傳統(tǒng)上,企業(yè)安全防護(hù)主要基于簽名與特征碼來進(jìn)行檢測與攔截�����,而現(xiàn)在大量攻擊手段都可以繞過現(xiàn)有的防護(hù)手段����,導(dǎo)致傳統(tǒng)安全手段無法應(yīng)對新型威脅的挑戰(zhàn)�。因此�,傳統(tǒng)的安全產(chǎn)品�,特別是防火墻、入侵檢測和防病毒系統(tǒng)���,需要更新?lián)Q代。
基于這一思路��,360憑借多年積累的安全大數(shù)據(jù)����,對最新威脅方式進(jìn)行追蹤,形成了持續(xù)更新的威脅情報��,并將威脅情報應(yīng)用于安全產(chǎn)品中�,開發(fā)出了一系列威脅情報驅(qū)動的新一代安全產(chǎn)品,其中包括新一代威脅感知系統(tǒng)(360天眼)���、新一代終端安全系統(tǒng)(360天擎)�、新一代大數(shù)據(jù)智慧防火墻(360天堤)�����。
據(jù)介紹���,360網(wǎng)神新一代安全產(chǎn)品實(shí)現(xiàn)了由規(guī)則驅(qū)動到威脅情報驅(qū)動的轉(zhuǎn)變����。
這種威脅情報驅(qū)動的安全產(chǎn)品與解決方案,不僅有效利用了各類威脅情報技術(shù)���,更重要的是通過數(shù)據(jù)與情報的共享�,實(shí)現(xiàn)了跨產(chǎn)品的集中式安全檢測與自動化響應(yīng)�,無論是保護(hù)終端、網(wǎng)關(guān)�����、云�����,還是應(yīng)用程序的安全產(chǎn)品�����,都可以借助威脅情報�,增強(qiáng)檢測和響應(yīng)的能力,同時為后續(xù)的各類安全數(shù)據(jù)的分析和挖掘提供了數(shù)據(jù)基礎(chǔ)�����。
新一代威脅感知系統(tǒng)——使用互聯(lián)網(wǎng)數(shù)據(jù)發(fā)掘APT攻擊線索,提升了客戶發(fā)現(xiàn)威脅的能力��;以威脅情報形式打通攻擊定位��、溯源與阻斷多個工作環(huán)節(jié)���,提升了客戶對攻擊回溯的能力。同時結(jié)合搜索技術(shù)提升數(shù)據(jù)挖掘能力����,以及輕量級沙箱的未知漏洞攻擊檢測技術(shù),提升了客戶檢測未知漏洞的能力��。
新一代終端安全系統(tǒng)——除了包含原有的反病毒���、終端管控產(chǎn)品���,還包括了終端檢測與響應(yīng)、終端安全鑒定中心等新產(chǎn)品�,是國內(nèi)首款針對于高級威脅進(jìn)行快速檢測和響應(yīng)的終端安全系統(tǒng)。產(chǎn)品可以持續(xù)洞察內(nèi)網(wǎng)終端的安全活動信息�����,結(jié)合360大數(shù)據(jù)威脅情報等對內(nèi)網(wǎng)淪陷終端進(jìn)行快速的檢索和定位,并提供針對于威脅事件的自動化響應(yīng)和修復(fù)能力��。
新一代大數(shù)據(jù)智慧防火墻——從過去的訪問控制或特征檢測����,演進(jìn)到針對網(wǎng)絡(luò)流量的復(fù)合型檢測和響應(yīng)的新領(lǐng)域?��;贜DR(基于網(wǎng)絡(luò)的檢測與響應(yīng)安全體系)的全網(wǎng)應(yīng)急處置響應(yīng)能力�,使防火墻能自動或在管理員干預(yù)下完成發(fā)現(xiàn)問題�、分析問題、處置響應(yīng)一體化流程�。
建立大數(shù)據(jù)為核心的安全基礎(chǔ)設(shè)施能力
