未來的終端安全體系,必須具備至少3種能力:對平臺和終端知識的全面理解和靈活掌控、對已知威脅的精確感知和敏捷響應(yīng)、對未知可疑活動的及時發(fā)現(xiàn)與主動攔截。多(全)維度屬性的資產(chǎn)管理貫穿于其中,提供堅實的數(shù)據(jù)支撐;自動化資產(chǎn)發(fā)現(xiàn)、主機風(fēng)險態(tài)勢識別、多維度的可視化,幫助客戶快速精準定級風(fēng)險,降低運維成本;全面事件活動軌跡記錄,用戶可迅速還原事件發(fā)生過程,形成完整事件證據(jù)鏈,確認相關(guān)責(zé)任人;綜合多源數(shù)據(jù)的精確檢測和供應(yīng)多種策略的靈活響應(yīng),提升防護的精準度,降低企業(yè)安全風(fēng)險。

通過自動化響應(yīng)發(fā)現(xiàn)安全威脅

在本屆RSAC創(chuàng)新沙盒大賽入圍的廠商中,其產(chǎn)品、解決方案有相當(dāng)比例與網(wǎng)絡(luò)安全管理領(lǐng)域相關(guān)。另外從議程安排中,我們看到了安全行業(yè)對于若干信息安全管理領(lǐng)域,以及對于網(wǎng)絡(luò)安全中人的因素的特別關(guān)注:

·安全治理/風(fēng)險/合規(guī)管理GRC領(lǐng)域;

·人員安全管理領(lǐng)域;

·信息系統(tǒng)生命周期管理領(lǐng)域。

期望通過安全管理來達成四個目的:減少來自SIEM告警的干擾,避免人工關(guān)聯(lián),提供對威脅的洞察力,簡化incident響應(yīng)流程。

綠盟科技最新的兩項研究發(fā)現(xiàn)大部分互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)在上線后半小時內(nèi)會被攻擊者探測發(fā)現(xiàn)并開始遭受攻擊;系統(tǒng)的最新漏洞在信息公開后 10 小時~13 小時,攻擊者會采用最新的攻擊代碼對開放在互聯(lián)網(wǎng)系統(tǒng)進行攻擊。

以上研究展現(xiàn)了攻防演進速度驚人的形勢,為更好的應(yīng)對高速的網(wǎng)絡(luò)威脅,綠盟科技推出了一款集安全威脅檢測設(shè)備、安全威脅分析平臺、安全專家服務(wù)于一體的一站式安全運營支撐服務(wù)——可管理的威脅檢測與響應(yīng)服務(wù)(NSFOCUS Managed Detection and Response Service,以下簡稱綠盟 MDR 服務(wù))。

與單一的安全防護設(shè)備相比,MDR服務(wù)可以在設(shè)備提供的威脅預(yù)防能力的基礎(chǔ)之上,進一步提供威脅源及安全事故的檢測與處置能力,形成事前主動預(yù)防、事中積極對抗、事后及時響應(yīng)的一體化威脅管理解決方案,避免安全建設(shè)項目的風(fēng)險,綠盟MDR還進一步融合業(yè)界最先進的大數(shù)據(jù)分析技術(shù)、機器學(xué)習(xí)技術(shù)、智能決策技術(shù)為客戶有效精準地識別安全威脅和事件。

AI本身的安全問題值得關(guān)注

微軟的資深專家Bugra Karabey在RSAC 2019上分享了如何把機器學(xué)習(xí)作為分析工具在安全攻擊分析中的應(yīng)用,他們提出的一個場景“如何使用主成分分析聚類識別安全事件模式”引起了綠盟科技的關(guān)注。他們針對大規(guī)模的安全事件庫,構(gòu)造了一個采用PCA聚類分析進行降維分析模型,形成安全事件數(shù)據(jù)集并識別潛在威脅,其workflow如下圖所示。

和微軟安全分析思路不謀而合的是,綠盟科技在過去的一段時間里,也是在摸索中形成了特有的機器學(xué)習(xí)+規(guī)則關(guān)聯(lián)分析構(gòu)建安全威脅分析解決思路。構(gòu)建出機器學(xué)習(xí)分析引擎-TURING引擎,并提出了將關(guān)聯(lián)分析框架構(gòu)建于TURING引擎之上,通過機器學(xué)習(xí)+規(guī)則關(guān)聯(lián)分析,實現(xiàn)安全威脅智能推理分析,逐步搭建出我們的安全分析從“know-knows”到“know unknows”的分析平臺。

