未來(lái)的終端安全體系,必須具備至少3種能力:對(duì)平臺(tái)和終端知識(shí)的全面理解和靈活掌控����、對(duì)已知威脅的精確感知和敏捷響應(yīng)、對(duì)未知可疑活動(dòng)的及時(shí)發(fā)現(xiàn)與主動(dòng)攔截�。多(全)維度屬性的資產(chǎn)管理貫穿于其中,提供堅(jiān)實(shí)的數(shù)據(jù)支撐;自動(dòng)化資產(chǎn)發(fā)現(xiàn)���、主機(jī)風(fēng)險(xiǎn)態(tài)勢(shì)識(shí)別��、多維度的可視化�����,幫助客戶(hù)快速精準(zhǔn)定級(jí)風(fēng)險(xiǎn)����,降低運(yùn)維成本;全面事件活動(dòng)軌跡記錄�,用戶(hù)可迅速還原事件發(fā)生過(guò)程,形成完整事件證據(jù)鏈���,確認(rèn)相關(guān)責(zé)任人;綜合多源數(shù)據(jù)的精確檢測(cè)和供應(yīng)多種策略的靈活響應(yīng)��,提升防護(hù)的精準(zhǔn)度�����,降低企業(yè)安全風(fēng)險(xiǎn)�。
通過(guò)自動(dòng)化響應(yīng)發(fā)現(xiàn)安全威脅
在本屆RSAC創(chuàng)新沙盒大賽入圍的廠商中����,其產(chǎn)品、解決方案有相當(dāng)比例與網(wǎng)絡(luò)安全管理領(lǐng)域相關(guān)����。另外從議程安排中��,我們看到了安全行業(yè)對(duì)于若干信息安全管理領(lǐng)域���,以及對(duì)于網(wǎng)絡(luò)安全中人的因素的特別關(guān)注:
·安全治理/風(fēng)險(xiǎn)/合規(guī)管理GRC領(lǐng)域;
·人員安全管理領(lǐng)域;
·信息系統(tǒng)生命周期管理領(lǐng)域。
期望通過(guò)安全管理來(lái)達(dá)成四個(gè)目的:減少來(lái)自SIEM告警的干擾�����,避免人工關(guān)聯(lián)���,提供對(duì)威脅的洞察力��,簡(jiǎn)化incident響應(yīng)流程����。
綠盟科技最新的兩項(xiàng)研究發(fā)現(xiàn)大部分互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)在上線(xiàn)后半小時(shí)內(nèi)會(huì)被攻擊者探測(cè)發(fā)現(xiàn)并開(kāi)始遭受攻擊;系統(tǒng)的最新漏洞在信息公開(kāi)后 10 小時(shí)~13 小時(shí)��,攻擊者會(huì)采用最新的攻擊代碼對(duì)開(kāi)放在互聯(lián)網(wǎng)系統(tǒng)進(jìn)行攻擊�����。
以上研究展現(xiàn)了攻防演進(jìn)速度驚人的形勢(shì)���,為更好的應(yīng)對(duì)高速的網(wǎng)絡(luò)威脅���,綠盟科技推出了一款集安全威脅檢測(cè)設(shè)備����、安全威脅分析平臺(tái)���、安全專(zhuān)家服務(wù)于一體的一站式安全運(yùn)營(yíng)支撐服務(wù)——可管理的威脅檢測(cè)與響應(yīng)服務(wù)(NSFOCUS Managed Detection and Response Service,以下簡(jiǎn)稱(chēng)綠盟 MDR 服務(wù))�����。
