数据驱动安全 - gartner.com · 这些数据可以使用各种技术进行...
TRANSCRIPT
数据驱动安全
2
企业过度依赖的拦截和御防机制针对高级攻击的防护效果日渐式
微。全面的防护需要一种集成了预测、阻止、检测和响应功能的自
适应防护流程。
重大挑战
• 现有的拦截和阻止功能不足以抵挡有目的的高级攻击。
• 而大多数组织却仍继续在纯阻止策略上过度投资。
• 供应商以非集成的孤立方式提供检测、阻止、响应和预测功能,
这导致了成本的上升和功能有效性的下降。
• 信息安全并不具有检测高级攻击所需的持续可见性。
• 由于企业系统会遭遇连续攻击,不断受到破坏,因此,采用临时
的“应急响应”方法是一种错误的思维。
建议
信息安全架构:
• 将安全思维从“应急响应”转变为“持续响应”,其中,系统被
假定为受到破坏并需要不断监控和修复。
• 利用 Gartner 的 12 项关键功能作为框架,采用自适应安全架构来
针对高级威胁进行防护。
• 减少阻止方面的投入;在检测、响应和预测方面进行投入。
• 从提供和集成预测、阻止、检测和响应功能的供应商处获取环境
感知型网络、终端和应用安全保护平台。
• 开发安全运维中心,支持持续监控并负责持续的威胁防护流程。
• 针对 IT 堆栈的所有层构建全面持续的监控:网络数据包、通信流、
操作系统活动、内容、用户行为和应用事务。
Gartner 调研报告:
设计自适应安全架构防御高级攻击
2设计自适应安全架构防御高级攻击
11数据驱动安全
14关于 360 互联网安全中心
《数据驱动安全》由奇虎 360 公司出版。奇虎 360 公司提供的编辑附注内容与 Gartner 的分析结果相互独立。所有 Gartner 调研报告的版权归 © 2014 Gartner, Inc. 所有。保留所有权利。使用任何 Gartner 资料需经过 Gartner 的允许。使用或者出版 Gartner 调研报告并不表示 Gartner 认可奇虎 360 公司的产品和 / 或战略。未经事先书面许可,不得以任何形式复制或分发本出版物。本出版物中包含的信息
均是从我们认为可靠的来源获取的。Gartner 不对此类信息的准确性、完整性或适宜性做出任何保证,也不对此类信息中包含的任何错误、疏漏或不足,或者有关此类信息的解释承担任何责任。此处表
明的观点随时可能更改,恕不另行通知。虽然 Gartner 的调研报告可能会讨论相关的法律问题,但 Gartner 并不提供法律建议或法律服务,不应将其调研报告解释为或用作法律建议或法律服务。Gartner 是一家上市公司,其股东可能包括与 Gartner 调研报告中涉及的实体有财务利益关系的公司或基金。Gartner 的董事会成员可能包括这些公司或基金的高级管理人员。Gartner 调研报告是由它的调研机构
独立完成的,并没有受到这些公司、基金或其管理人员的介入或影响。有关 Gartner 调研报告的独立性和完整性的详细信息,请参阅其网站上的“Guiding Principles on Independence and Objectivity”(独
立性和客观性的指导原则),网址为:http://www.gartner.com/technology/about/ombudsman/omb_guide2.jsp。
3
3
战略规划设想
到 2020 年,60% 的企业信息安全预算将分
配到快速检测和响应方法方面(2014 年不
足 10%)。
到 2020 年,40% 的企业将建立安全数据仓
库(2014 年不足 5%)。
到 2018 年,80% 的终端保护平台将包含用户
活动监控和入侵取证功能(2013 年不足 5%)。
简介
本文档于 2014 年 5 月 1 日进行了修订。您
正在查看的文档为修订版。有关详细信息,
请参阅 gartner.com 上的“Corrections”(更
正)页。
大多数企业安全防护工作和产品主要集中于
拦截和阻止技术(例如防病毒)以及基于策
略的控件(例如防火墙)来抵御威胁(图 1 右上象限)。然而,阻止体系不可能滴水不
漏。有目的性的高级攻击可以轻松地避开传
统防火墙和基于签名的阻止机制。现在所有
组织均应假定其处于一种遭受持续性危害的
状态。但是,组织自欺欺人地认为可以实现
百分之百的阻止,并且过分地依赖以拦截和
签名为基础的机制来进行防护。结果,在不
可避免地出现违规事件时,大多数企业只有
有限的能力来检测和响应违规事件 1(图 1 下半部分),因此导致更长的“停延时间”
和更大的损害。
事实上,在将来,无论攻击“高级”与否(参
阅注释 1),更好的阻止、检测、响应和预
测功能均是应对各种攻击所必需的。而且,
这些功能不应被视为彼此孤立的功能;相
反,它们应当作为集成的自适应系统智能地
协作,从而构建完整的高级威胁防护流程。
分析
为帮助企业设计一种架构并从竞争解决方
案中选择一种解决方案来针对高级威胁进
行自适应防护,我们开发了由四种类别的
高级能力构成的架构,其中每一类别包含
三种向下钻取的功能,共有 12 种功能(将
在本调研的后面详细说明)。关注每一类别
中的功能对于提供全面的自适应攻击防护
是非常必要的。
自适应防护架构的关键能力
1 “阻止”是指对一套落实到位以阻止成功
的攻击的策略、产品和流程的描述。这
一类别的主要目标是通过缩减攻击接触
面并在企业受到影响之前拦截攻击者及
其攻击方法,从而提高攻击者的难度。
2 “检测”功能旨在发现已经侵入阻止类别
的攻击。该类别的主要目标是缩短威胁
的停延时间并因此减少威胁可能带来的
损害。检测功能非常重要,因为企业必
须假定其已经受到危害。
3 “回顾”能力用于调查和解决检测活动(或
外部服务)所发现的问题,提供入侵取
证分析和根本原因分析,以及建议新的
阻止措施以避免将来出现安全事件。
4 “预测”能力使安全组织能够通过从外部
监控秘密攻击者了解外部事件,从而根
据其保护的系统和信息的当前状态主动
预测新的攻击类型,并对风险主动进行
优先级排序和寻址。然后将情报反馈到
阻止和检测能力。这样整个流程即得以
完成。
该自适应防护架构是一种有用的框架,有
助于企业对现有及潜在的安全投资进行分
类以确保实现安全投资的平衡。安全组织
应当评估其现有投资和能力以确定不足之
处,而不是由当前“炙手可热”的安全初
创企业来定义安全投资。在对供应商进行
分类和评估方面,该自适应防护架构也很
有用。提供多种类别的功能的供应商比仅
适用于一种类别的供应商更具战略意义。
来源:Gartner(2014 年 2 月)
图 1.自适应防护架构的四个阶段
回顾
预测 阻止
检测
自适应
4
安全防护是持续的过程在一个危害不断的时代,企业思维需要从“应
急响应”转变为“持续响应”,在应急响应中,
