未來的終端安全體系����,必須具備至少3種能力:對(duì)平臺(tái)和終端知識(shí)的全面理解和靈活掌控、對(duì)已知威脅的精確感知和敏捷響應(yīng)�����、對(duì)未知可疑活動(dòng)的及時(shí)發(fā)現(xiàn)與主動(dòng)攔截��。多(全)維度屬性的資產(chǎn)管理貫穿于其中�,提供堅(jiān)實(shí)的數(shù)據(jù)支撐;自動(dòng)化資產(chǎn)發(fā)現(xiàn)、主機(jī)風(fēng)險(xiǎn)態(tài)勢(shì)識(shí)別��、多維度的可視化���,幫助客戶快速精準(zhǔn)定級(jí)風(fēng)險(xiǎn)����,降低運(yùn)維成本;全面事件活動(dòng)軌跡記錄�����,用戶可迅速還原事件發(fā)生過程���,形成完整事件證據(jù)鏈�,確認(rèn)相關(guān)責(zé)任人;綜合多源數(shù)據(jù)的精確檢測(cè)和供應(yīng)多種策略的靈活響應(yīng)����,提升防護(hù)的精準(zhǔn)度�����,降低企業(yè)安全風(fēng)險(xiǎn)�。
通過自動(dòng)化響應(yīng)發(fā)現(xiàn)安全威脅
在本屆RSAC創(chuàng)新沙盒大賽入圍的廠商中��,其產(chǎn)品��、解決方案有相當(dāng)比例與網(wǎng)絡(luò)安全管理領(lǐng)域相關(guān)�。另外從議程安排中,我們看到了安全行業(yè)對(duì)于若干信息安全管理領(lǐng)域��,以及對(duì)于網(wǎng)絡(luò)安全中人的因素的特別關(guān)注:
·安全治理/風(fēng)險(xiǎn)/合規(guī)管理GRC領(lǐng)域;
·人員安全管理領(lǐng)域;
·信息系統(tǒng)生命周期管理領(lǐng)域��。
期望通過安全管理來達(dá)成四個(gè)目的:減少來自SIEM告警的干擾�,避免人工關(guān)聯(lián)��,提供對(duì)威脅的洞察力����,簡(jiǎn)化incident響應(yīng)流程。
綠盟科技最新的兩項(xiàng)研究發(fā)現(xiàn)大部分互聯(lián)網(wǎng)的業(yè)務(wù)系統(tǒng)在上線后半小時(shí)內(nèi)會(huì)被攻擊者探測(cè)發(fā)現(xiàn)并開始遭受攻擊;系統(tǒng)的最新漏洞在信息公開后 10 小時(shí)~13 小時(shí)�,攻擊者會(huì)采用最新的攻擊代碼對(duì)開放在互聯(lián)網(wǎng)系統(tǒng)進(jìn)行攻擊��。
以上研究展現(xiàn)了攻防演進(jìn)速度驚人的形勢(shì)�����,為更好的應(yīng)對(duì)高速的網(wǎng)絡(luò)威脅����,綠盟科技推出了一款集安全威脅檢測(cè)設(shè)備���、安全威脅分析平臺(tái)����、安全專家服務(wù)于一體的一站式安全運(yùn)營支撐服務(wù)——可管理的威脅檢測(cè)與響應(yīng)服務(wù)(NSFOCUS Managed Detection and Response Service�����,以下簡(jiǎn)稱綠盟 MDR 服務(wù))�。
與單一的安全防護(hù)設(shè)備相比,MDR服務(wù)可以在設(shè)備提供的威脅預(yù)防能力的基礎(chǔ)之上����,進(jìn)一步提供威脅源及安全事故的檢測(cè)與處置能力,形成事前主動(dòng)預(yù)防�、事中積極對(duì)抗����、事后及時(shí)響應(yīng)的一體化威脅管理解決方案�����,避免安全建設(shè)項(xiàng)目的風(fēng)險(xiǎn)���,綠盟MDR還進(jìn)一步融合業(yè)界最先進(jìn)的大數(shù)據(jù)分析技術(shù)��、機(jī)器學(xué)習(xí)技術(shù)���、智能決策技術(shù)為客戶有效精準(zhǔn)地識(shí)別安全威脅和事件。
AI本身的安全問題值得關(guān)注
微軟的資深專家Bugra Karabey在RSAC 2019上分享了如何把機(jī)器學(xué)習(xí)作為分析工具在安全攻擊分析中的應(yīng)用��,他們提出的一個(gè)場(chǎng)景“如何使用主成分分析聚類識(shí)別安全事件模式”引起了綠盟科技的關(guān)注�。他們針對(duì)大規(guī)模的安全事件庫,構(gòu)造了一個(gè)采用PCA聚類分析進(jìn)行降維分析模型�����,形成安全事件數(shù)據(jù)集并識(shí)別潛在威脅�,其workflow如下圖所示���。
和微軟安全分析思路不謀而合的是�����,綠盟科技在過去的一段時(shí)間里����,也是在摸索中形成了特有的機(jī)器學(xué)習(xí)+規(guī)則關(guān)聯(lián)分析構(gòu)建安全威脅分析解決思路。構(gòu)建出機(jī)器學(xué)習(xí)分析引擎-TURING引擎�,并提出了將關(guān)聯(lián)分析框架構(gòu)建于TURING引擎之上,通過機(jī)器學(xué)習(xí)+規(guī)則關(guān)聯(lián)分析�����,實(shí)現(xiàn)安全威脅智能推理分析��,逐步搭建出我們的安全分析從“know-knows”到“know unknows”的分析平臺(tái)��。
