【IT168专稿】随着大数据分析技术与安全的结合,安全技术和理念正开始面临着一轮新的变革与融合。在日前召开的媒体沙龙活动上,华为企业网络产品线首席安全架构师钱晓斌表示,安全技术从无到有的发展实际上是一个非常艰难的过程,由于安全厂商之间的安全理念不同,技术路线也存在很多差异,难以实现统一的安全模型。因此,针对特定问题的具体解决方案比较多,这在技术的发展上留下了非常多的问题。而现在大数据的方法为安全产业打开了一个窗口,大数据驱动了技术发展层面上的变革,也改变了安全研究的方法。
钱晓斌谈到,“在刚刚结束的RSA2014大会上,给我留下深刻印象的关键字是创新沙盘里一个小公司提的口号。我们内心想过这种方法,但当别人第一次把这种口号提出来时,我心里还是觉得挺震撼的。‘No signatures, no sandboxing, no heuristics, no behavioral analysis - Just math’,我想这个口号可以指引我们向未来走得很远。”
智能安全的两个理解
钱晓斌谈到,智能安全体现在两个层面,一是安全知识,二是安全能力的生产过程以及安全防御过程的智能化。
1、安全知识:安全的核心就是攻和防的关系,在这个关系里,安全厂商提供给用户服务来抵御攻击者的攻击行为。那么安全厂商提供给客户的到底是什么?钱晓斌表示,安全厂商提供的核心服务是安全硬件或软件里包含的安全能力,安全能力的核心就是安全知识。而安全知识实际上就是安全厂商跟攻击者之间博弈的核心点。
2、安全能力的生产过程以及安全防御过程的智能化,需要人干预的内容越来越少,用户的维护越来越简单、系统使用的成本也越来越低。钱晓斌谈到,智能化体现在安全能力的进一步发展,如传统防火墙、UTM快速发展为下一代防火墙;防病毒开始演进为沙箱,又快速形成BDS(攻击防御系统)的概念;IDS也从IPS快速演进为下一代IPS;SOC进一步演变为SIO(安全智能中心),来实现数据采集、安全分析、威胁挖掘的高度自动化。
两大难题的N种解法
钱晓斌谈到,安全发展到现在,核心竞争力已聚焦在两个方面:一是安全管理,一是安全分析。但在智能化领域,这两方面仍然存在很多挑战。
1、安全管理中的智能化挑战。首先是安全协同与环境感知,现在各种层面的设备都越来越注重这方面的功能特性。其次是应用层面的管理,基于精细化应用识别的访问控制,是安全智能的基础。再其次,智能策略,自动化的策略配置也是安全智能的核心。最后,还需要用户友好的安全可视化。还有安全预测,这些方面的安全管理上的问题,很多还是需要不断的往前演进,给用户提供更好的体验。
2、威胁分析的自动化。以往安全实验室中的人工分析方式越来越不适应当前的威胁态势快速发展要求,需要更多地使用人工智能的方法。首先需要海量样本收集的能力,其次工具和平台的建设也是至关重要,三是数据密集型计算,这种计算方法非常适用于大数据环境下的安全分析。四是模式的挖掘,最困难的是实现从已知模式到未知模式的跳跃。五是机器学习,对于机器来说可以比人注意到更多的内在关联关系。
华为智能安全未来发展
1、APT攻击防护
从威胁层面上看APT是一个最危险的方法,我们把它理解为未知的,针对特定目标的一些严重的攻击活动。这些攻击活动,主要是它的隐蔽性、持久性、还有目标的特定性。为了检测APT,你必须看到其隐蔽的特征。钱晓斌谈到,华为的做法首先是从恶意软件的全生命周期做分析。一个攻击活动有它的生命周期,包括它的开发过程、测试过程、传播过程,最后自我销毁或者是被发现的过程。在这个过程里有一个传播的时间,如果在这个时间过程中及早发现它,则最终还是能够控制住;另外就是全路径分析,就意味着需要关注各个入口各种终端的数据,不管是外部、内部、通过社会工程学方法等等,必须关注到所有的地方,所有地方都可能存在安全漏洞。
2、华为安全信誉系统
“我们希望在安全智能层面站得更高一点,在安全信誉的层面来解决安全的问题,就跟我们在现实的世界里一样。” 钱晓斌向媒体表示。
钱晓斌介绍到,如某个IP访问企业的资产,企业已经有了你的信誉属性,就能知道这个IP可能存在什么样的问题,企业就可以应用相应的策略来应对。但是信誉的知识是需要预先积累的,如Google它有很强的运营能力,长时间以来没发生过什么安全问题,经过测试我们认为它确实安全,把它认为是信誉度好的。还有一些经常注册一些随机域名或是和一些知名网站相似的域名,它可能就是一个欺诈的网站,这些域名经过日常检测,可能经常会被挂马,把这些网站放到黑名单中。还有大量中间区域的网站,总数非常大,但并不被大家频繁访问,这些网站也容易出现安全风险,在防御体系里就需要有更深度的检测机制。
企业在前端经过信誉库快速处理,后端根据信誉指示进行相应的处理,这样能用较低的时间成本与资源成本,智能化地提升安全能力。钱晓斌谈到,在信誉体系里更容易做到智能协同,因为信誉数据在共享层面更容易操作,效率更高。
最后,钱晓斌谈到,总体来说华为构建自己的安全智能中心,不仅具有大数据的分析平台,还有各种各样的分析模型。这个安全智能中心包括了华为的特征库生产系统与信誉查询系统,它也会接收来自各个层面的信息反馈。安全智能中心对于很多企业来说可能需要自建到内部,这样内部形成一个数据自循环的系统,检测数据来自于内部,最后形成对安全知识的反馈也来自于那里,这种部署方式也能满足企业对于敏感数据的保护需求。
“我们想通过上述各个方面的思路,在安全智能上做更多工作,通过变革我们的技术本身的工具、方法还有模型,逐渐的把华为的安全体系做强,更好的为用户服务!”钱晓斌表示。