事件被认为是偶然的一次性事件;而在持续
响应中,攻击持续不断、永远无法完全阻挡
黑客对系统和信息的入侵,且系统必须被假
定为受到不断危害,因此必须持续监控系统
(参阅图 2)。
持续监控和分析是自适应防护架构的核心如图 2 所示,要对高级威胁进行真正的基于
风险的自适应响应,新一代安全防护流程的
核心将是持续、全面地监控和了解情况;这
些情况将被不断分析以确定危害迹象。这将
会产生大量数据。但是,如果不进行适当的
分析(并辅以环境、社区和威胁情报的外部
来源以提高精确度)将大数据提炼为可供企
业随时使用的洞见,这些大数据只能成为较
大的干扰。这些数据可以使用各种技术进行
分析,例如探试法、统计分析、推理建模、
机器学习、集群分析、实体链路分析和贝叶
斯建模。
我们相信在将来,除了传统的安全信息和事
件管理 (SIEM) 系统,所有有效的安全防护平
台均将包括特定领域的嵌入式分析作为核心
功能。企业监控应当全面,包含尽可能多的 IT 堆栈层,例如网络活动、终端、系统交互、
应用事务和用户活动监控。这种可见性必须
涵盖企业拥有的设备和员工拥有的设备,并
且必须横跨企业数据中心以及涵盖来自基于
云的供应商的服务使用。2 将来的深入防御
不仅在于控制层,还取决于监控和了解情况
的层级(参阅图 3)。
与传统 SIEM 系统的有效监控相比,企业对
所有实体和层的持续监控将更迅速地产生更
多的各类数据。这就是为什么 Gartner 调研
报告确定大数据分析将被纳入新一代安全防
护解决方案的一个原因,同时也是为什么到 2020 年 40% 的企业将建立“安全数据仓库”
来存储这些监控数据从而支持回顾性分析的
原因之一。通过不断存储和分析这些数据,
同时结合使用环境和涵盖外部威胁和社区情
报,则可以建立“标准”模式,数据分析可
用于确定何时出现不同于标准模式的有意义
的特别模式。随着支持这些功能的技术日益
主流化,我们相信自适应防护架构也会进入
主流,因为拥有多种组件块的平台供应商会
集成这些功能并提供经过预先调整、开箱即
用的嵌入式分析引擎。
来源:Gartner(2014 年 2 月)
图 2.自适应防护架构需要持续监控
持续监控和分析
依赖性、关系 信息
知识
环境感知型情报
收集、关联
分析
策略威胁情报
日志、事件、成本、利用率、攻击、违规
模式、有意义的异常行为
数据数据 数据数据
大数据
建模、仿真、操作、保护
社区 环境
来源:Gartner(2014 年 2 月)
图 3.持续监控所有技术层
持续监控和分析信息
人员
应用后端
应用前端
终端
网络
5
5
自适应防护架构的六大关键投入在我们探讨自适应防护架构的 12 项功能之
前,让我们先了解作为该架构主要部分且用
于安全决策整个流程的六大关键投入(参阅
图 4)。
策略:策略定义并表达组织在以下方面的要
求:系统配置、修补要求、网络连接、允许
执行的应用、被禁止的应用、反恶意软件扫
描频率、敏感数据保护,以及在事件发生时
该采取的措施等等。这些通常源于内部准则
和外部影响因素,例如法规要求。策略推动
着企业安全平台如何主动阻止和被动响应高
级威胁。
环境:环境感知安全(参阅注释 2)是基于
当前条件(例如位置、当日时间、漏洞状态
等),在进行决策时,利用补充信息来改进
信息安全决策。利用环境对于识别避开了传
统信息防护机制的攻击至关重要,并有助于
识别不同于标准行为的有意义的特别行为,
同时不会增加误报。
社区情报:要更好地防御高级威胁,应当跨
基于云的社区对信息进行聚合、分析和共
享;理想情况下,这种基于云的社区能够为
类似行业和地域的组织聚合和分析数据。然
后这种“众包”情报将被共享以改进所有
参与者的整体防护能力。例如,社区情报有
助于解答诸如“像我们一样的其他企业在关
注什么?其他人以前是否遇到过这种应用 /URL/IP 地址?是否有同行已经研究出了检测
高级威胁的新方法并将这些信息提供给了其
他人?”等问题。因此,更好的社区使企业
能够以对等的方式共享最佳实践、知识和技
术。更大的社区将受益于网络效应。一些社
区为自发形成,例如 FS-ISAC3 ;一些社区由
政府支持,例如美国计算机应急准备团队 (US-CERT) ;其他社区由安全供应商、其合作
伙伴生态系统及其平台用户创建。4
威胁情报:威胁情报的核心为信誉资料,这
些资料有助于深入了解对象可信度,例如 IP 地址、域、URL、文件、应用等等。并且,
高级威胁情报服务还为企业提供深入见解,
帮助企业了解攻击者和活动的组织方式及其
要攻击的具体目标。此外,这些服务还提供
具体指导,帮助企业保护其系统和信息免受
攻击者攻击。威胁情报越来越多地以机器可
读格式提供,可以更轻松、更直接地融入到
旨在使用这些情报的网络、Web、电子邮件
和终端安全平台。
来源:Gartner(2014 年 2 月)
图 4.策略、环境、漏洞洞见、社区情报和威胁情报对于全面的防护至关重要
新一代安全防护平台
威胁
情报
社区
情报
供应商实验室
漏洞洞见
环境
持续监控 嵌入式分析
策略
漏洞洞见:此类信息针对企业可能正在使用
的设备、系统、应用和接口的漏洞提供洞见。
除了已知漏洞,这种洞见还应该包括对企
业定制应用和第三方应用上出现的未知漏
洞的了解。这可以通过主动测试这些应用、
库和接口来发现未知漏洞。
供应商实验室:大多数安全防护平台供应商
会提供直接支持其防护解决方案的信息资
料 — 例如签名更新以及规则和模式更新,
以针对新发现的威胁提供保护。
自适应防护流程的 12 项关键功能要支持全面的自适应安全防护架构,我们
认为 12 项特定功能必不可少,这些功能可
以提升我们拦截、阻止、检测和响应攻击
的能力(参阅图 5)。
下面是对 12 类功能的简要说明,从右上象
限开始,按顺时针方向。请注意,说明的
顺序不暗示可靠性 ;相反,所有 12 项功能
在全面防护中应视为同等重要。
强化和隔离系统:我们认为,任何信息安
全防护架构的基础首先是通过结合各种技
术减小攻击接触面。这些技术可以限制黑
客到达系统、发现目标漏洞以及执行恶意
软件的能力。无论在网络防火墙(仅在该
端口 / 协议上通信)还是在系统应用控制
级别(仅允许执行这些应用;请参阅“How to Successfully Deploy Application Control”(如何成功部署应用控制)),传统的“预设
拒绝”(也称为“白名单”)这一强大的功
能和方式归于这一类别。数据加密可被视
为在信息级别白名单和强化的一种形式。
识别和关闭漏洞的漏洞和补丁管理方式也
被划入这一类别。该类别的另一个例子是
新兴的终端隔离和“沙盒”技术,这些技
术可以主动限制网络 / 系统 / 流程 / 应用的
交互能力 5。
转移攻击者:简而言之,应用到这一不断