當(dāng)今AI成為各個(gè)安全公司驅(qū)動(dòng)安全能力提升的新“引擎”�,很多產(chǎn)品在利用AI最大程度上提升安全檢測(cè)和防護(hù)能力。同時(shí)�,AI本身的安全問題也浮出水面,對(duì)網(wǎng)絡(luò)安全行業(yè)來說����,“AI是手段����,安全是目標(biāo)”�����,用AI做安全檢測(cè)和防護(hù)同時(shí)����,也要考慮構(gòu)建安全的AI。綠盟科技天機(jī)實(shí)驗(yàn)室發(fā)現(xiàn)利用TensorFlow本身的系統(tǒng)漏洞��,黑客可以很容易的制造惡意模型��,從而控制���、篡改使用惡意文件的AI應(yīng)用�����。面對(duì)更多未知的漏洞和危險(xiǎn)����,AI開發(fā)者近乎是束手無策���。
綠盟科技通過在RSAC2019上針對(duì)AI本身的安全問題的討論總結(jié)出了部分解決方案:
1) 區(qū)塊鏈的引入
區(qū)塊鏈?zhǔn)前踩?���、分布式��、恒定的?shù)據(jù)庫����,由分布式網(wǎng)絡(luò)的各方所共享,這個(gè)數(shù)據(jù)庫可以記錄交易數(shù)據(jù)����,審計(jì)起來也很容易。
2) 提高可解釋性
目前由于AI算法內(nèi)部的運(yùn)作往往是不透明的��,AI的黑箱問題和可解釋性問題越來越受到關(guān)注��。深度學(xué)習(xí)方面的最大挑戰(zhàn)之一是向客戶和監(jiān)管機(jī)構(gòu)解釋模型是如何得到答案的��,但根本不知道模型是如何得到答案的�。
3) 基于AI的安全系統(tǒng)的安全性評(píng)估系統(tǒng)
設(shè)計(jì)新的安全框架來衡量和量化基于AI的安全系統(tǒng)。在該安全系統(tǒng)中需要能夠解決:評(píng)估數(shù)據(jù)是否被有意污染�����,引入第三方數(shù)據(jù)時(shí)是否會(huì)導(dǎo)致無意的數(shù)據(jù)污染,AI給出不可靠信息如何評(píng)估�,是否自動(dòng)化回應(yīng)AI推薦的決策并采取行動(dòng)等。
基于零信任制定訪問控制
混合環(huán)境的云安全主要包括身份認(rèn)證和訪問控制���,如何一次驗(yàn)證身份就可能按照給定的訪問控制策略訪問不同環(huán)境中的各種資源�����,又能抵御攻擊者的惡意訪問����,一個(gè)比較好的模型是零信任模型���。本屆RSAC上�����,綠盟科技通過云安全方面的交流發(fā)現(xiàn)了一些變化趨勢(shì)——提到零信任的廠商明顯增多����,與往年提概念不同����,2019年各家都拿出了產(chǎn)品�����,例如Duo的零信任身份認(rèn)證訪問,Zscalar��、Cyxtera��、Meta Network等的SDP訪問控制方案�。即便是標(biāo)準(zhǔn)化的SDP,各家廠商也有所不同��,例如Cyxtera的方案是將數(shù)據(jù)傳輸?shù)阶约涸贫?���,然后分發(fā)到客戶側(cè);而Zscalar和Meta Network則是直接打通,前者是通過代理方式��,除了訪問控制外�����,還增加了如DLP���、WAF等功能;后者通過路由的方式���,且聚焦于流量調(diào)度�����,加細(xì)粒度的訪問控制��,自稱下一代的SDWAN�����。
Meta Network的網(wǎng)絡(luò)結(jié)構(gòu)
總體而言����,各種零信任機(jī)制能在復(fù)雜環(huán)境中提供靈活的訪問控制機(jī)制���,避免因粗粒度的策略造成系統(tǒng)被入侵���,同時(shí)將傳統(tǒng)面向網(wǎng)絡(luò)的訪問控制轉(zhuǎn)變?yōu)槊嫦蛴脩糍Y產(chǎn)的訪問控制機(jī)制,更加準(zhǔn)確有效�����。
本屆RSAC上中國安全企業(yè)軍團(tuán)已成為僅次于美國的第二大參展團(tuán),綠盟科技一直在緊緊跟隨全球安全的大趨勢(shì)����,這已經(jīng)是綠盟科技第12次參加RSAC。包括綠盟科技在內(nèi)的國內(nèi)企業(yè)參展的產(chǎn)品類型已經(jīng)從單一產(chǎn)品�,發(fā)展到復(fù)雜方案以及綜合性安全能力輸出。
中國安全企業(yè)的被關(guān)注度在逐年提高����,中國安全企業(yè)自身的實(shí)力也有了很大提升�����。但是我們也不得不正視��,與美國��、以色列這兩個(gè)網(wǎng)絡(luò)安全產(chǎn)業(yè)強(qiáng)國相比����,國內(nèi)安全企業(yè)在國際影響力還有差距。但我們相信�����,只要繼續(xù)潛心專注于設(shè)計(jì)優(yōu)秀的安全產(chǎn)品,專注于創(chuàng)新的安全技術(shù)研究�����,中國安全產(chǎn)業(yè)的發(fā)展一定會(huì)越來越好�。
