8月14日���,由國家計算機網(wǎng)絡應急技術(shù)處理協(xié)調(diào)中心主辦的中國網(wǎng)絡安全年會在北京國家會議中心召開��。本屆大會以“薈聚安全大腦�、護航智能生態(tài)”為主題���,旨在交流國內(nèi)外網(wǎng)絡安全工作新趨勢、新問題��、新思路��,促進國家公共互聯(lián)網(wǎng)網(wǎng)絡安全應急體系成員間的合作,加強互聯(lián)網(wǎng)行業(yè)的網(wǎng)絡安全保障和突發(fā)安全事件的應急處置聯(lián)動�,促進政府部門、重要信息系統(tǒng)單位與網(wǎng)絡安全產(chǎn)業(yè)界間的交流����。
大會開放8個特色分論壇和技術(shù)培訓活動,圍繞應急響應��、態(tài)勢感知���、網(wǎng)絡攻擊與溯源���、威脅情報、物聯(lián)網(wǎng)���、人工智能�����、安全漏洞����、數(shù)據(jù)安全等一系列熱點領域展開討論與交流。360企業(yè)安全集團副總裁韓永剛和白皓文���、潘博文����、陳力波����、鄭曉峰5位專家在大會期間發(fā)表主題演講��,闡釋了大數(shù)據(jù)驅(qū)動安全理念��。
360企業(yè)安全集團副總裁 韓永剛
大數(shù)據(jù)驅(qū)動網(wǎng)絡安全重構(gòu)“創(chuàng)可貼”思路已然過時
最初的網(wǎng)絡安全是創(chuàng)可貼的思路����,哪破了貼哪,頭痛醫(yī)頭腳痛醫(yī)腳���。不同的是����,傷口可以立即看到�����,馬上感知,但發(fā)現(xiàn)安全威脅卻會耗費相當長的時間���,因為威脅會潛伏地很深��。
企業(yè)怎樣才能發(fā)現(xiàn)潛在的威脅呢?必須翻看最近一個月甚至數(shù)月各個設備的“日記”�,但互不相干的日志�、流量,難以形成簡明���、有條理的事件“拼圖”�,所采集和分析的數(shù)據(jù)量越大���,看起來越混亂�,重構(gòu)事件所需時間也越長�����。顯而易見�,企業(yè)IT規(guī)模越大,儲存與分析的安全信息越來越多�����,快速做出判定和響應的難度也越來越大。通常情況下�,組織機構(gòu)會嘗試利用SIEM來處理大量的日志數(shù)據(jù)和情報數(shù)據(jù),然而收效甚微�����,甚至會陷入大量誤報的漩渦中去�����。
為改變這樣的現(xiàn)狀���,韓永剛在大會上提出,要堅持數(shù)據(jù)驅(qū)動安全理念����,建設大數(shù)據(jù)驅(qū)動的態(tài)勢感知和應急指揮平臺。數(shù)據(jù)驅(qū)動不僅帶來技術(shù)理念的進步�����,更是一次從安全思想��、安全方法論到安全產(chǎn)業(yè)思維的革命。韓永剛認為�,網(wǎng)絡安全思想必須由“查漏補缺”向系統(tǒng)規(guī)劃轉(zhuǎn)變,強調(diào)數(shù)據(jù)�����、系統(tǒng)和人聯(lián)動的安全運營�。網(wǎng)絡安全滑動標尺模型為業(yè)界詮釋了數(shù)據(jù)驅(qū)動安全的演進過程:從基礎架構(gòu)安全、被動防御����、主動防御、情報化防御以及進攻性防御五個階段����,將網(wǎng)絡安全防御的各類工作都納入其中,強調(diào)協(xié)同聯(lián)動的防御能力����。
網(wǎng)絡安全滑動標尺模型
保證充足的數(shù)據(jù)源
提到數(shù)據(jù)驅(qū)動安全,首先要重視數(shù)據(jù)源和數(shù)據(jù)采集的問題��。對于規(guī)���;钠髽I(yè)�,發(fā)生在自身設備與相關IT系統(tǒng)的數(shù)據(jù)交換與日志信息,給企業(yè)帶來了大量的數(shù)據(jù)源�����!毒W(wǎng)絡安全法》中也有規(guī)定�,企業(yè)必須要留存日志信息�����。并且�,這種留存不是過去的告警留存,而是終端的�、網(wǎng)絡的��,甚至是資產(chǎn)的乃至企業(yè)級的各種原始數(shù)據(jù)��。倘若沒有這些內(nèi)部數(shù)據(jù)���,用戶就難以判定攻擊是否發(fā)生在內(nèi)網(wǎng)���。