发展的类别中的技术试图解决黑客在时间
方面拥有的不对称优势的问题。这些技术
通过增加黑客定位合法系统和要攻击的漏
洞的难度,利用各种技术隐藏和混淆系统
6
来源:Gartner(2014 年 2 月)
图 5.Gartner 自适应安全架构的 12 项关键功能
接口和信息(例如创建假的系统、漏洞和
信息),从而浪费黑客时间。例如,Juniper Networks 收购的 Mykonos 技术可以制造并
不存在的应用层漏洞的假象,6 从而提供了
一种活跃型“蜜罐”。7 Unisys Stealth 隐藏网
络系统,8 而 CSG 的 Invotas 解决方案实施
各种转移技术。9 但是通过隐匿方式并不足
以保证安全,应当从分层的深度防御保护战
略角度来审视这些功能。
除了浪费黑客时间,这些技术还能够以较高
的可靠性快速识别任何试图访问假的系统、
漏洞和信息的黑客(因为合法用户不会访问
这些系统、漏洞和信息),并防止他们造成
损害。在用户接口层,Shape Security10 等较
新的供应商在用户接口层强化应用以防御自
动攻击。
阻止事件:这一类别对应可阻止黑客未经授
权访问系统的成熟方式,它包括传统的“基
于签名”的反恶意软件扫描以及基于网络和
主机的入侵防御系统。“行为签名”也可以
在此用于不同的层,例如,利用来自第三方
信誉服务资料的威胁情报并将情报集成到网
络、网关或基于主机的控件(或在主机内,
从而阻止进程自行注入到另一个内存空间),
以阻止系统与已知的命令和控制中心通信。
检测事件:一些攻击会不可避免地绕开传统
的拦截和阻止机制,在这种情况下,关键的
一步是在尽可能短的时间内检测到入侵,以
便尽可能削弱黑客造成损害和泄露敏感信息
的能力。在这一类别中可以利用各种技术(参
阅注释 3),而大多数技术依赖于数据分析;
这些数据收集的方式包括:在自适应防护架
构核心进行持续监控、从网络标准模式或终
端行为检测异常情况、检测与坏实体的出站
连接,或者检测事件顺序和行为签名作为潜
在危害标志。
图 5 中心所示的持续全面的监控对于分析
当前正在观察的情况和过去的标准至关重
要,这样安全运维分析家才能够识别异常情
况。将来,持续安全运维中心的开发和专业
的安全运维分析家将成为企业的关键能力。
确认风险并对风险按优先级排序:一旦检测
到潜在事件,就需要在不同实体内关联危害
标志以进行确认,例如,从进程、行为、注
册表项等方面对基于网络的威胁检测系统
在沙盒环境中所观察到的情况与在实际终
端上所观察到的情况进行比较。跨网络和终
端共享情报的能力正是 FireEye 在最近收购 Mandiant 时所列举的主要原因之一。11 基于
内部和外部环境 — 例如用户、用户角色、
所处理的信息的敏感度和资产的业务价值 — 根据对企业带来的风险,对事件进行优
先级排序并直观呈现,以便安全运维分析家
能够首先集中处理风险度最高的事件。
遏制事件 :一旦完成对事件的识别、确认
和优先级排序后,该类别即隔离受损系统
或帐户,使其无法访问其他系统,从而遏
制威胁。举例来说,常见的遏制功能有帐
户锁定、网络级隔离、结束系统进程以及
立即阻止其他程序执行同一恶意软件或访
问同一受损内容。
探究 / 入侵取证:一旦受损系统或帐户得以
遏制,即应对发生的具体情况进行回顾性
转移攻击者
探究/入侵取证
修复/更改 检测事件
持续监控和分析
强化和隔离系统
阻止事件基准系统
确认风险并对风险按优先级排序
遏制事件
主动风险分析
设计/模式更改
预测攻击
响应
预测 阻止
检测
分析,并利用通过图 5 中心所示的持续监控
所收集的数据来确定根本原因和所有的违规
行为。黑客是如何获得立足点的?是否有未
知漏洞或未添加补丁的漏洞被利用?攻击中
包含什么文件或可执行内容?有多少系统被
影响?具体泄露了什么?在某些情况下,企
业可能希望了解黑客的起源和动机,例如,
这是否是一次国家 / 地区支持的攻击?如果
是,是哪个国家 / 地区?这一类别需要详细
的历史监控信息,以方便安全分析家能够解
答这些详细问题。单单网络流数据可能不足
以对情况进行全面的探究。更多的高级安全
运维中心会利用网络中完整的数据包捕获
(从系统活动监控角度看,这同样适用于终
端)以及相关的高级分析工具来解答这些类
型的问题。同样,通过供应商实验室和研究
能力提供新的签名 / 规则 / 模式时,也应当
根据历史数据运行这些签名 / 规则 / 模式以
查看企业是否已经成为攻击目标以及之前是
否一直未检测到该攻击。
7
7
设计 / 模式更改: 要防止新的攻击或系统再
次感染,可能需要更改策略或控件,例如,
关闭漏洞、关闭网络端口、更新签名、更新
系统配置、更改用户权限、更改用户培训或
加强信息保护选项(例如加密)。更高级的
平台应当能够自动生成新的签名 / 规则 / 模式以处理新发现的高级攻击 — 本质上是提
供“自定义防御”。然而,在实施这些之前,
应当根据通过持续监控收集的历史数据对更
改进行建模,以主动测试误报率和漏报率。
修复 / 更改:完成建模和确定有效后,更改
必须即刻实施。利用新兴的安全调节系统可
以实现某些响应的自动化,并且策略更改可
以推送到安全策略实施点,例如防火墙、入
侵防御系统 (IPS)、应用控制或反恶意软件系
统。例如,旨在自动化和调节进程的新兴的
安全响应调节解决方案。12 然而,在初期阶
段,许多企业仍倾向于选择由安全运维专家、
网络安全专家或终端支持员工来实施更改,
而非求助于自动化系统。
基准系统:不断更改系统;不断引进新系统
(例如移动设备和使用基于云的服务);时时
更改用户帐户;发现新的漏洞;部署新的应
用;根据新的威胁不断做出调整。因此,必
须持续地对最终用户设备、后端系统、云服
务、身份、漏洞、关系和常见交互重订基线
和进行了解。
预测攻击:该类别正变得日益重要。该类别
基于对黑客注意力、黑客市场和黑客公告
板的侦查,垂直行业利益以及被保护的数据
的类型和敏感度,旨在主动预测将来的攻击
和攻击目标,使企业能够调整其安全保护策
略已进行补救。例如,根据所收集的能够标
明某一特定应用或系统可能遭受攻击的情报
(参阅注释 4),企业可以主动实施应用防火
墙保护、加强身份验证要求或主动拦截特定
类型的访问。13
主动风险分析:利用从内部和外部收集的最
新情报,必须根据所预测和预期的风险不断
评估影响企业资产的风险,并且可能需要调
整企业策略和控件。例如,如果发现了使用
新的基于云的服务,这代表什么风险? 14 是
否需要数据加密等补救控制措施?这同样适
用于发现的新应用,无论这些应用为企业应
用还是移动设备上的应用:它们意味着什么
风险?是否对这些应用进行了扫描以确定已
知和未知漏洞?是否需要应用防火墙或终端
控制等补救控制措施?
