未來的終端安全體系,必須具備至少3種能力:對平臺和終端知識的全面理解和靈活掌控���、對已知威脅的精確感知和敏捷響應(yīng)�、對未知可疑活動的及時發(fā)現(xiàn)與主動攔截。多(全)維度屬性的資產(chǎn)管理貫穿于其中�,提供堅實的數(shù)據(jù)支撐;自動化資產(chǎn)發(fā)現(xiàn)、主機風(fēng)險態(tài)勢識別、多維度的可視化���,幫助客戶快速精準定級風(fēng)險��,降低運維成本;全面事件活動軌跡記錄�����,用戶可迅速還原事件發(fā)生過程,形成完整事件證據(jù)鏈��,確認相關(guān)責(zé)任人;綜合多源數(shù)據(jù)的精確檢測和供應(yīng)多種策略的靈活響應(yīng)���,提升防護的精準度�����,降低企業(yè)安全風(fēng)險�����。
通過自動化響應(yīng)發(fā)現(xiàn)安全威脅
在本屆RSAC創(chuàng)新沙盒大賽入圍的廠商中��,其產(chǎn)品��、解決方案有相當(dāng)比例與網(wǎng)絡(luò)安全管理領(lǐng)域相關(guān)��。另外從議程安排中�����,我們看到了安全行業(yè)對于若干信息安全管理領(lǐng)域���,以及對于網(wǎng)絡(luò)安全中人的因素的特別關(guān)注:
·安全治理/風(fēng)險/合規(guī)管理GRC領(lǐng)域;
·人員安全管理領(lǐng)域;
·信息系統(tǒng)生命周期管理領(lǐng)域����。
期望通過安全管理來達成四個目的:減少來自SIEM告警的干擾���,避免人工關(guān)聯(lián)�����,提供對威脅的洞察力��,簡化incident響應(yīng)流程��。
綠盟科技最新的兩項研究發(fā)現(xiàn)大部分互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)在上線后半小時內(nèi)會被攻擊者探測發(fā)現(xiàn)并開始遭受攻擊;系統(tǒng)的最新漏洞在信息公開后 10 小時~13 小時���,攻擊者會采用最新的攻擊代碼對開放在互聯(lián)網(wǎng)系統(tǒng)進行攻擊�����。
以上研究展現(xiàn)了攻防演進速度驚人的形勢����,為更好的應(yīng)對高速的網(wǎng)絡(luò)威脅��,綠盟科技推出了一款集安全威脅檢測設(shè)備���、安全威脅分析平臺、安全專家服務(wù)于一體的一站式安全運營支撐服務(wù)——可管理的威脅檢測與響應(yīng)服務(wù)(NSFOCUS Managed Detection and Response Service�����,以下簡稱綠盟 MDR 服務(wù))��。
與單一的安全防護設(shè)備相比��,MDR服務(wù)可以在設(shè)備提供的威脅預(yù)防能力的基礎(chǔ)之上�,進一步提供威脅源及安全事故的檢測與處置能力,形成事前主動預(yù)防���、事中積極對抗����、事后及時響應(yīng)的一體化威脅管理解決方案,避免安全建設(shè)項目的風(fēng)險�,綠盟MDR還進一步融合業(yè)界最先進的大數(shù)據(jù)分析技術(shù)、機器學(xué)習(xí)技術(shù)���、智能決策技術(shù)為客戶有效精準地識別安全威脅和事件��。
AI本身的安全問題值得關(guān)注
微軟的資深專家Bugra Karabey在RSAC 2019上分享了如何把機器學(xué)習(xí)作為分析工具在安全攻擊分析中的應(yīng)用�,他們提出的一個場景“如何使用主成分分析聚類識別安全事件模式”引起了綠盟科技的關(guān)注�����。他們針對大規(guī)模的安全事件庫�,構(gòu)造了一個采用PCA聚類分析進行降維分析模型,形成安全事件數(shù)據(jù)集并識別潛在威脅����,其workflow如下圖所示。
和微軟安全分析思路不謀而合的是����,綠盟科技在過去的一段時間里,也是在摸索中形成了特有的機器學(xué)習(xí)+規(guī)則關(guān)聯(lián)分析構(gòu)建安全威脅分析解決思路����。構(gòu)建出機器學(xué)習(xí)分析引擎-TURING引擎�,并提出了將關(guān)聯(lián)分析框架構(gòu)建于TURING引擎之上�,通過機器學(xué)習(xí)+規(guī)則關(guān)聯(lián)分析,實現(xiàn)安全威脅智能推理分析���,逐步搭建出我們的安全分析從“know-knows”到“know unknows”的分析平臺�����。