安全專家指出,威脅情報驅(qū)動的安全���,其背后是大數(shù)據(jù)分析���。大數(shù)據(jù)分析已成為全球信息安全發(fā)展的趨勢和方向,未來2年大數(shù)據(jù)分析將顛覆大多數(shù)安全產(chǎn)品的格局����。Gartner預(yù)測��,到2016年��,40%的企業(yè)將部署大數(shù)據(jù)分析系統(tǒng)����,專門應(yīng)對信息安全��。
吳云坤認(rèn)為���,威脅情報驅(qū)動的產(chǎn)品理念��,將會引發(fā)對傳統(tǒng)安全產(chǎn)品的“改造”和“提升”,賦予安全產(chǎn)品“思考”的能力�����,最終在企業(yè)形成安全大數(shù)據(jù)分析中心(大腦)加上安全軟硬設(shè)備(手臂)的安全協(xié)同模式��。
那么����,當(dāng)前對企業(yè)來說,企業(yè)如何才能在傳統(tǒng)安全措施的基礎(chǔ)上部署新的威脅情報產(chǎn)品?吳云坤表示�,這需要企業(yè)具有“安全基礎(chǔ)設(shè)施的能力”,它包括三個方面:
第一���,大數(shù)據(jù)的采集能力��。譬如�����,今天有線報表明有人會來攻擊�����,但假若沒有內(nèi)網(wǎng)數(shù)據(jù)��,用戶根本不會知道是不是在內(nèi)網(wǎng)發(fā)生���,因此第一個要解決的問題是威脅情報要發(fā)生作用,做好數(shù)據(jù)的留存�,這種留存不是過去的告警留存,而是終端的��、網(wǎng)絡(luò)的�����,甚至是資產(chǎn)的乃至企業(yè)級的各種原始數(shù)據(jù)。
第二���,全量數(shù)據(jù)的采集和存儲能力�。安全威脅情報要發(fā)揮作用�����,本地的很多數(shù)據(jù)要存下來�����,只有數(shù)據(jù)留存下來以后才能使威脅情報發(fā)揮基礎(chǔ)作用�����。有些時候威脅情報可能是一個外部情報����,如果內(nèi)部沒有數(shù)據(jù)的話��,二者無法關(guān)聯(lián)得不到結(jié)論��,也無法進(jìn)行下一步的處置。這個背景是大數(shù)據(jù)技術(shù)����。
第三,基于威脅情報的自動檢測與響應(yīng)����。過去的響應(yīng)動作都是人工的,比如發(fā)現(xiàn)一個漏洞��、發(fā)生一個攻擊�,手動進(jìn)行相應(yīng)或處置。但威脅情報有一個很重要的點(diǎn)就是可以自動化處理���,這種自動化處理不是設(shè)備聯(lián)動�����,而是所有接受情報的設(shè)備���,它都能遵循情報讓它做的一些動作,來半自動或自動化完成一些響應(yīng)����。所以�����,響應(yīng)動作已經(jīng)不是基于漏洞了�,它是基于情報做����,這是情報用好的一個關(guān)鍵點(diǎn)。
“數(shù)據(jù)留下來以后可以做更多的事情��,甚至是非安全的事情�,比如做挖掘、分析等��?����?蛻粢灿泻芏噙@種需求�,比如在一些重要的銀行,他們所做的業(yè)務(wù)安全的產(chǎn)品��,都是基于這些數(shù)據(jù)來做的��。這種數(shù)據(jù)資產(chǎn)����,我們有時候說它很貴,貴在哪兒���?不是存儲貴��,是采集的那一刻太貴了��,它只有一次機(jī)會���。”吳云坤說��。
威脅情報只是“影子”升級改造才是內(nèi)涵
