傳統(tǒng)上,企業(yè)安全防護(hù)主要基于簽名與特征碼來進(jìn)行檢測(cè)與攔截���,而現(xiàn)在大量攻擊手段都可以繞過現(xiàn)有的防護(hù)手段�,導(dǎo)致傳統(tǒng)安全手段無法應(yīng)對(duì)新型威脅的挑戰(zhàn)��。因此���,傳統(tǒng)的安全產(chǎn)品��,特別是防火墻�、入侵檢測(cè)和防病毒系統(tǒng)�����,需要更新?lián)Q代����。
基于這一思路�����,360憑借多年積累的安全大數(shù)據(jù)����,對(duì)最新威脅方式進(jìn)行追蹤����,形成了持續(xù)更新的威脅情報(bào),并將威脅情報(bào)應(yīng)用于安全產(chǎn)品中��,開發(fā)出了一系列威脅情報(bào)驅(qū)動(dòng)的新一代安全產(chǎn)品���,其中包括新一代威脅感知系統(tǒng)(360天眼)���、新一代終端安全系統(tǒng)(360天擎)、新一代大數(shù)據(jù)智慧防火墻(360天堤)�����。
據(jù)介紹���,360網(wǎng)神新一代安全產(chǎn)品實(shí)現(xiàn)了由規(guī)則驅(qū)動(dòng)到威脅情報(bào)驅(qū)動(dòng)的轉(zhuǎn)變��。
這種威脅情報(bào)驅(qū)動(dòng)的安全產(chǎn)品與解決方案��,不僅有效利用了各類威脅情報(bào)技術(shù)����,更重要的是通過數(shù)據(jù)與情報(bào)的共享�����,實(shí)現(xiàn)了跨產(chǎn)品的集中式安全檢測(cè)與自動(dòng)化響應(yīng)�����,無論是保護(hù)終端��、網(wǎng)關(guān)��、云�����,還是應(yīng)用程序的安全產(chǎn)品���,都可以借助威脅情報(bào)��,增強(qiáng)檢測(cè)和響應(yīng)的能力���,同時(shí)為后續(xù)的各類安全數(shù)據(jù)的分析和挖掘提供了數(shù)據(jù)基礎(chǔ)��。
新一代威脅感知系統(tǒng)——使用互聯(lián)網(wǎng)數(shù)據(jù)發(fā)掘APT攻擊線索�����,提升了客戶發(fā)現(xiàn)威脅的能力��;以威脅情報(bào)形式打通攻擊定位����、溯源與阻斷多個(gè)工作環(huán)節(jié)����,提升了客戶對(duì)攻擊回溯的能力。同時(shí)結(jié)合搜索技術(shù)提升數(shù)據(jù)挖掘能力����,以及輕量級(jí)沙箱的未知漏洞攻擊檢測(cè)技術(shù),提升了客戶檢測(cè)未知漏洞的能力�。
新一代終端安全系統(tǒng)——除了包含原有的反病毒�、終端管控產(chǎn)品����,還包括了終端檢測(cè)與響應(yīng)、終端安全鑒定中心等新產(chǎn)品��,是國(guó)內(nèi)首款針對(duì)于高級(jí)威脅進(jìn)行快速檢測(cè)和響應(yīng)的終端安全系統(tǒng)�����。產(chǎn)品可以持續(xù)洞察內(nèi)網(wǎng)終端的安全活動(dòng)信息�����,結(jié)合360大數(shù)據(jù)威脅情報(bào)等對(duì)內(nèi)網(wǎng)淪陷終端進(jìn)行快速的檢索和定位��,并提供針對(duì)于威脅事件的自動(dòng)化響應(yīng)和修復(fù)能力�。
新一代大數(shù)據(jù)智慧防火墻——從過去的訪問控制或特征檢測(cè)�����,演進(jìn)到針對(duì)網(wǎng)絡(luò)流量的復(fù)合型檢測(cè)和響應(yīng)的新領(lǐng)域����?����;贜DR(基于網(wǎng)絡(luò)的檢測(cè)與響應(yīng)安全體系)的全網(wǎng)應(yīng)急處置響應(yīng)能力�����,使防火墻能自動(dòng)或在管理員干預(yù)下完成發(fā)現(xiàn)問題���、分析問題、處置響應(yīng)一體化流程�。
建立大數(shù)據(jù)為核心的安全基礎(chǔ)設(shè)施能力