这些功能必须作为一个系统进行协作
最终的结果不应该是 12 个孤立的互不关联
的信息安全解决方案。最终目标应当是这
些不同的功能整合并共享信息,构建整体
上更具适应性和更智能的安全保护系统。
例如,尽管企业最初可能没有“签名”来
阻止违规行为,但是发现攻击后,企业能
够利用通过对攻击进行入侵取证分析所得
的信息来防止进一步的感染,实质是开发
一种针对攻击的“自定义防御”。因此,“签
名无用”的概念是一种被误导的夸张说法。
即使是在初始的违规行为之后才利用“签
名”防止攻击扩散,但是基于签名的阻止
技术在防护过程中仍然发挥着重要作用。
又如,基于网络的高级威胁检测设备可以
与终端交换危害标志以确定攻击是否侵入
了企业系统。11 因此,自适应防护架构贯穿
攻击的整个生命周期(参阅图 6)。
随着功能类别与不同层的安全控件交换情
报,安全情报会在这一持续过程中浮现出
来,从而导致需要新一代情报感知安全控
件。(IASC ;请参阅“TSP 安全解决方案日
程概述,2014”)。就如绳索整合了纤维线
一样,功能的集成、功能之间情报的交换、
与社区及威胁情报提供商之间的情报交换
从整体上实现了更强的防护。
根据该架构评估供应商和解决方案全面的防护需要阻止、检测、回顾性分析
和预测功能。更多有能力的安全防护平台
将包括更多阶段的能力并在每个阶段包括
更多特定的向下钻取功能。举例来说,新
一代网络安全平台应包括防火墙、入侵阻
止功能和检测功能,例如内容分析功能。15
并且,跨堆栈不同层的供应商有机会跨 IT 堆栈不同的层提供更为集成的产品。例如,
具有基于网络的防护和终端防护功能的供
应商可以关联这些功能以实现更好的全面
防护。如果供应商并不直接具有某一方面
的功能,则应当进行合作以提升其产品的
防护功能。
来源:Gartner(2014 年 2 月)
图 6.将自适应防护流程与攻击的生命周期对应
自适应
预测 阻止
内嵌、实时(亚秒)
回顾
事件后(分钟到月)
检测
近实时(秒到分)
攻击前
攻击中
攻击后
8
如图 4 所示,集成外部环境和情报资料的能
力也是一个关键区别。例如,供应商会了解
哪种类型的环境 — 位置、当天时间、设备、
信誉等 — 并将其纳入其安全决策?供应商
是否支持和培育一个基于云的健全的客户
社区来交换社区安全情报?平台能够支持何
种类型的信誉资料来改进安全防护 — 例如,
在安全决策过程中考虑 IP、URL、设备、文
件及用户信誉?
最终,我们相信领先的新一代安全平台应当
提供对风险进行了优先级排序的随时可用的
洞见,这种洞见源于平台内的特定领域的嵌
入式分析功能。内置的分析功能将根据在这
些平台中心进行的持续监控过程中收集的数
据运作,以在图 2 金字塔的顶端提供随时可
用的洞见。
其目标并非要取代传统的 SIEM 系统,而是
提供高可靠性、对风险进行了优先级排序的
特定领域的随时可用的威胁洞见,帮助企业
将其安全运维响应流程集中于对其具有最大
风险的威胁和事件。仍然需要 SIEM 系统来
支持跨不同监控数据层的近实时威胁检测;
这些系统并非盲目利用所有事件,而是利用
由新一代安全防护平台所产生的按照优先级
排序的特定领域的情报,也因此提供更有效
的 SIEM 结果。
证据
1 行业数据显示检测一项违规行为平均花
费 243 天( 请 访 问 www.mandiant.com/resources/mandiant-reports,参阅 Mandiant 的“M-Trends 2013: Attack the Security Gap”(2013 年 M 趋势:攻击安全漏洞))。
2 基于云的服务的可见性可以通过各种方式
实现。获得可见性的一个方式是通过云访问
安全代理。或者,云提供商可能提供日志
进行分析,例如 Amazon Web Service (AWS)
最近公布的 CloudTrail。在云中运行的安全
控件可以提供可见性,例如 CloudLock for Google Apps、salesforce.com 或 Alert Logic for AWS。在其他情况下,在基于云的基础
设施即服务产品的虚拟机中运行的代理可
以提供与企业数据中心工作负载相同的可
见性,例如 CloudPassage、Dome9 和 Trend Micro 提供的产品。
3 请参阅 Financial Services Information Sharing and Analysis Center (FS-ISAC)(金融服务信息
共享和分析中心,FS-ISAC)。
4 请参阅 Imperva 的 ThreatRadar Reputation Services(ThreatRadar 信 誉 服 务 ) 和 HP Threat Central(HP 威胁中心)。
5 整组供应商似乎均在 Windows 和移动设备
上提供隔离和沙盒功能。
应用层遏制:
• Blue Ridge Networks AppGuard Enterprise
• Bromium vSentry 微型虚拟化
• MirageWorks vDesk 和 iDesk
• Trustware BufferZone
• Invincea 企业版
• Sandboxie
通过沙盒进行浏览器隔离:
• Check Point WebCheck Endpoint Software Blade
• Quarri Protect On Q
• Sirrix Browser in the Box
• Dell KACE Secure Browser
• Light Point Web Enterprise
通过远程显示进行浏览器隔离:
• Armor5
• Light Point Security
• Spikes Security
6 请参阅 Juniper Networks 的 Mykonos Web Security(Mykonos Web 安全)。
7 请参阅 SANS Institute 的“Intrusion Detection FAQ: What Is a Honeypot?”(入侵检测问答:
什么是“蜜罐”?)
