā)布了基于大數(shù)據(jù)安全分析和威脅情報的新一代安全產(chǎn)品,360企業(yè)安全集團(tuán)總裁吳云坤表示,“360憑借多年積累的安全大數(shù)據(jù),對最新威脅方式進(jìn)行追蹤,形成了持續(xù)更新的威脅情報,并將威脅情報應(yīng)用于安全產(chǎn)品中,開發(fā)出了一系列威脅情報驅(qū)動的新一代安全產(chǎn)品。”
360網(wǎng)神把威脅情報能力賦予了三大產(chǎn)品,包括新一代威脅感知系統(tǒng)(360天眼)、新一代終端安全系統(tǒng)(360天擎)和新一代智慧防火墻(360天堤)。注意,無論是天眼、天擎還是天堤,他們并不是橫空出世的新產(chǎn)品,而是被賦予了大數(shù)據(jù)和威脅情報的“芯”。
威脅情報如何發(fā)揮作用?吳云坤舉例,某金融機(jī)構(gòu)智能打印機(jī)被黑,威脅情報會告訴你這個木馬帶來的攻擊鏈條是什么,它的響應(yīng)動作不是在智能終端上把這個木馬殺掉就結(jié)束了,而是要看和它相連的其他主要業(yè)務(wù)系統(tǒng)有沒有感染。并且,它也有可能因中招的木馬不一樣做出不一樣的響應(yīng)動作。“有的是保存現(xiàn)場進(jìn)行調(diào)查、有的是要?dú)⒌暨@個木馬、還有可能停止另外一個進(jìn)程。”
有沒有發(fā)現(xiàn),威脅情報驅(qū)動的安全產(chǎn)品之間是聯(lián)動的,也就是說在處理一個攻擊行為時安全防御體系是展開協(xié)作的,它們協(xié)作的基礎(chǔ)是數(shù)據(jù)和情報,情報可能希望先做一個終端的保護(hù)、再做一個防火墻的策略、再回到大數(shù)據(jù)中心進(jìn)行分析檢測、或者做其他下一步的動作,應(yīng)對攻擊安全產(chǎn)品之間不再是孤立的。
所以,設(shè)備+情報,一個手腳腦并用的的安全體系真正發(fā)揮作用了。
如何獲取威脅情報并實現(xiàn)自動化響應(yīng)
既然情報這么重要,如何獲取情報并讓它發(fā)揮價值也是考驗安全提供商的重要能力。吳云坤強(qiáng)調(diào),這要考驗大數(shù)據(jù)采集能力,很多企業(yè)在做規(guī)劃過程中都提到一個問題,要把數(shù)據(jù)留存。這種留存不是過去的告警留存,事實上過去的IDS、防火墻、反病毒全是流程的告警數(shù)據(jù),這顯然不夠,而是需要全量數(shù)據(jù)的采集和存儲能力。情報要發(fā)揮作用,要留存的包括終端、網(wǎng)絡(luò)、甚至是資產(chǎn)等原始數(shù)據(jù),甚至到業(yè)務(wù)級的。
如果要衡量威脅情報驅(qū)動的安全防御體系是否發(fā)揮最大價值,要依賴兩個條件,一是數(shù)據(jù)能不能收下來、二是情報的響應(yīng)能不能由設(shè)備完成。
吳云坤指出,360網(wǎng)神推出由規(guī)則驅(qū)動轉(zhuǎn)向威脅情報驅(qū)動的新一代安全產(chǎn)品解決了三件事情:
第一解決了高級威脅的檢測與響應(yīng)問題,所有的終端產(chǎn)品、防火墻支持全量數(shù)據(jù)采集,不僅僅是告警、還采集各類的行為,包括網(wǎng)絡(luò)方面的流量、快照、日志等。
第二能夠基于威脅情報做出自動化響應(yīng),如果說用1元錢衡量情報,那么10元錢是檢測、100甚至1000元則是做響應(yīng)。所以后面的事情更重要,360描繪的威脅情報驅(qū)動的新一代安全產(chǎn)品前面強(qiáng)調(diào)的是威脅情報、后面則是安全基礎(chǔ)設(shè)施,安全基礎(chǔ)實施以情報驅(qū)動,少一個都不行。為了基于威脅情報做出自動化響應(yīng),360已經(jīng)完成對底下很多基礎(chǔ)設(shè)施包括防火墻、防病毒的改造。