當(dāng)今AI成為各個安全公司驅(qū)動安全能力提升的新“引擎”,很多產(chǎn)品在利用AI最大程度上提升安全檢測和防護能力。同時,AI本身的安全問題也浮出水面,對網(wǎng)絡(luò)安全行業(yè)來說,“AI是手段,安全是目標”,用AI做安全檢測和防護同時,也要考慮構(gòu)建安全的AI。綠盟科技天機實驗室發(fā)現(xiàn)利用TensorFlow本身的系統(tǒng)漏洞,黑客可以很容易的制造惡意模型,從而控制、篡改使用惡意文件的AI應(yīng)用。面對更多未知的漏洞和危險,AI開發(fā)者近乎是束手無策。

綠盟科技通過在RSAC2019上針對AI本身的安全問題的討論總結(jié)出了部分解決方案:

1) 區(qū)塊鏈的引入

區(qū)塊鏈是安全、分布式、恒定的數(shù)據(jù)庫,由分布式網(wǎng)絡(luò)的各方所共享,這個數(shù)據(jù)庫可以記錄交易數(shù)據(jù),審計起來也很容易。

2) 提高可解釋性

目前由于AI算法內(nèi)部的運作往往是不透明的,AI的黑箱問題和可解釋性問題越來越受到關(guān)注。深度學(xué)習(xí)方面的最大挑戰(zhàn)之一是向客戶和監(jiān)管機構(gòu)解釋模型是如何得到答案的,但根本不知道模型是如何得到答案的。

3) 基于AI的安全系統(tǒng)的安全性評估系統(tǒng)

設(shè)計新的安全框架來衡量和量化基于AI的安全系統(tǒng)。在該安全系統(tǒng)中需要能夠解決:評估數(shù)據(jù)是否被有意污染,引入第三方數(shù)據(jù)時是否會導(dǎo)致無意的數(shù)據(jù)污染,AI給出不可靠信息如何評估,是否自動化回應(yīng)AI推薦的決策并采取行動等。

基于零信任制定訪問控制

混合環(huán)境的云安全主要包括身份認證和訪問控制,如何一次驗證身份就可能按照給定的訪問控制策略訪問不同環(huán)境中的各種資源,又能抵御攻擊者的惡意訪問,一個比較好的模型是零信任模型本屆RSAC上,綠盟科技通過云安全方面的交流發(fā)現(xiàn)了一些變化趨勢——提到零信任的廠商明顯增多,與往年提概念不同,2019年各家都拿出了產(chǎn)品,例如Duo的零信任身份認證訪問,Zscalar、Cyxtera、Meta Network等的SDP訪問控制方案。即便是標準化的SDP,各家廠商也有所不同,例如Cyxtera的方案是將數(shù)據(jù)傳輸?shù)阶约涸贫?,然后分發(fā)到客戶側(cè);而Zscalar和Meta Network則是直接打通,前者是通過代理方式,除了訪問控制外,還增加了如DLP、WAF等功能;后者通過路由的方式,且聚焦于流量調(diào)度,加細粒度的訪問控制,自稱下一代的SDWAN。

Meta Network的網(wǎng)絡(luò)結(jié)構(gòu)

總體而言,各種零信任機制能在復(fù)雜環(huán)境中提供靈活的訪問控制機制,避免因粗粒度的策略造成系統(tǒng)被入侵,同時將傳統(tǒng)面向網(wǎng)絡(luò)的訪問控制轉(zhuǎn)變?yōu)槊嫦蛴脩糍Y產(chǎn)的訪問控制機制,更加準確有效。

本屆RSAC上中國安全企業(yè)軍團已成為僅次于美國的第二大參展團,綠盟科技一直在緊緊跟隨全球安全的大趨勢,這已經(jīng)是綠盟科技第12次參加RSAC。包括綠盟科技在內(nèi)的國內(nèi)企業(yè)參展的產(chǎn)品類型已經(jīng)從單一產(chǎn)品,發(fā)展到復(fù)雜方案以及綜合性安全能力輸出。

中國安全企業(yè)的被關(guān)注度在逐年提高,中國安全企業(yè)自身的實力也有了很大提升。但是我們也不得不正視,與美國、以色列這兩個網(wǎng)絡(luò)安全產(chǎn)業(yè)強國相比,國內(nèi)安全企業(yè)在國際影響力還有差距。但我們相信,只要繼續(xù)潛心專注于設(shè)計優(yōu)秀的安全產(chǎn)品,專注于創(chuàng)新的安全技術(shù)研究,中國安全產(chǎn)業(yè)的發(fā)展一定會越來越好。

分享到

zhangnn