8 请参阅 Unisys Stealth Solution Suite(Unisys Stealth 解决方案套件)。
9 请参阅“Cyber Attackers Don't Fight Fair.Why Should You?”(网络攻击不公平。为什么你
应该公平?),来自 CSG International about Invotas。
10 请参阅 Shape Security。
11 请 参 阅“FireEye Computer Security Firm Acquires Mandiant”(FireEye Computer Security Firm 收购 Mandiant),Nicole Perlroth 与 David E. Sanger,nytimes.com,2014 年 1 月 2 日。
12 请参阅 NetCitadel 和 Intelliment Security。
9
9
13 许多供应商的研究组织正在积极研究恶意
软件生态系统(也称为“恶意网”或“暗
网”),以在恶意软件发布之前尽早了解正在
发展中的攻击者、恶意软件和恶意软件交付
网络。通过及早了解发展中的攻击者、攻击
和攻击基础设施获得的情报可以用于在攻击
发布时立即提供主动防护。示例包括 Blue Coat 的恶意网调研报告(“Blue Coat Malnet Dashboard”(Blue Coat 恶意网控制板)、
Juniper 的 Spotlight Secure 攻击者情报服务、
Norse 的 darknet research (暗网调查)和 OpenDNS 的 Umbrella predictive intelligence service(Umbrella 预测性情报服务)。
14 例如,Risk I/O 为此类分析提供风险处理
引擎。
15 添加集成检测功能的网络、电子邮件、
Web 和终端安全防护平台的例子有很多,
包括:
• Sourcefire 的 FireAMP 和高级恶意软件防
护网络技术,现已被 Cisco 收购
• Check Point 的 ThreatCloud 仿真服务与
设备
• Blue Coat 的高级威胁防护产品及其收购
的 Solera Networks 和 Norman Shark
• Proofpoint 的高级威胁发现功能
• Palo Alto Networks 对其 WildFire 技术的
集成
• McAfee 收购的 ValidEdge
• Trend Micro 的 Deep Discovery
注释 2. Gartner 对环境感知型计算的定义
环境感知型计算是一种计算方式,其中情景和环境信息用
于主动提供丰富的环境感知型可用内容、功能和经验。环
境感知型安全是指利用这种环境来改进安全决策。
注释 1. “高级攻击”
大多数企业将避开了其传统的拦截和阻止控件的攻击视为
“高级”攻击。而实际上,许多此类攻击从技术角度看并
不属于高级攻击;它们不过是经过设计可以绕开传统的基
于签名的机制。企业所需要的是一个能够完成自适应防护
流程的架构,该架构可以应对无论高级与否的所有类型的
攻击,这也是该调研报告所介绍的架构。必须假定某些攻
击会避开图 1 右上象限传统的拦截和基于签名的防护功能。
10
注释 3. 检测危害标志 (IOC) 的技术
注释 4. 预测性功能示例
在黑客市场发现的一种特定于行业的新攻击工具瞄准了未添加补丁的 Windows XP 机器。这种情报和后续的风险分析
使企业主动对 Windows XP 机器进行配置更改。同时也会发起发现活动,以检查组织中是否已经存在变体。
如图 3 所示,所有层均需进行监控。这包括以下方面:
• 监控出站网络流量是一种检测驻留恶意软件的有效方式;通过这种监控可以检测恶意软件命令和控制流量的签名,
或者带有已知僵尸网络目标 IP 地址的流量。代表性的供应商包括 Damballa 和领先的安全 Web 网关供应商(请参阅
“Magic Quadrant for Secure Web Gateways”(安全 Web 网关的魔力象限)。针对该类型的监控,新一代防火墙和 IPS 同样支持与信誉服务集成。
• 一种新兴的方式是监控网络活动并将其与标准流量模式比较,寻找可疑的突发流量或目标,或者新的端口和协议。
可以帮助进行网络分析的供应商包括 Blue Coat(通过收购 Solera Networks)、RSA(通过收购 NetWitness)、Fidelis Cybersecurity Solutions(被 General Dynamics 收购)、Lancope、Vectra Networks 和 Sourcefire 的 Advanced Malware Protection(AMP ;被 Cisco 收购)。
• 持续监控用户活动、登录、系统访问和行为并对这些信息进行分析,以确定帐户遭受危害或内部威胁的标志,示例
包括 Click Security、Fortscale、GuruCul 和 Securonix。
• 全面监控终端 — 例如监控执行的应用、启动的进程、网络连接、注册表更改和系统配置更改 — 是检测危害标志的
好方法。例如:
• 诸如 Bit9、Kaspersky Lab、McAfee、Trend Micro 和 Lumension 等供应商提供的应用控制解决方案可以监控终端上
已经执行了哪一应用,从而有助于实现以上目的。
• 同样,更详细的监控可以为检测危害标志提供更多数据(例如,联系了哪一网络端口 / 协议和 IP 地址)。Carbon Black、CounterTack、 CrowdStrike、Cybereason、RSA ECAT、Ziften 和 ZoneFox 等供应商可提供一组新兴的专用 IOC 检测解决方案。
• 另一种检测危害标志的有效方式是检测系统上所有的更改。Triumfant 在其解决方案中利用这一方式,然后分析有
意义的模式的数据。
• 一些执行持续终端监控的 IT 运维工具也将其注意力转移到了安全使用案例(例如 ExtraHop、Promisec 和 Nexthink)。
• 其他曾经专注于入侵取证使用案例的监控功能也正发展为支持 IOC 监控,包括 Mandiant(被 FireEye 收购)、
HBGary(被 ManTech 收购)、Guidance Software 和 AccessData Group。
数据来源:Gartner 调研报告 G00259490,Neil MacDonald | Peter Firstbrook,2014 年 2 月 12 日
11
在大数据、云计算、虚拟化、物联网等各种新兴应用的掩护下,安全威胁的感知和捕获变得越来越困难。传统安全防护思路已经力不从心,开始出现越来越多的防护缺失。要想安全,必须创新!
