8月14日�����,由國家計算機網絡應急技術處理協調中心主辦的中國網絡安全年會在北京國家會議中心召開�����。本屆大會以“薈聚安全大腦、護航智能生態”為主題,旨在交流國內外網絡安全工作新趨勢、新問題�����、新思路��,促進國家公共互聯網網絡安全應急體系成員間的合作�,加強互聯網行業的網絡安全保障和突發安全事件的應急處置聯動����,促進政府部門���、重要信息系統單位與網絡安全產業界間的交流。
大會開放8個特色分論壇和技術培訓活動,圍繞應急響應���、態勢感知、網絡攻擊與溯源、威脅情報、物聯網��、人工智能�、安全漏洞、數據安全等一系列熱點領域展開討論與交流。360企業安全集團副總裁韓永剛和白皓文���、潘博文、陳力波、鄭曉峰5位專家在大會期間發表主題演講,闡釋了大數據驅動安全理念���。
360企業安全集團副總裁 韓永剛
大數據驅動網絡安全重構“創可貼”思路已然過時
最初的網絡安全是創可貼的思路,哪破了貼哪,頭痛醫頭腳痛醫腳����。不同的是�,傷口可以立即看到�,馬上感知,但發現安全威脅卻會耗費相當長的時間,因為威脅會潛伏地很深�。
企業怎樣才能發現潛在的威脅呢?必須翻看最近一個月甚至數月各個設備的“日記”��,但互不相干的日志、流量��,難以形成簡明�、有條理的事件“拼圖”,所采集和分析的數據量越大��,看起來越混亂�,重構事件所需時間也越長。顯而易見��,企業IT規模越大��,儲存與分析的安全信息越來越多�����,快速做出判定和響應的難度也越來越大。通常情況下,組織機構會嘗試利用SIEM來處理大量的日志數據和情報數據,然而收效甚微,甚至會陷入大量誤報的漩渦中去。
為改變這樣的現狀,韓永剛在大會上提出���,要堅持數據驅動安全理念����,建設大數據驅動的態勢感知和應急指揮平臺。數據驅動不僅帶來技術理念的進步��,更是一次從安全思想�����、安全方法論到安全產業思維的革命���。韓永剛認為�,網絡安全思想必須由“查漏補缺”向系統規劃轉變����,強調數據、系統和人聯動的安全運營�����。網絡安全滑動標尺模型為業界詮釋了數據驅動安全的演進過程:從基礎架構安全�����、被動防御����、主動防御��、情報化防御以及進攻性防御五個階段���,將網絡安全防御的各類工作都納入其中����,強調協同聯動的防御能力�����。
網絡安全滑動標尺模型
保證充足的數據源
提到數據驅動安全���,首先要重視數據源和數據采集的問題�。對于規������;钠髽I�,發生在自身設備與相關IT系統的數據交換與日志信息�,給企業帶來了大量的數據源����!毒W絡安全法》中也有規定,企業必須要留存日志信息���。并且,這種留存不是過去的告警留存����,而是終端的����、網絡的�����,甚至是資產的乃至企業級的各種原始數據��。倘若沒有這些內部數據�����,用戶就難以判定攻擊是否發生在內網�����。
同時,利用網上公開的數據、產業上下游數據等外部數據的重要性也不容忽視��。潘博文在演講中提出了利用網上公開數據追蹤APT組織的方法���。他表示��,這些數據的來源可以是安全廠商的研究報告��,可以是友商、媒體甚至是社交網絡的資訊�����、還可以是APT站點的報告����。
構建高、中、低三位一體的安全能力
有了充足的數據源,當然不能走傳統網絡安全老路子,否則還會陷入大量無效告警的死循環���,安全能力必須得向數據轉移。
韓永剛在演講中重點提到了安全能力向數據轉移的三層次——高、中����、低三位一體的安全能力模型��。如下圖:
低位是我們長期以來信賴的網絡安全基礎軟硬件,為用戶提供基礎的安全防護能力。在網絡攻防的動態變化中�,安全能力是一個疊加演進�、不斷創新的過程���,這些設備依然持續有效��,并源源不斷地為中高位輸送基礎數據。
中位可以說是中流砥柱�����,關聯分析、可視化�、機器學習等大數據衍生的應用都在中位之列��。顯然,這里主要是處理與分析低位輸送上來的數據�,如上文中提到的利用公開的信息追蹤APT�。但這些公開數據都是雜亂的���、非結構化的���,企業想要利用起來�����,就要依靠中位能力對公開信息進行分類�����,然后按照一定的標準處理這些數據,最終形成情報或者其他形式并加以利用。
高位能力的核心是云端的安全運營能力���,包括了威脅情報、云端沙箱���、云查殺等。云計算帶來的是帶寬和算力的巨大提升���,從而彌補了過去終端計算的缺陷��。白皓文在演講中提到了沙箱檢測對于高級威脅發現的重要性��,可以設想一下,假設沙箱本身的算力不夠�����,或者延遲過高����,會造成什么后果?大量待檢測的文件在排隊,這會很大程度上影響企業的辦公效率�����,數據大堵車���,想想早晚高峰的北京交通!
綜上所述�,低位就像四肢,負責具體行動的執行;中位就像心臟��,負責為全身器官輸送血液和能量;高位就像大腦��,負責為中低位提供戰略支撐�。
全方位的態勢感知
有了這些能力��,才有了做好態勢感知的基礎���,但態勢感知不是簡單的地圖炮�,看個熱鬧,需要賦予企業真正的網絡安全能力����。韓永剛認為,態勢感知需要包含以下5個要點:第一,堅持業務導向,管理是根本,技術是支撐;第二,關口前移��,從“查漏補缺”到“系統規劃”;第三�,擁有純正的大數據基因�,具備完善的大數據采集����、大數據存儲與計算��、大數據治理、大數據建模與分析�、大數據應用于大數據持續運營六大要素;第四,以人為核心的網絡安全運營能力;第五,攻防兼備的應急響應能力����。
據統計�����,360企業安全已經為國家稅務總局����、國家統計局等超過200家行業機構輸送了態勢感知能力����,幫助進行高效安全決策,發現網絡安全隱患���。
來源:中國網
(新媒體責編:news)
京公網安備 11010602130064號
