傳統上,企業(yè)安全防護主要基于簽名與特征碼來進行檢測與攔截,而現在大量攻擊手段都可以繞過現有的防護手段����,導致傳統安全手段無法應對新型威脅的挑戰(zhàn)。因此�,傳統的安全產品�����,特別是防火墻�、入侵檢測和防病毒系統,需要更新換代�����。
基于這一思路�����,360憑借多年積累的安全大數據,對最新威脅方式進行追蹤����,形成了持續(xù)更新的威脅情報,并將威脅情報應用于安全產品中����,開發(fā)出了一系列威脅情報驅動的新一代安全產品,其中包括新一代威脅感知系統(360天眼)�����、新一代終端安全系統(360天擎)��、新一代大數據智慧防火墻(360天堤)���。
據介紹�����,360網神新一代安全產品實現了由規(guī)則驅動到威脅情報驅動的轉變���。
這種威脅情報驅動的安全產品與解決方案,不僅有效利用了各類威脅情報技術,更重要的是通過數據與情報的共享�����,實現了跨產品的集中式安全檢測與自動化響應�,無論是保護終端、網關�、云�����,還是應用程序的安全產品�����,都可以借助威脅情報���,增強檢測和響應的能力��,同時為后續(xù)的各類安全數據的分析和挖掘提供了數據基礎�����。
新一代威脅感知系統——使用互聯網數據發(fā)掘APT攻擊線索���,提升了客戶發(fā)現威脅的能力�����;以威脅情報形式打通攻擊定位��、溯源與阻斷多個工作環(huán)節(jié)����,提升了客戶對攻擊回溯的能力��。同時結合搜索技術提升數據挖掘能力�,以及輕量級沙箱的未知漏洞攻擊檢測技術,提升了客戶檢測未知漏洞的能力�。
新一代終端安全系統——除了包含原有的反病毒、終端管控產品��,還包括了終端檢測與響應��、終端安全鑒定中心等新產品�����,是國內首款針對于高級威脅進行快速檢測和響應的終端安全系統���。產品可以持續(xù)洞察內網終端的安全活動信息���,結合360大數據威脅情報等對內網淪陷終端進行快速的檢索和定位�����,并提供針對于威脅事件的自動化響應和修復能力���。
新一代大數據智慧防火墻——從過去的訪問控制或特征檢測,演進到針對網絡流量的復合型檢測和響應的新領域���。基于NDR(基于網絡的檢測與響應安全體系)的全網應急處置響應能力���,使防火墻能自動或在管理員干預下完成發(fā)現問題�、分析問題��、處置響應一體化流程����。
建立大數據為核心的安全基礎設施能力
安全專家指出,威脅情報驅動的安全�,其背后是大數據分析。大數據分析已成為全球信息安全發(fā)展的趨勢和方向,未來2年大數據分析將顛覆大多數安全產品的格局��。Gartner預測��,到2016年�����,40%的企業(yè)將部署大數據分析系統����,專門應對信息安全。
吳云坤認為���,威脅情報驅動的產品理念�,將會引發(fā)對傳統安全產品的“改造”和“提升”�����,賦予安全產品“思考”的能力�����,最終在企業(yè)形成安全大數據分析中心(大腦)加上安全軟硬設備(手臂)的安全協同模式��。
那么,當前對企業(yè)來說�,企業(yè)如何才能在傳統安全措施的基礎上部署新的威脅情報產品?吳云坤表示����,這需要企業(yè)具有“安全基礎設施的能力”,它包括三個方面:
第一����,大數據的采集能力。譬如�,今天有線報表明有人會來攻擊,但假若沒有內網數據�����,用戶根本不會知道是不是在內網發(fā)生��,因此第一個要解決的問題是威脅情報要發(fā)生作用�����,做好數據的留存�����,這種留存不是過去的告警留存���,而是終端的�、網絡的�,甚至是資產的乃至企業(yè)級的各種原始數據。
第二�,全量數據的采集和存儲能力。安全威脅情報要發(fā)揮作用����,本地的很多數據要存下來,只有數據留存下來以后才能使威脅情報發(fā)揮基礎作用�。有些時候威脅情報可能是一個外部情報,如果內部沒有數據的話�,二者無法關聯得不到結論,也無法進行下一步的處置����。這個背景是大數據技術。