我们希望通过这份与 Gartner 联合出品的安全报告,向公众传递一种全新的安全理念——数据驱动安全。
开篇:糟糕的时代
过去的一年是攻防对抗惨烈的一年。很多企业遭遇了噩梦般的数据泄露,安全产品的失效比比皆是:从零售业巨头 Target 到娱乐业巨头索尼影业,从保险公司 Anthem 到电商巨头 eBay,从网易新闻客户端到旅游电商携程,从新浪的数据泄露到腾讯 QQ 群数据泄露……被黑客侵入和发生安全事故的企业几乎遍及全球每个领域。
2014 年全球 500 强公司有一半以上遭到了网络攻击,而且很可能已导致了数据的泄露。根据 DBIR 的数据显示,网络攻击事件达到 79,790 起,已经造成数据泄露的超过 2,000 起。即使企业向信息安全投入了大笔资金,仍持续遭到黑客攻击。安全产品的大范围失效不仅源于攻击技术和攻击手段的不断发展,更是源于安全思维的停滞不前和保守落后。边界防御的传统思维已经到了必须改变的时刻。
在传统安全产品纷纷失效的同时,新型安全防御产品与技术不断出现并走向成熟:Sandbox、大数据安全分析、威胁情报等新兴技术在一些企业中开始发挥越来越重要的作用。这些技术采用以数据为核心的安全防御思路,颠覆了传统以静态检测为核心的安全体系。
问题篇:脆弱的防护体系
从上世纪 90 年代开始,企业就已经注意到网络安全问题,并规划、建设了大量网络安全保障设施。进入 20 世纪,各国纷纷制定了多种安全防护的标准与法规,这宣告了信息安全建设进入到了一个新时期。但是,安全攻防存在着快速动态变化的特点。道高一尺、魔高一丈。攻防较量永无休止且瞬息万变,尤其是 2005 年之后,网络应用与网站数量的激增,催生了以地下黑产为代表的网络黑恶势力的爆炸式增长,攻击技术一日千里不断翻新。而与此形成鲜明对比的却是企业安全防御技术的发展缓慢,从而导致安全事故的频频发生。传统安全防御体系与技术已经逐渐落后于攻击技术的发展。
传统安全“三大件”已力不从心
防火墙、入侵检测、防病毒这耳熟能详的三大传统安全产品长期以来一直是企业网络安全保障体系中的三大主力,在我国企业的网络安全保障工作的历史上发挥了重要作用。但时至今日,在不断被攻陷的网络面前,在不断被窃取的重要数据面前,我们不得不清醒地认识到,传统的安全三大件已经无法满足新形势下的安全防御需求。
当我们重新审视这三大安全产品的时候,我们看到:
防火墙已经成为一种访问控制设备,只能作为网络访问的一个硬件开关,在应用层攻击面前难有作为。
入侵检测虽然设计之初是为了检测应用层攻击以弥补防火墙的不足,但应用的爆炸式增长与越来越多的加密协议的出现,使得入侵检测的能力不断降低,这让依赖流量还原和深度分析的入侵检测系统越来越难以为继,漏报频频,加之原本就被诟病的误报过多,入侵检测这种产品已经走到了濒临淘汰的边缘。
数据驱动安全
传统防病毒系统的境遇更为尴尬。今天我们捕获的恶意程序样本已经超过 20 亿,但传统防病毒系统的病毒库规模不会超过 1,000 万样本特征,也就是说我们最多只能检测 20 亿病毒中的 1,000 万,其比例只有不到 0.5%。这就造成了一种新病毒能杀,但老病毒却在反复感染的一种怪现象。面对每天新增多达百万计的病毒,传统的防病毒系统亦如湍急病毒洪流中的一叶小舟,已无法承担今天病毒有效查杀的历史使命。由于在核心技术上缺乏创新甚至一成不变,传统安全三大件已经被今天快速发展的安全形势所渐渐抛弃。
APT 攻击频频得手
如果说传统安全三大件在面对新型攻击时的失效已经对传统安全体系提出挑战,那么更令我们担忧甚至恐慌的是比一般的新型攻击更可怕的 APT 与未知威胁。APT 的恐怖在于在网络对抗中引入了精准打击的军事级数字武器,其特征表现为:目标锁定、攻击手段未知、几乎无法检测、持续时间长,不达目的绝不罢休。传统安全防御体系在这种攻击面前形同虚设、毫无效果。正因如此,APT 攻击已经成为网络安全领域的癌症,成为传统安全防御体系的坟墓。目前已经被公开批露的 APT 攻击事件,如:针对伊朗核设施的 Stuxnet 蠕虫病毒、针对卡巴斯基的 Duqu2.0 震网攻击、针对谷歌的极光行动、针对中国海事领域的海莲花攻击、针对华为的长期渗透等都是在攻击发生数年之后才被发现。斯诺登爆料美国对全世界监控的棱镜计划如果不被曝光,可能永远不被我们所知。而这一切都发生在传统安全防御系统的监控之下,却又没被发现甚至感知,这再次证明传统安全体系需要革命性变革。
硬件盒子已不再等于安全
我们反思传统安全防御体系后发现,传统安全防御体系的构建具有三大明显的特征:攻防对抗、设备为主、安服为辅。这三大要素中最核心的是安全设备。传统安全体系实际是通过安全设备,结合攻防对抗技术,再以安服为补充构建安全防御体系。在今天看来这种思路已经彻底落后于攻击思路:
首先攻防技术一定是先有攻,后有防,无矛则无盾。今天我们越来越多地看到,攻击者不一定采取直接攻击的手段进行渗透,而很可能是采用社会工程学的办法,以“和平”方式进行渗透;
另一方面,攻击者也在越来越多地采取未知攻击手段进行渗透。这两个场景下,依矛铸盾的攻防思路就被轻松绕过。更进一步,攻防对抗的关键不是技术,更不是设备,而是人。人永远是攻防对抗的核心。所以,传统上设备为主、以人为辅的思路本质上是舍本逐末。依靠一成不变的设备对抗创造力极强的黑客组织甚至网络部队,其失败只是时间问题。
传统安全防御技术失效的背后是网络架构、应用架构与攻击技术的变革。我们回顾一下最近十年的这些变化时可以看到:
传统的安全边界正在消失
网络边界不再等于安全边界。传统安全防护体系非常强调边界防御,
Firewall/NGFW、IDS、IPS、UTM、WAF、Anti-DDoS 等无一例外都强调网络边界的防御。但随着云计算、WiFi、移动互联网、远程办公等网络场景、应用场景的出现,网络访问与接入对移动性提出了前所未有的要求与挑战:云计算、移动互联网、远程办公将网络的安全边界延伸到了企业网络之外,WiFi 的出现将传统企业的物理网络边界扩展到了 WiFi 信号可覆盖的任何一个位置。
12
网络在变化、应用在变化。这一切在改变企业网络边界的同时,也在改变着企业的网络安全边界。企业的网络边界不再等于企业网络的安全边界。在这种情况下传统上将网络或应用出入口视为网络安全边界的假设不再成立,进而传统上强调边界防御的安全体系也不再广泛适用。
新型终端类型不断出现
随着移动互联网的出现,大量新型终端通过移动互联网接入企业网络之中。10 年前,除了个人电脑之外,其他智能终端几乎可以忽略不计。但最近 10 年间,移动互联网的迅猛发展已彻底改变了这一切。时至今日,智能手机、平板电脑的数量已经迅速超过了 PC 终端的数量。这一变换已经对企业的网络安全提出了严峻挑战。尤其是随着企业 WiFi 的大量开放,BYOD 设备大量接入到企业网络中进行办公、收发邮件、下载企业重要文档,从而对企业的数据安全产生了不可低估的风险。尤其是移动终端设备的安全防护措施缺失、终端漏洞在没有进行及时全面修复的情况下,企业数据在新型终端上的安全问题显得尤为突出,对新型终端的安全防护,尤其是数据安全的防护是令当今世界各国企业所头痛的问题。
软件与应用开发日趋复杂
与以往相比,今天的网络世界非常大的一个变化就是应用的数量与产生速度都在呈爆炸式增长,软件开发的复杂度也在不断变大。我们今天可以看到数以百万计的 Google Play、AppStore 中的各式应用,也能看到企业中不断上线的 ERP、业务系统等大型复杂系统。这些应用与系统的开发周期与开发过程中存在着大量的安全问题,潜伏了大量无法预估的安全漏洞。这一切由于开发人员缺乏安全知识、缺乏安全开发规范而产生,又随着软件应用数量和软件复杂度的增加而被放大。敏捷开发、快速上线、小步快跑、不断迭代已经成为开发人员口中标榜业绩与先进性的流行言辞,但由此导致的安全问题谁来关注?