與單一的安全防護(hù)設(shè)備相比�����,MDR服務(wù)可以在設(shè)備提供的威脅預(yù)防能力的基礎(chǔ)之上����,進(jìn)一步提供威脅源及安全事故的檢測(cè)與處置能力,形成事前主動(dòng)預(yù)防����、事中積極對(duì)抗���、事后及時(shí)響應(yīng)的一體化威脅管理解決方案,避免安全建設(shè)項(xiàng)目的風(fēng)險(xiǎn)���,綠盟MDR還進(jìn)一步融合業(yè)界最先進(jìn)的大數(shù)據(jù)分析技術(shù)���、機(jī)器學(xué)習(xí)技術(shù)、智能決策技術(shù)為客戶(hù)有效精準(zhǔn)地識(shí)別安全威脅和事件���。
AI本身的安全問(wèn)題值得關(guān)注
微軟的資深專(zhuān)家Bugra Karabey在RSAC 2019上分享了如何把機(jī)器學(xué)習(xí)作為分析工具在安全攻擊分析中的應(yīng)用���,他們提出的一個(gè)場(chǎng)景“如何使用主成分分析聚類(lèi)識(shí)別安全事件模式”引起了綠盟科技的關(guān)注。他們針對(duì)大規(guī)模的安全事件庫(kù)����,構(gòu)造了一個(gè)采用PCA聚類(lèi)分析進(jìn)行降維分析模型,形成安全事件數(shù)據(jù)集并識(shí)別潛在威脅����,其workflow如下圖所示。
和微軟安全分析思路不謀而合的是���,綠盟科技在過(guò)去的一段時(shí)間里�,也是在摸索中形成了特有的機(jī)器學(xué)習(xí)+規(guī)則關(guān)聯(lián)分析構(gòu)建安全威脅分析解決思路。構(gòu)建出機(jī)器學(xué)習(xí)分析引擎-TURING引擎���,并提出了將關(guān)聯(lián)分析框架構(gòu)建于TURING引擎之上���,通過(guò)機(jī)器學(xué)習(xí)+規(guī)則關(guān)聯(lián)分析,實(shí)現(xiàn)安全威脅智能推理分析���,逐步搭建出我們的安全分析從“know-knows”到“know unknows”的分析平臺(tái)�����。
當(dāng)今AI成為各個(gè)安全公司驅(qū)動(dòng)安全能力提升的新“引擎”,很多產(chǎn)品在利用AI最大程度上提升安全檢測(cè)和防護(hù)能力�����。同時(shí)�,AI本身的安全問(wèn)題也浮出水面,對(duì)網(wǎng)絡(luò)安全行業(yè)來(lái)說(shuō)�����,“AI是手段�,安全是目標(biāo)”���,用AI做安全檢測(cè)和防護(hù)同時(shí),也要考慮構(gòu)建安全的AI���。綠盟科技天機(jī)實(shí)驗(yàn)室發(fā)現(xiàn)利用TensorFlow本身的系統(tǒng)漏洞��,黑客可以很容易的制造惡意模型�����,從而控制���、篡改使用惡意文件的AI應(yīng)用。面對(duì)更多未知的漏洞和危險(xiǎn)�����,AI開(kāi)發(fā)者近乎是束手無(wú)策��。
綠盟科技通過(guò)在RSAC2019上針對(duì)AI本身的安全問(wèn)題的討論總結(jié)出了部分解決方案:
1) 區(qū)塊鏈的引入
區(qū)塊鏈?zhǔn)前踩?���、分布式、恒定的?shù)據(jù)庫(kù)�����,由分布式網(wǎng)絡(luò)的各方所共享,這個(gè)數(shù)據(jù)庫(kù)可以記錄交易數(shù)據(jù)�����,審計(jì)起來(lái)也很容易����。
2) 提高可解釋性
目前由于AI算法內(nèi)部的運(yùn)作往往是不透明的,AI的黑箱問(wèn)題和可解釋性問(wèn)題越來(lái)越受到關(guān)注�����。深度學(xué)習(xí)方面的最大挑戰(zhàn)之一是向客戶(hù)和監(jiān)管機(jī)構(gòu)解釋模型是如何得到答案的����,但根本不知道模型是如何得到答案的����。
3) 基于AI的安全系統(tǒng)的安全性評(píng)估系統(tǒng)