同時,利用網(wǎng)上公開的數(shù)據(jù)��、產(chǎn)業(yè)上下游數(shù)據(jù)等外部數(shù)據(jù)的重要性也不容忽視。潘博文在演講中提出了利用網(wǎng)上公開數(shù)據(jù)追蹤APT組織的方法��。他表示��,這些數(shù)據(jù)的來源可以是安全廠商的研究報告��,可以是友商����、媒體甚至是社交網(wǎng)絡的資訊、還可以是APT站點的報告���。
構(gòu)建高�、中��、低三位一體的安全能力
有了充足的數(shù)據(jù)源���,當然不能走傳統(tǒng)網(wǎng)絡安全老路子��,否則還會陷入大量無效告警的死循環(huán)�,安全能力必須得向數(shù)據(jù)轉(zhuǎn)移��。
韓永剛在演講中重點提到了安全能力向數(shù)據(jù)轉(zhuǎn)移的三層次——高�����、中、低三位一體的安全能力模型��。如下圖:
低位是我們長期以來信賴的網(wǎng)絡安全基礎軟硬件�����,為用戶提供基礎的安全防護能力�。在網(wǎng)絡攻防的動態(tài)變化中,安全能力是一個疊加演進�、不斷創(chuàng)新的過程,這些設備依然持續(xù)有效��,并源源不斷地為中高位輸送基礎數(shù)據(jù)��。
中位可以說是中流砥柱��,關聯(lián)分析�����、可視化�����、機器學習等大數(shù)據(jù)衍生的應用都在中位之列���。顯然�,這里主要是處理與分析低位輸送上來的數(shù)據(jù)�,如上文中提到的利用公開的信息追蹤APT。但這些公開數(shù)據(jù)都是雜亂的����、非結(jié)構(gòu)化的,企業(yè)想要利用起來��,就要依靠中位能力對公開信息進行分類�����,然后按照一定的標準處理這些數(shù)據(jù)���,最終形成情報或者其他形式并加以利用���。
高位能力的核心是云端的安全運營能力,包括了威脅情報�、云端沙箱、云查殺等����。云計算帶來的是帶寬和算力的巨大提升�����,從而彌補了過去終端計算的缺陷�����。白皓文在演講中提到了沙箱檢測對于高級威脅發(fā)現(xiàn)的重要性���,可以設想一下,假設沙箱本身的算力不夠�����,或者延遲過高�����,會造成什么后果?大量待檢測的文件在排隊�,這會很大程度上影響企業(yè)的辦公效率�����,數(shù)據(jù)大堵車,想想早晚高峰的北京交通!
綜上所述���,低位就像四肢����,負責具體行動的執(zhí)行;中位就像心臟���,負責為全身器官輸送血液和能量;高位就像大腦�,負責為中低位提供戰(zhàn)略支撐��。
全方位的態(tài)勢感知
有了這些能力�,才有了做好態(tài)勢感知的基礎,但態(tài)勢感知不是簡單的地圖炮����,看個熱鬧,需要賦予企業(yè)真正的網(wǎng)絡安全能力���。韓永剛認為��,態(tài)勢感知需要包含以下5個要點:第一��,堅持業(yè)務導向����,管理是根本,技術(shù)是支撐;第二����,關口前移,從“查漏補缺”到“系統(tǒng)規(guī)劃”;第三�����,擁有純正的大數(shù)據(jù)基因���,具備完善的大數(shù)據(jù)采集�、大數(shù)據(jù)存儲與計算���、大數(shù)據(jù)治理�、大數(shù)據(jù)建模與分析�����、大數(shù)據(jù)應用于大數(shù)據(jù)持續(xù)運營六大要素;第四�����,以人為核心的網(wǎng)絡安全運營能力;第五�����,攻防兼?zhèn)涞膽表憫芰Α?/p>
據(jù)統(tǒng)計�,360企業(yè)安全已經(jīng)為國家稅務總局、國家統(tǒng)計局等超過200家行業(yè)機構(gòu)輸送了態(tài)勢感知能力��,幫助進行高效安全決策����,發(fā)現(xiàn)網(wǎng)絡安全隱患。
來源:中國網(wǎng)
(新媒體責編:news)
京公網(wǎng)安備 11010602130064號