攻击技术层出不穷
攻击技术的花样翻新、层出不穷已经在无数次的成功入侵中得以验证。黑客们通过不断创造出精美的新型攻击技术一次次戏耍着看起来呆若木鸡的传统安全防线:通过语法变形、语义变形、编码转换的各类注入技术;通过加花、加壳、加密等手段的各类病毒;通过环境识别绕过 Sandbox 的智能恶意代码、通过 0day 漏洞躲过 IDS/IPS 的漏洞利用攻击。这些 AET(高级逃逸技术)在一次次穿透安全防御体系的同时彰显着攻击者的智慧。而传统安全防御体系在一次次被戏耍的无奈的背后是传统安全防御技术与体系的失效。
改变篇:安全的自我救赎
世界在改变,网络在改变,应用在改变,攻击技术在改变,安全也需要改变。山雨欲来风满楼,再成熟的安全防御体系也有其被取代的一天。传统安全防御体系逐渐老去的同时,新型安全防御体系已经悄然出现并走向前台。总体来说,新型安全防御技术具备如下关键特点:
以数据为核心取代以单点攻防技术为核心
新型安全体系本质上就是围绕数据为核心的“数据驱动安全”的技术思路。数据是新型安全体系中最本质与最核心的内容。具体来说就是依靠数据的大范围分析实现对威胁的感知、发现、分析与溯源。
传统安全防御体系强调的是利用攻防对抗技术在攻击的某个片段发现攻击行为。这种思路更局限于对攻击某一时刻的行为发现,就好比攻击在某一时刻的照片,是静态的,局部的,某一时刻的,无法对攻击的全貌有全面了解,而且一旦错过了这个攻击片段,就无法再发现该攻击。
而新型防御技术则以数据为核心,相当于将整个攻击过程都录制下来,而后对攻击的全过程进行回溯分析,不但能够了解到攻击的全貌,而且有可能在攻击全过程的任意一个环节、片段对攻击进行发现。除此之外,以数据为核心本质上也是一种“安全情报”体系,即:在某个位置出现的攻击,一旦被录入数据系统之中,其他尚未发生该攻击的位置就会提前具备对该攻击的检测与防御能力,这是传统以技术为核心的安全体系所不具备的。简而言之,通过单点检测技术,你只可能看到攻击过程某一片段的快照,而透过数据的镜子,你却可以看到攻击的全貌、攻击的历史以及更多的攻击,而且可以通过别人被攻击的数据做到提前预防。
以云端分析取代设备分析
传统安全防御体系几乎都是依靠单台检测或防御设备对攻击进行发现与防御的,而检测与防御的能力则取决于设备的计算能力、存储能力。最典型的就是入侵检测、防病毒系统。依靠特征库的规模、病毒库的规模、机器的计算性能对有限的攻击进行实时的检测与防御。
而今天的新型防御体系强调的是云端的海量存储与大规模深度计算:存储规模的增大,意味着可以有更多的规则、更多的样本、更多的数据作为检测的基础与依据;而大规模的云端计算资源意味着可以展开复杂度更高的算法,对流量、样本、行为进行深度分析与历史分析;云端的海量存储与计算使得基于人工智能与数据挖掘的大数据分析成为可能;云端的海量带宽也解决了 Anti-DDoS 中由于带宽限制无法接下全部待清洗流量的难题。
例如,360 公司用于恶意样本分析的云端资源超过一万台,用于 Anti-DDoS 的带宽高达 500Gbps。这一切都将包括恶意样本分析、抗 DDoS 的能力提高到了一个前所未有的高度。而如果不采用云计算的基础设施,依靠传统的安全设备,这一切都是不可想象的。
以情报线索取代单纯攻防技术对抗
传统安全的防御思路是以攻防技术对抗为基础的。攻防技术对抗可以在获得攻击细节的前提下有效对抗标准的攻击行为,但是对于加入严重变形与绕过手段的攻击却无能为力。如前所述,攻防对抗是矛与盾的竞赛。现实中从来都是先有矛后有盾的。因此,传统的对抗思路无法解决未知威胁的问题,典型的如未知木马、未知漏洞,这些都是传统安全防御中最头疼的问题。
而新型防御技术中强调威胁情报的价值与使用。实际上就是放弃了单纯依靠攻防对抗的秀技术肌肉的思维方式,转而在整个网络活动中寻找有价值的可疑线索。通过可疑线索结合已有的海量历史数据,进一步深挖线索背后的一系列行为活动,从而将一次复杂的 APT 攻击检测分解为一个简单的线索发现与深挖。这种方式既解决了 APT等复杂攻击无法检测的问题,又规避了单纯依靠技术对抗难度过高的问题。
13
威胁情报的使用还同时实现了“攻防倒置”:以往依靠技术对抗的思路,防守一侧只要有一次对抗失败,攻击者就会成功渗透进来。攻击者 1% 的成功意味着 100% 的战果;而依靠威胁情报线索的思路,防守一侧只要有一次抓住线索,就能够依据线索捕获攻击。纵观整个防守过程,1% 的线索捕获,意味着 100% 的防守战果。这种“攻防倒置”的实现,彻底扭转了以往攻防双方不对等的较量,这一切都归功于新型防御体系思路的转变。
以空间换时间取代单点检测
最后,新型防御体系的关键点在于通过数据空间换取检测的时间:攻防之间的本质是一场追逐赛。攻击一方先接触到目标,就意味着攻击成功,反之则防守成功。如何在攻击一方接触到目标之前实现有效的发现与拦截,关键的秘密还是在于数据。而这种特定的高价值安全数据被我们称为威胁情报。
通过提前获取威胁情报,我们有可能做到提前预防,甚至在攻击者没有展开攻击之前就已经做好预防,并严阵以待。例如:匿名者组织等一些黑客组织,经常在发起攻击的前几天会在某个论坛上讨论攻击的目标与攻击方式。如果我们能够提前获得这些情报,就可以针对攻击目标进行有针对性的监控与防御。这种情报的利用是传统安全体系所不具备的,但这正是新型防御体系的特点之一。
总之,新型威胁防御体系是一套依靠数据的情报系统。依靠云端的计算与存储能力,实现对各类已知威胁、未知威胁、APT 攻击的有效预防、发现、防御与过程回溯。
曙光篇:大数据正在拯救安全
今天以云、大数据为核心的新的企业安全技术正在颠覆传统企业安全技术。胜利者将属于这个领域的技术领先者。如何将数据与云端计算能力作为整体安全体系的基础与基石,如何结合两者的强大的计算、存储和实时分析能力,将每一项传统安全都进行深入的改造和创新,使其能够同安全大数据分析紧密结合,并通过云计算将其强大的威力释放出来,将成为未来安全技术发展的指导思想和方向。
