【IT168 访谈】近年来态势感知的热度非常高,不少安全厂商也纷纷推出了态势感知(平台)。在今年五月份,我国正式推出了等保2.0,并已于12月1日正式实施。在等保2.0的安全框架中也明确提出了要具备态势感知的能力,要具备对新型攻击分析的能力,能够检测到重点的节点及其对其入侵的行为。可以说态势感知已经成为企业安全防护中非常重要的一环。那基于等保2.0的大背景,企业应当如何去构建新形势下的态势感知平台?针对这一问题,我们邀请到新华三集团安全产品线副总裁兼首席技术官孙松儿,来和我们就这一问题进行相关探讨:
以下为文字实录:
IT168记者提问:首先第一个问题我想问一下,今年发布的等保2.0中对态势感知平台提出了一些新的要求,对此您是如何看待的?
孙松儿:等保2.0出台经历了比较长的时间,在很多方面都进行的一个比较有效的修改,其中也重点提到了把安全管理中心提到这个很高的高度,那么在安全管理中心的一个最重要的体现就是态势感知,所以我们认为的话,随着等保2.0的这个法规的一个发布,态势感知平台将在其中起到越来越重要的一个作用。
IT168记者提问:您提到态势感知未来会在平台中起到越来越重要的作用,那您觉得就是态势感知平台在企业安全防护中,它主要能起到哪些作用的呢?给大家介绍一下。
孙松儿:好的,应该说早期我们传统的安全,运维的时候面临几个最重要的头疼的问题,第一个问题就是现有的安全设备的种类很多,它的安全日志,包括一些异常流量也很多,面对这么多的信息怎么样做有效的甄别,找到一些问题的关键,很多的IT运维人员是束手无策的。态势感知作为一个非常有效的一个工具,它可以很好地帮助用户去梳理这些异常的攻击,异常的流量,包括大量的日志,进行有效的分析,这是一个方面。另一个方面的话,传统IT运维的时候,在面临发现安全风险的时候,到底怎么来做应急响应和处置,是比较困难的,新型的态势感知平台本身在设计的时候就对于这种应急处置有专门的要求,IT的管理员一旦发现安全风险之后,可以通过态势感知平台做一个有效的ip响应动作,能够改变原来只看到问题但是对问题的处理缺乏有效及时的手段(的情况)。等保2.0里对安全管理中心强调,包括对态势感知的强调,也意味着在新的形势下,对安全的运维管理要突破原来的单点防御的思想,更多要看协同防御。看到一个事前、事中和事后,整个三个环节的一个全流程的闭环处理。
IT168记者提问:对于用户来说,用户在部署态势感知时都应该注意哪些问题?
孙松儿:我们在实际部署的过程也遇到了很多用户提到一些问题,态势感知是一个系统性的工程,那么系统性工程意味着什么?首先需要有大量的数据的采集,数据采集的信息越全,那么对后续的安全风险的分析会更精确更有效。有了这些广泛的数据的分析之后,还有最重要的用户安全工具的分析呈现。针对态势感知系统本身的一些差异化的或者说用户定制化的需求开发,也是一个很重要的一个问题。
IT168记者提问:其实我们也知道,经过多年的积累,新华三的解决方案在各个行业都得到了一些很好的应用,在不同的行业对态势感知的需求也是不一样的,那新华三的态势感知解决方案,在每个行业有没有进行一些定制化的一些服务,去满足不同行业的个性化需求?
孙松儿:这个肯定是有的,刚才也提到了,态势感知本身不是一个标准化的产品,它是跟用户的需求密切相关的,针对不同的行业,肯定有些差异化的需求。比如我们看到的,政府对态势感知的需求,更多可能是看内网的一些安全风险的变化,内网员工的一些安全行为,一些行为是不是存在异常的风险。对教育来说,我们看到很多的教育的场景更关注的是,除了对终端用户的画像以外,更多关注的是一些异常流量出口,异常流量的检测,包括一些异常行为的检测。新华三在过去两年,在教育、政府还是有很多很成功的实践。我们在一些985的高校,在一些省的教育城域网,包括在一些政府的厅局委办,都做了针对性的部署。
IT168记者提问:针对态势感知来说,威胁情报是态势感知系统中非常重要的一个环节,那新华三在获取威胁情报方面是怎么来做的呢?
孙松儿:对于态势感知来说,情报也是至关重要的。新华三在情报这一块做了很多方面的尝试。首先从来源方面啊,第一,我们有专门的攻关的团队,我们根据在网部署的网络设备的一些信息反馈,能够自动地生产一些相对专业精确的案件。另外一块,新华三也是国内CNNVD(国家信息安全漏洞库)的资深成员,和这些国家漏洞库的单位的合作,我们可以有效地进行一些情报的交换。当然还有一个最重要的,有很多的开源的情报,新华三也做了一些开源情报的的抓取。但是最重要的是一些商业情报的合作。
新华三目前和国外的一些顶尖的情报公司,包括国内比较知名的几家情报公司,都在进行专业方向的合作。来源我们还是很多的,另外针对这些情报的内容的筛选,新华三是有专门的情报分析的团队在做这个工作。
IT168记者提问:刚才您也向大家介绍了一下新华三的态势感知的解决方案,那其实在整个市场上,各个安全厂商都推出了自己的态势感知平台的解决方案,那和友商的解决方案相比,新华三的态势感知的解决方案,优势体现在哪一方面?