設(shè)計(jì)新的安全框架來(lái)衡量和量化基于AI的安全系統(tǒng)。在該安全系統(tǒng)中需要能夠解決:評(píng)估數(shù)據(jù)是否被有意污染���,引入第三方數(shù)據(jù)時(shí)是否會(huì)導(dǎo)致無(wú)意的數(shù)據(jù)污染�,AI給出不可靠信息如何評(píng)估,是否自動(dòng)化回應(yīng)AI推薦的決策并采取行動(dòng)等����。
基于零信任制定訪(fǎng)問(wèn)控制
混合環(huán)境的云安全主要包括身份認(rèn)證和訪(fǎng)問(wèn)控制,如何一次驗(yàn)證身份就可能按照給定的訪(fǎng)問(wèn)控制策略訪(fǎng)問(wèn)不同環(huán)境中的各種資源���,又能抵御攻擊者的惡意訪(fǎng)問(wèn)���,一個(gè)比較好的模型是零信任模型。本屆RSAC上����,綠盟科技通過(guò)云安全方面的交流發(fā)現(xiàn)了一些變化趨勢(shì)——提到零信任的廠商明顯增多,與往年提概念不同��,2019年各家都拿出了產(chǎn)品���,例如Duo的零信任身份認(rèn)證訪(fǎng)問(wèn)���,Zscalar、Cyxtera�����、Meta Network等的SDP訪(fǎng)問(wèn)控制方案。即便是標(biāo)準(zhǔn)化的SDP����,各家廠商也有所不同,例如Cyxtera的方案是將數(shù)據(jù)傳輸?shù)阶约涸贫?��,然后分發(fā)到客戶(hù)側(cè);而Zscalar和Meta Network則是直接打通����,前者是通過(guò)代理方式����,除了訪(fǎng)問(wèn)控制外,還增加了如DLP�����、WAF等功能;后者通過(guò)路由的方式����,且聚焦于流量調(diào)度��,加細(xì)粒度的訪(fǎng)問(wèn)控制,自稱(chēng)下一代的SDWAN��。
Meta Network的網(wǎng)絡(luò)結(jié)構(gòu)
總體而言����,各種零信任機(jī)制能在復(fù)雜環(huán)境中提供靈活的訪(fǎng)問(wèn)控制機(jī)制,避免因粗粒度的策略造成系統(tǒng)被入侵�,同時(shí)將傳統(tǒng)面向網(wǎng)絡(luò)的訪(fǎng)問(wèn)控制轉(zhuǎn)變?yōu)槊嫦蛴脩?hù)資產(chǎn)的訪(fǎng)問(wèn)控制機(jī)制,更加準(zhǔn)確有效�����。
本屆RSAC上中國(guó)安全企業(yè)軍團(tuán)已成為僅次于美國(guó)的第二大參展團(tuán)���,綠盟科技一直在緊緊跟隨全球安全的大趨勢(shì)�����,這已經(jīng)是綠盟科技第12次參加RSAC����。包括綠盟科技在內(nèi)的國(guó)內(nèi)企業(yè)參展的產(chǎn)品類(lèi)型已經(jīng)從單一產(chǎn)品�����,發(fā)展到復(fù)雜方案以及綜合性安全能力輸出。
中國(guó)安全企業(yè)的被關(guān)注度在逐年提高���,中國(guó)安全企業(yè)自身的實(shí)力也有了很大提升�����。但是我們也不得不正視�����,與美國(guó)�、以色列這兩個(gè)網(wǎng)絡(luò)安全產(chǎn)業(yè)強(qiáng)國(guó)相比�����,國(guó)內(nèi)安全企業(yè)在國(guó)際影響力還有差距���。但我們相信�,只要繼續(xù)潛心專(zhuān)注于設(shè)計(jì)優(yōu)秀的安全產(chǎn)品��,專(zhuān)注于創(chuàng)新的安全技術(shù)研究����,中國(guó)安全產(chǎn)業(yè)的發(fā)展一定會(huì)越來(lái)越好����。