第三��,基于威脅情報的自動檢測與響應����。過去的響應動作都是人工的��,比如發(fā)現一個漏洞�����、發(fā)生一個攻擊���,手動進行相應或處置。但威脅情報有一個很重要的點就是可以自動化處理���,這種自動化處理不是設備聯動�,而是所有接受情報的設備�,它都能遵循情報讓它做的一些動作,來半自動或自動化完成一些響應����。所以,響應動作已經不是基于漏洞了����,它是基于情報做����,這是情報用好的一個關鍵點����。
“數據留下來以后可以做更多的事情�����,甚至是非安全的事情���,比如做挖掘���、分析等?���?蛻粢灿泻芏噙@種需求,比如在一些重要的銀行�,他們所做的業(yè)務安全的產品,都是基于這些數據來做的��。這種數據資產���,我們有時候說它很貴�,貴在哪兒�?不是存儲貴�,是采集的那一刻太貴了�����,它只有一次機會����。”吳云坤說�。
威脅情報只是“影子”升級改造才是內涵
當前,威脅情報一般包括信譽情報(“壞”的IP地址�、URL、域名等�����,比如C2服務器相關信息)����、攻擊情報(攻擊源、攻擊工具����、利用的漏洞�����、該采取的方式等)等。一般而言���,CERT��、安全服務廠商�����、防病毒廠商���、政府機構和安全組織發(fā)布的安全預警通告、漏洞通告�、威脅通告,就屬于典型的安全威脅情報���。
從威脅情報的種類看���,一般有四種。第一種是商業(yè)威脅情報�;第二種是開源社區(qū)提供的安全威脅情報;第三種是協作類威脅情報,比如美國和新西蘭�����,還有澳洲����、美國、英國之間協作性的情報�;第四種是內部威脅情報,也就是企業(yè)自身產生的威脅情報��。
無論威脅情報是什么種類���,從哪里來���,其背后是大數據及基礎設施。這意味著��,今天的防病毒����、防火墻等安全產品,以及無線安全���、移動安全��、云安全等場景���,都要采集數據,和情報進行結合��,做出響應���,從而形成一個基本的閉環(huán)����。
那么�,這是否意味著用戶要推翻基于規(guī)則的安全體系,或是重建一個新的安全體系�?
吳云坤表示,其實��,傳統安全體系的升級改造���,是部署威脅情報驅動系統的主要模式���。比如�,把現在已經部署的終端和網絡設備升級到具有采集數據的功能���,性能能滿足需求即可�,這能節(jié)省用戶投資��。這種升級改造����,一定是一個平滑的過程,而不是把所有的理念推翻�����。這包括兩點:
1.原來的防火墻等安全產品是有作用的���,絕對不能被淘汰�,因為它阻擋住了60-70%的普通攻擊���。
2.保護用戶原有的投資�。但是����,要用好現在的技術��,必須用新的思想來把這些設備真正用好�����。事實上��,吳云坤認為��,在原有安全設備中,沒有用好是主流�����,用好的是少量��,要用好原有設備��,在安全理念���、策略等方面要有新的突破��。
在安全大數據的方案建設過程中����,不存在一蹴而就,而必須循序漸進�����。企業(yè)首先可以在內網進行嘗試�;其次,數據收集起來以后����,絕不僅僅給安全部門使用,也用于其他的部門�,所以是分擔成本的;第三����,數據采集這件事情的投資,往往也不是大數據項目���,比如在網絡改造的時候就把防火墻換了�,然后做終端管理項目的把終端換了����,順帶把數據采回來,所以不是一次性投資��。
從產業(yè)來看,國內外的威脅情報產品��,尤其是國外的產品��,甚至可以免費��,但企業(yè)為了支撐情報發(fā)揮作用��,其相關的很多基礎設施����,包括防火墻��、防病毒全在發(fā)生變革����;所有這類產品都是與大數據關聯的,它不是只有情報就能發(fā)揮作用的����。
“威脅情報只是一個‘影子’,真正發(fā)揮作用��,需要改造過去很多傳統的安全基礎設施��,并且一定要跟大數據結合起來?���!眳窃评と缡钦f。