當(dāng)前�����,威脅情報一般包括信譽(yù)情報(“壞”的IP地址�、URL、域名等���,比如C2服務(wù)器相關(guān)信息)�、攻擊情報(攻擊源�、攻擊工具���、利用的漏洞、該采取的方式等)等��。一般而言�����,CERT���、安全服務(wù)廠商���、防病毒廠商、政府機(jī)構(gòu)和安全組織發(fā)布的安全預(yù)警通告�����、漏洞通告�����、威脅通告��,就屬于典型的安全威脅情報。
從威脅情報的種類看�,一般有四種。第一種是商業(yè)威脅情報�;第二種是開源社區(qū)提供的安全威脅情報����;第三種是協(xié)作類威脅情報,比如美國和新西蘭����,還有澳洲、美國�����、英國之間協(xié)作性的情報��;第四種是內(nèi)部威脅情報���,也就是企業(yè)自身產(chǎn)生的威脅情報��。
無論威脅情報是什么種類�,從哪里來���,其背后是大數(shù)據(jù)及基礎(chǔ)設(shè)施�。這意味著,今天的防病毒���、防火墻等安全產(chǎn)品�,以及無線安全�����、移動安全�����、云安全等場景����,都要采集數(shù)據(jù),和情報進(jìn)行結(jié)合�����,做出響應(yīng)�����,從而形成一個基本的閉環(huán)。
那么���,這是否意味著用戶要推翻基于規(guī)則的安全體系���,或是重建一個新的安全體系?
吳云坤表示��,其實(shí)�����,傳統(tǒng)安全體系的升級改造���,是部署威脅情報驅(qū)動系統(tǒng)的主要模式。比如��,把現(xiàn)在已經(jīng)部署的終端和網(wǎng)絡(luò)設(shè)備升級到具有采集數(shù)據(jù)的功能��,性能能滿足需求即可���,這能節(jié)省用戶投資�。這種升級改造��,一定是一個平滑的過程,而不是把所有的理念推翻��。這包括兩點(diǎn):
1.原來的防火墻等安全產(chǎn)品是有作用的���,絕對不能被淘汰�,因?yàn)樗钃踝×?0-70%的普通攻擊��。
2.保護(hù)用戶原有的投資�。但是,要用好現(xiàn)在的技術(shù)��,必須用新的思想來把這些設(shè)備真正用好��。事實(shí)上�����,吳云坤認(rèn)為��,在原有安全設(shè)備中�����,沒有用好是主流�,用好的是少量�,要用好原有設(shè)備�����,在安全理念���、策略等方面要有新的突破��。
在安全大數(shù)據(jù)的方案建設(shè)過程中��,不存在一蹴而就,而必須循序漸進(jìn)����。企業(yè)首先可以在內(nèi)網(wǎng)進(jìn)行嘗試;其次��,數(shù)據(jù)收集起來以后�,絕不僅僅給安全部門使用,也用于其他的部門�����,所以是分擔(dān)成本的��;第三,數(shù)據(jù)采集這件事情的投資��,往往也不是大數(shù)據(jù)項(xiàng)目���,比如在網(wǎng)絡(luò)改造的時候就把防火墻換了���,然后做終端管理項(xiàng)目的把終端換了,順帶把數(shù)據(jù)采回來�,所以不是一次性投資。
從產(chǎn)業(yè)來看�����,國內(nèi)外的威脅情報產(chǎn)品���,尤其是國外的產(chǎn)品����,甚至可以免費(fèi)���,但企業(yè)為了支撐情報發(fā)揮作用�����,其相關(guān)的很多基礎(chǔ)設(shè)施�����,包括防火墻����、防病毒全在發(fā)生變革;所有這類產(chǎn)品都是與大數(shù)據(jù)關(guān)聯(lián)的����,它不是只有情報就能發(fā)揮作用的。
“威脅情報只是一個‘影子’�,真正發(fā)揮作用,需要改造過去很多傳統(tǒng)的安全基礎(chǔ)設(shè)施����,并且一定要跟大數(shù)據(jù)結(jié)合起來��?����!眳窃评と缡钦f���。