孙松儿:态势感知是一个相对专业的领域,从新华三的角度,第一个出发点就是为广大企业的IT运维提供一个更好的手段。新华三的态势感知第一个方面,我们针对不同企业的基础设施,不同的安全设备,不同的中间件,不同的数据库,在安全信息的收集、安全日志的收集,包括这些异常流量提取,我们有得天独厚的优势,因为我们在很多的行业都有相关的网络安全的部署实践。
另外一块,大家知道网络安全一直是以total solution的角度出现。刚才我们也提到了态势感知,其中对安全风险的分析和应急响应是很重要的一个环节。新华三的态势感知在整个云网端的协同联动这一块,有我们自己得天独厚的优势,包括后面的终端和我们的3A系统(认证Authentication、授权Authorization、账号Account)和交换机、路由器包括安全设备,都可以形成一个很好的协同联动的机制。这是新华三深耕企业IT运维最直接的体现,也是能给客户企业IT安全运维管理带来一个最直接的帮助。
第三个方面,我们也看到了,在这个过程中需要兼顾一些互联网的安全风险和监控。新华三通过自研加合作的方式,包括我们刚才提到的情报获取的方式,能够针对企业在面对来自互联网的安全风险时,能够进行有针对性的解决方案的交付。
IT168记者提问:能不能请您简单地举几个案例,我们新华三的态势感知解决方案,现在在行业内有哪些成功的案例呢?简单介绍一下。
孙松儿:新华三的态势感知在过去两年的还是得到了很广泛的部署。我们在教育(行业),我们在海南、青岛,包括在广州一些教育的城域网上都有很成功的部署,主要是通过一些流量的监控流量的分析,能够发现异常风险。政府这一块,我们在江西、宁夏、合肥这三个地方都有非常成功的部署,主要是针对这个政府内网的员工的一些异常的行为。
IT168记者提问:刚才在您介绍的过程中,也对于我们的态势感知的解决方案的一些优势进行了介绍,还介绍了一些成功的案例,那我想问一下我们下一步会有哪些规划?
孙松儿:态势感知本身是一个和用户的需求相关性比较密切的产品,所以后续我们针对态势感知会从几个方面做针对性的规划。第一,结合用户的场景化的需求,针对教育、政府、医疗、电力等不同行业用户的场景化的需求,做一些有针对性的一个解决方案。接下来呢,我们会把AI的模型进行进一步的深化,在用户的行为画像,资产的画像,在这些业务系统的流量甄别这一块,这是第二个方面。
第三个方面,在发现安全风险之后,攻击溯源取证,攻击路径的可视化呈现,在这一块来做进一步的工作,能提升用户对态势感知的使用体验。
IT168记者提问:对于用户来讲,用户在对态势感知解决方案在选型的过程中,我们能给到哪些可行性的建议?
孙松儿:第一个呢?态势感知本身不是一个标准化的产品,所以用户在选择态势感知的时候,首先要结合自身的网络的需求,结合自身的安全的需求,或者说结合自身的IT部署情况,有针对性的选择态势感知的相应的功能。因为态势感知看上去功能是大而全,但是对很多用户来说,大而全意味着可能就是价格比较昂贵。但实际上呢,可以进行模块化的拆解,所以我觉得第一个建议就是用户切实根据自己的网络安全运维的需求,选择态势感知相对应的功能,避免浪费过多成本,这是第一个。
第二个,在选择态势感知的时候,需要考虑厂商是不是具备专业的服务交付的能力。或者说厂商是不是能够提供专业的安全分析的服务的交付,这样的话才可能有效地配合态势感知,在发现问题之后对一些安全的问题进行人工的辅助,(通过)一些工具的分析,达到一个更好的一个效果。
第三个方面,用户在选择态势感知的时候需要考虑这个系统的平滑升级,(比如)平滑的升级对日志量有由小到大的适配。系统的可平滑升级能力,也是选择的一个最重要的一个关键点。
IT168记者提问:最后想请问一下孙总,您如何看待态势感知这个市场的,最后想请您简单的预测一下,您认为这个市场将来他的发展趋势是怎样的?
孙松儿:应该说,对于整个的态势感知的市场,我们还是非常看好的。原因很简单,因为现在网络安全已经上升到一个很高的高度了,没有网络安全就没有国家安全,随着这个等保2.0的发布,等保2.0也对于安全管理提出了更明确的要求,所以态势感知作为这个安全管理中心的一个非常好的的载体。在未来的信息化的建设中,一定会有一个很好的市场表现。
我们认为态势感知未来可能有几个方面,第一个方面,态势感知未来一定是会跟行业的需求紧密的结合,它的场景化的适配会越来越多,场景化的版本也会越来越多,这是第一个。
另外一个,安全与AI有效的结合,或者说如何利用AI,利用机器学习的技术为态势感知在安全风险的发现,包括在未知威胁的告警这一块,提供更好的帮助。
另外一个,态势感知平台在部署过程中,大家也看到了它是个重服务的,重交互的,重用户体验的一个解决方案,会和我们专业安全服务的交付和我们的一些安全事件发生之后的安全事件的分析,安全日志的分析,工具的溯源取证等这些服务的结合方面会有更紧密的结合。
我们认为,随着态势感知平台的进一步的发展和建设,会有效地推动国内的很多用户对于专业安全服务能力的理解,有了专业安全服务的保障,整个(社会)信息化的水平,我相信会有一个很好的提升。
感谢孙总的精彩回答!通过和孙总的交流,我们对态势感知这个市场以及对新华三态势感知的产品有了一定的了解,相信对大家在态势感知的选型过程也会有一定的借鉴意义,本期的视频我们就到这里就结束了,谢谢大家。