當(dāng)今AI成為各個安全公司驅(qū)動安全能力提升的新“引擎”����,很多產(chǎn)品在利用AI最大程度上提升安全檢測和防護能力����。同時�����,AI本身的安全問題也浮出水面����,對網(wǎng)絡(luò)安全行業(yè)來說�����,“AI是手段����,安全是目標”���,用AI做安全檢測和防護同時����,也要考慮構(gòu)建安全的AI�����。綠盟科技天機實驗室發(fā)現(xiàn)利用TensorFlow本身的系統(tǒng)漏洞���,黑客可以很容易的制造惡意模型��,從而控制���、篡改使用惡意文件的AI應(yīng)用。面對更多未知的漏洞和危險���,AI開發(fā)者近乎是束手無策���。
綠盟科技通過在RSAC2019上針對AI本身的安全問題的討論總結(jié)出了部分解決方案:
1) 區(qū)塊鏈的引入
區(qū)塊鏈是安全�����、分布式��、恒定的數(shù)據(jù)庫�,由分布式網(wǎng)絡(luò)的各方所共享���,這個數(shù)據(jù)庫可以記錄交易數(shù)據(jù)��,審計起來也很容易���。
2) 提高可解釋性
目前由于AI算法內(nèi)部的運作往往是不透明的,AI的黑箱問題和可解釋性問題越來越受到關(guān)注�。深度學(xué)習(xí)方面的最大挑戰(zhàn)之一是向客戶和監(jiān)管機構(gòu)解釋模型是如何得到答案的�,但根本不知道模型是如何得到答案的。
3) 基于AI的安全系統(tǒng)的安全性評估系統(tǒng)
設(shè)計新的安全框架來衡量和量化基于AI的安全系統(tǒng)���。在該安全系統(tǒng)中需要能夠解決:評估數(shù)據(jù)是否被有意污染���,引入第三方數(shù)據(jù)時是否會導(dǎo)致無意的數(shù)據(jù)污染����,AI給出不可靠信息如何評估����,是否自動化回應(yīng)AI推薦的決策并采取行動等。
基于零信任制定訪問控制
混合環(huán)境的云安全主要包括身份認證和訪問控制�,如何一次驗證身份就可能按照給定的訪問控制策略訪問不同環(huán)境中的各種資源,又能抵御攻擊者的惡意訪問����,一個比較好的模型是零信任模型。本屆RSAC上�����,綠盟科技通過云安全方面的交流發(fā)現(xiàn)了一些變化趨勢——提到零信任的廠商明顯增多���,與往年提概念不同���,2019年各家都拿出了產(chǎn)品,例如Duo的零信任身份認證訪問,Zscalar����、Cyxtera、Meta Network等的SDP訪問控制方案���。即便是標準化的SDP����,各家廠商也有所不同�����,例如Cyxtera的方案是將數(shù)據(jù)傳輸?shù)阶约涸贫?����,然后分發(fā)到客戶側(cè);而Zscalar和Meta Network則是直接打通����,前者是通過代理方式,除了訪問控制外��,還增加了如DLP�、WAF等功能;后者通過路由的方式,且聚焦于流量調(diào)度����,加細粒度的訪問控制,自稱下一代的SDWAN�。
Meta Network的網(wǎng)絡(luò)結(jié)構(gòu)
總體而言,各種零信任機制能在復(fù)雜環(huán)境中提供靈活的訪問控制機制��,避免因粗粒度的策略造成系統(tǒng)被入侵�����,同時將傳統(tǒng)面向網(wǎng)絡(luò)的訪問控制轉(zhuǎn)變?yōu)槊嫦蛴脩糍Y產(chǎn)的訪問控制機制���,更加準確有效�����。
本屆RSAC上中國安全企業(yè)軍團已成為僅次于美國的第二大參展團�,綠盟科技一直在緊緊跟隨全球安全的大趨勢����,這已經(jīng)是綠盟科技第12次參加RSAC。包括綠盟科技在內(nèi)的國內(nèi)企業(yè)參展的產(chǎn)品類型已經(jīng)從單一產(chǎn)品����,發(fā)展到復(fù)雜方案以及綜合性安全能力輸出����。
中國安全企業(yè)的被關(guān)注度在逐年提高�����,中國安全企業(yè)自身的實力也有了很大提升�����。但是我們也不得不正視�,與美國、以色列這兩個網(wǎng)絡(luò)安全產(chǎn)業(yè)強國相比��,國內(nèi)安全企業(yè)在國際影響力還有差距�。但我們相信,只要繼續(xù)潛心專注于設(shè)計優(yōu)秀的安全產(chǎn)品����,專注于創(chuàng)新的安全技術(shù)研究,中國安全產(chǎn)業(yè)的發(fā)展一定會越來越好�。
