未來的終端安全體系�,必須具備至少3種能力:對平臺和終端知識的全面理解和靈活掌控、對已知威脅的精確感知和敏捷響應�����、對未知可疑活動的及時發(fā)現(xiàn)與主動攔截��。多(全)維度屬性的資產管理貫穿于其中,提供堅實的數據支撐;自動化資產發(fā)現(xiàn)���、主機風險態(tài)勢識別�、多維度的可視化��,幫助客戶快速精準定級風險�����,降低運維成本;全面事件活動軌跡記錄�,用戶可迅速還原事件發(fā)生過程,形成完整事件證據鏈���,確認相關責任人;綜合多源數據的精確檢測和供應多種策略的靈活響應�,提升防護的精準度��,降低企業(yè)安全風險���。
通過自動化響應發(fā)現(xiàn)安全威脅
在本屆RSAC創(chuàng)新沙盒大賽入圍的廠商中����,其產品��、解決方案有相當比例與網絡安全管理領域相關����。另外從議程安排中,我們看到了安全行業(yè)對于若干信息安全管理領域��,以及對于網絡安全中人的因素的特別關注:
·安全治理/風險/合規(guī)管理GRC領域;
·人員安全管理領域;
·信息系統(tǒng)生命周期管理領域���。
期望通過安全管理來達成四個目的:減少來自SIEM告警的干擾���,避免人工關聯(lián),提供對威脅的洞察力�,簡化incident響應流程。
綠盟科技最新的兩項研究發(fā)現(xiàn)大部分互聯(lián)網的業(yè)務系統(tǒng)在上線后半小時內會被攻擊者探測發(fā)現(xiàn)并開始遭受攻擊;系統(tǒng)的最新漏洞在信息公開后 10 小時~13 小時�����,攻擊者會采用最新的攻擊代碼對開放在互聯(lián)網系統(tǒng)進行攻擊����。
以上研究展現(xiàn)了攻防演進速度驚人的形勢,為更好的應對高速的網絡威脅���,綠盟科技推出了一款集安全威脅檢測設備��、安全威脅分析平臺�、安全專家服務于一體的一站式安全運營支撐服務——可管理的威脅檢測與響應服務(NSFOCUS Managed Detection and Response Service,以下簡稱綠盟 MDR 服務)����。
與單一的安全防護設備相比,MDR服務可以在設備提供的威脅預防能力的基礎之上����,進一步提供威脅源及安全事故的檢測與處置能力,形成事前主動預防�、事中積極對抗、事后及時響應的一體化威脅管理解決方案��,避免安全建設項目的風險�����,綠盟MDR還進一步融合業(yè)界最先進的大數據分析技術�、機器學習技術、智能決策技術為客戶有效精準地識別安全威脅和事件�。
AI本身的安全問題值得關注
微軟的資深專家Bugra Karabey在RSAC 2019上分享了如何把機器學習作為分析工具在安全攻擊分析中的應用,他們提出的一個場景“如何使用主成分分析聚類識別安全事件模式”引起了綠盟科技的關注�。他們針對大規(guī)模的安全事件庫,構造了一個采用PCA聚類分析進行降維分析模型,形成安全事件數據集并識別潛在威脅�����,其workflow如下圖所示��。
和微軟安全分析思路不謀而合的是����,綠盟科技在過去的一段時間里�����,也是在摸索中形成了特有的機器學習+規(guī)則關聯(lián)分析構建安全威脅分析解決思路����。構建出機器學習分析引擎-TURING引擎,并提出了將關聯(lián)分析框架構建于TURING引擎之上�,通過機器學習+規(guī)則關聯(lián)分析,實現(xiàn)安全威脅智能推理分析�����,逐步搭建出我們的安全分析從“know-knows”到“know unknows”的分析平臺����。