三是為后續(xù)的各類安全數(shù)據(jù)的分析和挖掘提供數(shù)據(jù)基礎(chǔ),甚至是非安全的事情。
“今天360的防病毒、防火墻和天眼的大數(shù)據(jù)運(yùn)營系統(tǒng)形成了威脅感知的業(yè)務(wù)閉環(huán),未來無論是我們的無線安全、移動安全,包括云安全等所有的產(chǎn)品概念都會這樣:數(shù)據(jù)要采回來、和情報進(jìn)行結(jié)合、結(jié)合之后做響應(yīng)。” 吳云坤說。
據(jù)介紹,360的威脅情報來自三個方面:一是360自己的全球海量數(shù)據(jù)挖掘生成的威脅情報;二是通過交換方式或購買的商業(yè)威脅情報;三是內(nèi)部威脅情報,也就是用戶自己產(chǎn)生的情報。
細(xì)致入微的數(shù)據(jù)分析能力
通過對傳統(tǒng)安全產(chǎn)品的改造,360網(wǎng)神把防火墻、防病毒等變成了觸感豐富的“皮膚”,反饋了豐富的數(shù)據(jù),再加上基于大數(shù)據(jù)的威脅感知系統(tǒng),360反過來把安全基礎(chǔ)設(shè)施變成了可以被驅(qū)動的手和腳。的確,360網(wǎng)神構(gòu)建了一個閉環(huán)、靈活和智能的安全防御框架。
但不得不說,威脅情報驅(qū)動是一種分析技術(shù),360是否又做的細(xì)致入微呢?
吳云坤把數(shù)據(jù)分析技術(shù)分為兩類,一是用“顯微鏡”看一個單點(diǎn)數(shù)據(jù),比如一個樣本、一個URL、一個DNS、一個行為、一個流量等,二是用“天文望遠(yuǎn)鏡”看數(shù)據(jù)與數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系。
過去,所有的人都在研究第一類數(shù)據(jù),把它看細(xì),但數(shù)據(jù)大了之后更重要的是彼此之間的關(guān)聯(lián)。以美國反恐為例,過去是把電話解密,要看細(xì)、研究的越透越好?,F(xiàn)在不是,它看誰之間打過電話、研究人之間的關(guān)聯(lián)關(guān)系,最后定位出誰是恐怖份子,而不是花大量成本解密通話內(nèi)容。所以,研究數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系可以找到很多異常。
做安全的公司都知道機(jī)器學(xué)習(xí),但對于很多傳統(tǒng)安全公司來說,根本沒有做機(jī)器學(xué)習(xí)或剛開始起步。為什么?因為對于他們來說,不缺攻防專家,但沒有數(shù)據(jù)科學(xué)家。
360不同,吳云坤說,360是一家互聯(lián)網(wǎng)公司,數(shù)據(jù)科學(xué)家在做互聯(lián)網(wǎng)業(yè)務(wù)時已經(jīng)有了,包括起初做QVM引擎搞搜索的人。對于數(shù)據(jù)分析和機(jī)器學(xué)習(xí),360有天然的基因。數(shù)據(jù)從存儲、分析、挖掘到得到情報的過程,360有領(lǐng)先的技術(shù)能力,例如5000億/秒的查詢次數(shù),很多跟安全無關(guān)跟大數(shù)據(jù)技術(shù)積累有關(guān),但反過來又作用于安全。
所以,有了支撐威脅情報分析的大數(shù)據(jù)技術(shù),加上以威脅情報驅(qū)動的安全基礎(chǔ)設(shè)施,360網(wǎng)神為“老三樣”賦予了思考的能力。