安全專家指出,威脅情報(bào)驅(qū)動(dòng)的安全�,其背后是大數(shù)據(jù)分析。大數(shù)據(jù)分析已成為全球信息安全發(fā)展的趨勢(shì)和方向�,未來2年大數(shù)據(jù)分析將顛覆大多數(shù)安全產(chǎn)品的格局。Gartner預(yù)測(cè)�,到2016年,40%的企業(yè)將部署大數(shù)據(jù)分析系統(tǒng)���,專門應(yīng)對(duì)信息安全��。
吳云坤認(rèn)為�,威脅情報(bào)驅(qū)動(dòng)的產(chǎn)品理念���,將會(huì)引發(fā)對(duì)傳統(tǒng)安全產(chǎn)品的“改造”和“提升”���,賦予安全產(chǎn)品“思考”的能力�,最終在企業(yè)形成安全大數(shù)據(jù)分析中心(大腦)加上安全軟硬設(shè)備(手臂)的安全協(xié)同模式�。
那么,當(dāng)前對(duì)企業(yè)來說��,企業(yè)如何才能在傳統(tǒng)安全措施的基礎(chǔ)上部署新的威脅情報(bào)產(chǎn)品�?吳云坤表示,這需要企業(yè)具有“安全基礎(chǔ)設(shè)施的能力”�����,它包括三個(gè)方面:
第一����,大數(shù)據(jù)的采集能力����。譬如,今天有線報(bào)表明有人會(huì)來攻擊����,但假若沒有內(nèi)網(wǎng)數(shù)據(jù)�,用戶根本不會(huì)知道是不是在內(nèi)網(wǎng)發(fā)生�����,因此第一個(gè)要解決的問題是威脅情報(bào)要發(fā)生作用��,做好數(shù)據(jù)的留存���,這種留存不是過去的告警留存����,而是終端的�����、網(wǎng)絡(luò)的���,甚至是資產(chǎn)的乃至企業(yè)級(jí)的各種原始數(shù)據(jù)���。
第二,全量數(shù)據(jù)的采集和存儲(chǔ)能力�����。安全威脅情報(bào)要發(fā)揮作用,本地的很多數(shù)據(jù)要存下來����,只有數(shù)據(jù)留存下來以后才能使威脅情報(bào)發(fā)揮基礎(chǔ)作用。有些時(shí)候威脅情報(bào)可能是一個(gè)外部情報(bào)��,如果內(nèi)部沒有數(shù)據(jù)的話�����,二者無法關(guān)聯(lián)得不到結(jié)論�����,也無法進(jìn)行下一步的處置�����。這個(gè)背景是大數(shù)據(jù)技術(shù)���。
第三,基于威脅情報(bào)的自動(dòng)檢測(cè)與響應(yīng)�。過去的響應(yīng)動(dòng)作都是人工的,比如發(fā)現(xiàn)一個(gè)漏洞��、發(fā)生一個(gè)攻擊,手動(dòng)進(jìn)行相應(yīng)或處置��。但威脅情報(bào)有一個(gè)很重要的點(diǎn)就是可以自動(dòng)化處理�����,這種自動(dòng)化處理不是設(shè)備聯(lián)動(dòng)�����,而是所有接受情報(bào)的設(shè)備�����,它都能遵循情報(bào)讓它做的一些動(dòng)作����,來半自動(dòng)或自動(dòng)化完成一些響應(yīng)。所以����,響應(yīng)動(dòng)作已經(jīng)不是基于漏洞了,它是基于情報(bào)做�,這是情報(bào)用好的一個(gè)關(guān)鍵點(diǎn)。
“數(shù)據(jù)留下來以后可以做更多的事情,甚至是非安全的事情���,比如做挖掘��、分析等�����?�?蛻粢灿泻芏噙@種需求����,比如在一些重要的銀行���,他們所做的業(yè)務(wù)安全的產(chǎn)品���,都是基于這些數(shù)據(jù)來做的。這種數(shù)據(jù)資產(chǎn)���,我們有時(shí)候說它很貴���,貴在哪兒?不是存儲(chǔ)貴�,是采集的那一刻太貴了,它只有一次機(jī)會(huì)�。”吳云坤說���。
威脅情報(bào)只是“影子”升級(jí)改造才是內(nèi)涵