當今AI成為各個安全公司驅動安全能力提升的新“引擎”����,很多產品在利用AI最大程度上提升安全檢測和防護能力��。同時���,AI本身的安全問題也浮出水面��,對網絡安全行業(yè)來說���,“AI是手段,安全是目標”�,用AI做安全檢測和防護同時,也要考慮構建安全的AI�����。綠盟科技天機實驗室發(fā)現(xiàn)利用TensorFlow本身的系統(tǒng)漏洞�,黑客可以很容易的制造惡意模型,從而控制����、篡改使用惡意文件的AI應用��。面對更多未知的漏洞和危險�,AI開發(fā)者近乎是束手無策��。
綠盟科技通過在RSAC2019上針對AI本身的安全問題的討論總結出了部分解決方案:
1) 區(qū)塊鏈的引入
區(qū)塊鏈是安全����、分布式、恒定的數據庫��,由分布式網絡的各方所共享��,這個數據庫可以記錄交易數據��,審計起來也很容易�����。
2) 提高可解釋性
目前由于AI算法內部的運作往往是不透明的���,AI的黑箱問題和可解釋性問題越來越受到關注。深度學習方面的最大挑戰(zhàn)之一是向客戶和監(jiān)管機構解釋模型是如何得到答案的����,但根本不知道模型是如何得到答案的。
3) 基于AI的安全系統(tǒng)的安全性評估系統(tǒng)
設計新的安全框架來衡量和量化基于AI的安全系統(tǒng)。在該安全系統(tǒng)中需要能夠解決:評估數據是否被有意污染�����,引入第三方數據時是否會導致無意的數據污染�,AI給出不可靠信息如何評估,是否自動化回應AI推薦的決策并采取行動等���。
基于零信任制定訪問控制
混合環(huán)境的云安全主要包括身份認證和訪問控制���,如何一次驗證身份就可能按照給定的訪問控制策略訪問不同環(huán)境中的各種資源,又能抵御攻擊者的惡意訪問�,一個比較好的模型是零信任模型。本屆RSAC上�,綠盟科技通過云安全方面的交流發(fā)現(xiàn)了一些變化趨勢——提到零信任的廠商明顯增多,與往年提概念不同����,2019年各家都拿出了產品,例如Duo的零信任身份認證訪問��,Zscalar���、Cyxtera���、Meta Network等的SDP訪問控制方案��。即便是標準化的SDP����,各家廠商也有所不同�����,例如Cyxtera的方案是將數據傳輸到自己云端����,然后分發(fā)到客戶側;而Zscalar和Meta Network則是直接打通��,前者是通過代理方式�����,除了訪問控制外�,還增加了如DLP、WAF等功能;后者通過路由的方式����,且聚焦于流量調度�,加細粒度的訪問控制�,自稱下一代的SDWAN。
Meta Network的網絡結構
總體而言�,各種零信任機制能在復雜環(huán)境中提供靈活的訪問控制機制,避免因粗粒度的策略造成系統(tǒng)被入侵���,同時將傳統(tǒng)面向網絡的訪問控制轉變?yōu)槊嫦蛴脩糍Y產的訪問控制機制����,更加準確有效���。
本屆RSAC上中國安全企業(yè)軍團已成為僅次于美國的第二大參展團���,綠盟科技一直在緊緊跟隨全球安全的大趨勢,這已經是綠盟科技第12次參加RSAC����。包括綠盟科技在內的國內企業(yè)參展的產品類型已經從單一產品,發(fā)展到復雜方案以及綜合性安全能力輸出�����。
中國安全企業(yè)的被關注度在逐年提高�����,中國安全企業(yè)自身的實力也有了很大提升。但是我們也不得不正視�����,與美國�、以色列這兩個網絡安全產業(yè)強國相比,國內安全企業(yè)在國際影響力還有差距����。但我們相信,只要繼續(xù)潛心專注于設計優(yōu)秀的安全產品�����,專注于創(chuàng)新的安全技術研究����,中國安全產業(yè)的發(fā)展一定會越來越好�����。