我们已经偏离轨道,我们航行在地图之外。坐在这里等待指示并不是办法,我们不能按照现有的地图继续航行,因为整个世界已经改变。安全行业的所有人都应该共同努力,以“数据驱动安全”的新思维提高整体的安全性,从数据中来,回归于数据。
未来的安全是数据的比拼与资源的对抗。大数据安全的本质是通过数据的全面性挖掘、分析、追溯潜在隐蔽的安全问题。这一切都取决于您能掌握多少数据,您有多少计算资源来分析这些数据。世界上成功的大数据安全系统数据规模一般都在 1000PB 以上,涵盖了几十亿的恶意代码样本、实时的恶意 URL 库、数百亿的恶意 IP 地址库、数百亿的 DNS 访问请求等海量安全数据信息。为了能够实时计算如此规模的安全数据,同时为了能够处理百亿级的实时流量数据,至少需要近 10 万台以上的服务器与 1,000G 的带宽。
大数据安全的关键价值在于“看见”的能力。在这种能力下,传统安全防御的终点则成为数据驱动安全体系的部分过程。例如 :传统的防病毒技术在检测出病毒之后即可进行有效查杀,同时宣告防御过程的结束。但利用大数据安全体系与威胁情报,我们可以进一步分析出该恶意代码会劫持哪些网站,进而找出恶意 DNS 服务器。通过在海量的安全数据中进行快速搜索又可以找出有哪些 IP 甚至终端、用户在该恶意 DNS 上解析过该网址(毫无疑问这些 IP、终端、用户都是遭受到了该恶意代码的攻击),战果会不断扩大。
但这还远没有结束。利用大数据安全体系,我们还可以反向查询该 DNS 还提供了哪些网址的解析。毫无疑问这些网址也都是被攻击的网址或者本身就是钓鱼网站。于是我们就可以顺藤摸瓜地找到很多其他的恶意网站,安全防御能力在不断延伸。
但这也没有结束。我们可以利用上百亿的 DNS 解析记录,进一步找到有哪些终端、IP 解析过这些网址。这些终端、IP 也毫无疑问都是遭受到了恶意代码的攻击。结束了吗?还没有。如果结合已有的威胁情报库,我们还可以找到这些恶意网址、恶意代码的背后操控组织以及这些组织的特点、分布,了解他们的攻击目的甚至政治诉求。通过这些我们可以看到,在大数据与威胁情报的体系中,安全能力在无限延伸,攻防对抗在发生转变,这就是数据驱动安全的本质。
数据驱动作为安全技术演变路上的一个重要里程碑已经受到世界各国安全厂商与用户的高度关注。随着大数据技术在安全领域应用的不断成熟,数据业已成为驱动安全技术进一步发展的重要基石。
RSA 2015 大会中备受关注的“威胁情报”就是数据驱动安全的重要成果。通过威胁情报“看见”的能力,能够结合传统安全产品(如:
SOC/SIEMM、NGFW、IPS、邮件网关、Web 安全网关、终端防御系统)等提前预知威胁,并为下一步的防护与干预提供参考和依据。
结论:数据驱动安全
未来的安全必然是靠数据驱动的。只有依托于此,我们才能看见更多的威胁,才能规避更多的风险!
“数据驱动安全”是更符合当今时代的安全理念——“数据”是基础,安全威胁往往隐藏在海量数据之中,拥有海量、多维及持续的数据是后续进行安全分析和挖掘的基础 ;“驱动”是手段,现今基于海量多维数据的存储、计算、分析、挖掘及可视化能力,是对基于特征码等过时安全技术的颠覆;“安全”是目标。只有将大数据及处理技术应用于安全攻防领域,结合安全专家的知识与经验,才能真正帮助安全产业从传统安全防护思路的困境中顺利走出。
事实上,早在 2007 年,360 公司就已经凭借互联网公司强大的海量数据处理和分析挖掘能力,开始了在“数据驱动安全”方面的尝试和探索,并先后取得了一个个“质”的突破:360 云查杀,让安全能够真正适应现代恶意软件和恶意威胁的对抗环境;360 人工智能,第一次将机器学习技术应用于未知恶意软件识别领域;360 云智能主防,让安全在互联网时代也具备了快速发现和拦截未知威胁的能力 ;360 白名单技术,更是给安全插上了翅膀,实现了性能与效果之间的最优平衡。
而今,360 公司已经具备了丰富的安全大数据资源以及强大的大数据存储和计算能力:大数据服务器规模超过 40,000 台,总存储数据量接近 1EB,每天各种数据计算任务 10 万个,每分钟可以调动几十万颗 CPU 核参与计算,具备每秒钟处理 1TB 数据的能力;积累了海量的情报数据,主防库总日志数 50,000 亿条,文件库总样本数高达 95 亿,DNS 库解析记录超过 50 亿条,URL 库每天查询 300 亿、每天会处理 100 亿 URL。
360 公司正在“数据驱动安全”的理念下,帮助客户全面解决过去解决不了的以及未来可能出现的各种已知、未知安全问题。
资料来源:奇虎 360 公司
14
360 互联网威胁情报中心由全球最大的互联网安全公司奇虎 360 特
别成立,是中国首个面向企业和机构的互联网威胁情报整合专业机
构。该中心以业界领先的安全大数据资源为基础,基于 360 长期积
累的核心安全技术,依托亚太地区顶级的安全人才团队,通过强大
的大数据能力,实现全网威胁情报的即时、全面、深入的整合与分析,
为企业和机构提供安全管理与防护的网络威胁预警与情报。
360 互联网安全中心由 360 的研发中心、技术中心与服务中心组成,
拥有全球最顶尖的安全专家,最前沿的安全技术,以及最广泛的用
户群体,为全球近 10 亿用户提供互联网安全技术解决方案与互联
网安全产品研发更新。360 互联网安全中心同时也是国内最权威的
互联网安全资讯发布平台。
360 公司(美国纽约交易所:QIHU)是中国领先的个人电脑、移动
终端和企业级安全产品及服务提供商。其首创的“免费安全”模式
曾被西方媒体誉为互联网的“中国模式”。360 公司坚持颠覆式创
新的企业文化,不断通过产品技术创新、用户体验创新和商业模式
创新改变市场格局,推动市场进步。
用户数据:
• 奇虎 360 基于 PC 的产品和服务的月度活跃用户总人数达到
5.03 亿人,用户渗透率为 94.7%
• 奇虎 360 主要移动安全产品的智能手机用户总数达 7.78 亿人
• 奇虎 360 PC 浏览器的月度活跃用户人数为 3.76 亿人,用户渗透
率为 70.8%
关于 360 互联网安全中心