當(dāng)前��,威脅情報(bào)一般包括信譽(yù)情報(bào)(“壞”的IP地址�、URL�����、域名等����,比如C2服務(wù)器相關(guān)信息)、攻擊情報(bào)(攻擊源��、攻擊工具��、利用的漏洞�����、該采取的方式等)等。一般而言��,CERT��、安全服務(wù)廠商���、防病毒廠商��、政府機(jī)構(gòu)和安全組織發(fā)布的安全預(yù)警通告�����、漏洞通告�����、威脅通告���,就屬于典型的安全威脅情報(bào)。
從威脅情報(bào)的種類看���,一般有四種���。第一種是商業(yè)威脅情報(bào)��;第二種是開源社區(qū)提供的安全威脅情報(bào)�;第三種是協(xié)作類威脅情報(bào)�,比如美國(guó)和新西蘭����,還有澳洲、美國(guó)�、英國(guó)之間協(xié)作性的情報(bào);第四種是內(nèi)部威脅情報(bào)�����,也就是企業(yè)自身產(chǎn)生的威脅情報(bào)���。
無論威脅情報(bào)是什么種類����,從哪里來��,其背后是大數(shù)據(jù)及基礎(chǔ)設(shè)施����。這意味著��,今天的防病毒���、防火墻等安全產(chǎn)品,以及無線安全�����、移動(dòng)安全�����、云安全等場(chǎng)景����,都要采集數(shù)據(jù),和情報(bào)進(jìn)行結(jié)合���,做出響應(yīng)�,從而形成一個(gè)基本的閉環(huán)��。
那么���,這是否意味著用戶要推翻基于規(guī)則的安全體系���,或是重建一個(gè)新的安全體系����?
吳云坤表示�,其實(shí),傳統(tǒng)安全體系的升級(jí)改造���,是部署威脅情報(bào)驅(qū)動(dòng)系統(tǒng)的主要模式。比如�����,把現(xiàn)在已經(jīng)部署的終端和網(wǎng)絡(luò)設(shè)備升級(jí)到具有采集數(shù)據(jù)的功能��,性能能滿足需求即可����,這能節(jié)省用戶投資。這種升級(jí)改造��,一定是一個(gè)平滑的過程���,而不是把所有的理念推翻����。這包括兩點(diǎn):
1.原來的防火墻等安全產(chǎn)品是有作用的,絕對(duì)不能被淘汰���,因?yàn)樗钃踝×?0-70%的普通攻擊�����。
2.保護(hù)用戶原有的投資���。但是,要用好現(xiàn)在的技術(shù)���,必須用新的思想來把這些設(shè)備真正用好���。事實(shí)上,吳云坤認(rèn)為����,在原有安全設(shè)備中,沒有用好是主流�����,用好的是少量,要用好原有設(shè)備�,在安全理念、策略等方面要有新的突破����。
在安全大數(shù)據(jù)的方案建設(shè)過程中,不存在一蹴而就����,而必須循序漸進(jìn)。企業(yè)首先可以在內(nèi)網(wǎng)進(jìn)行嘗試���;其次,數(shù)據(jù)收集起來以后����,絕不僅僅給安全部門使用,也用于其他的部門��,所以是分擔(dān)成本的�;第三,數(shù)據(jù)采集這件事情的投資�,往往也不是大數(shù)據(jù)項(xiàng)目,比如在網(wǎng)絡(luò)改造的時(shí)候就把防火墻換了�����,然后做終端管理項(xiàng)目的把終端換了,順帶把數(shù)據(jù)采回來�,所以不是一次性投資。
從產(chǎn)業(yè)來看�����,國(guó)內(nèi)外的威脅情報(bào)產(chǎn)品��,尤其是國(guó)外的產(chǎn)品�����,甚至可以免費(fèi)�,但企業(yè)為了支撐情報(bào)發(fā)揮作用,其相關(guān)的很多基礎(chǔ)設(shè)施��,包括防火墻����、防病毒全在發(fā)生變革;所有這類產(chǎn)品都是與大數(shù)據(jù)關(guān)聯(lián)的��,它不是只有情報(bào)就能發(fā)揮作用的。
“威脅情報(bào)只是一個(gè)‘影子’����,真正發(fā)揮作用,需要改造過去很多傳統(tǒng)的安全基礎(chǔ)設(shè)施���,并且一定要跟大數(shù)據(jù)結(jié)合起來�?���!眳窃评と缡钦f。
