今天,全联接已成为一种新的常态。人类社会因为发展的需求,联接已经从物理世界延伸到数字世界。越来越多的个人、企业、组织和机构加入了全联接的世界,眼镜、手表、甚至是家用电器,健康检测等终端产品都在向智能化演进,在与人类的活动建立起数字的联接。
泛在的联接在高速发展,传统的安全结构却正在逐步瓦解,联接技术要求更加敏捷和无处不在,同时又需要确保安全可靠与保护数据隐私,而保障安全可靠和数据隐私防护就要克服泛在化的安全漏洞、风险、防御持续恶意的入侵。摆在我们面前的是不断变化的互联网与不断升级的威胁,这种变化升级,不断挑战着我们的安全思维。
Yes, the change challenges today's security thinking. RSA 2015安全会议的主题耐人寻味,安全,是要爆发一场灵魂深处的革命么?
今年最炙手可热的几个安全关键词是“高级威胁”、“安全智能”、“威胁情报”。人们在经受了长期的攻防态势失衡焦虑之后,终于意识到常规的安全防御很难解决高级的定向攻击,个人与普通组织也无法对抗专业黑客组织甚至国家级安全机构的网络攻击。于是,大家集体转向了“intelligence”。“intelligence”这个词具有双重含义,一方面是“Threat Intelligence”即“威胁情报”,一方面是“Security Intelligence”即“安全智能”,正好用来应对“高级威胁”。
“情报”和“智能”之间是什么关系?情报是支撑一切安全机制实现智能化的基础。大家最初的安全意识一般从接收到各类安全事件而来,病毒特征库从病毒样本以及安全分析人员对于计算机病毒的多方面认识与经验而来,IPS特征库从系统漏洞的技术原理及网络攻击报文样本特征分析而来,沙箱行为模式库从各类文件实体在计算机网络环境中的运行特点及其可能造成的后果判定而来。
“intelligence”使得我们能够开发出下一代安全产品与专门防御高级威胁的BDS(Breach Detection System)产品,包括NGFW、NGIPS、NGSOC、NGSIEM、APT沙箱、大数据安全分析系统以及云化的安全智能中心。新一代安全产品有一个显著的共同点,都是采集大量环境数据与样本数据,综合大量单点检测结果,更多地使用数据分析工具与技术,实现以下目标:
一:快速响应能力(Reactive),实现综合研判、精准事件、快速闭环。
从安全网关角度而言,NGFW与NGIPS都通过集成更复杂的环境数据来加强检测能力,以及提升告警的精准度。而作为后端系统,传统SOC与SIEM产品已在一定程度上具备安全事件综合研判的能力,但由于技术与架构所限,难于处理非结构化数据,也无法关注到大时间窗里的海量威胁情报数据,更无法实现实时流的分析。安全运维人员希望做千万级亿级事件记录集调查时,系统能像搜索引擎一样快速反馈结果。大数据安全系统应运而生。有了大数据平台就可以轻而易举地处理亿万级别的情报数据,可以针对某一事件综合研判,过滤掉冗余、干扰与错误信息,提高应急响应的及时性。
二:预警能力(Predictive),通过已知威胁推演未知威胁,提升威胁感知能力,实现威胁的早期预警。
如果以2014年为分水岭,那么2014年以前,对于安全能力,用户一般只关注安全产品对已知威胁的覆盖程度,而2014年以后,已经有更多用户开始关心哪些安全产品可以防御未知攻击,用户甚至希望能够有技术手段识别社会工程学攻击。
那么,是否能以已知威胁的检测知识为基础,扩展到对未知威胁的感知能力呢?基于各类基线的异常检测、可视化的数据特征呈现、威胁检测模型的动态扩展、基于运行结果的代码逻辑分析、基于机器学习的相似度分析、人机行为模式差异度分析、多维度的安全信誉度评估,以及多种大数据分析方法,都有可能提供从已知跨越未知的桥梁。一旦这些方法变得稳定实用,对于潜在威胁的早期预警能力也会大大提高。在与攻击者的对抗过程中,可以有更从容地组织、实施防御方案。
三:前摄能力(Proactive),通过威胁情报的共享,防御机制的联动,构建敏捷协同的威胁前摄型安全体系。
威胁情报可能是威胁攻击的本体数据,也可能是它的描述数据,或者是结构化的机读数据。随着大家对威胁情报的重视,这类数据的信息规范化与使用规范化已经成为非常明显的一个趋势。威胁情报的共享机制最终会演变为社会化计算平台上的一种业务。各个相对封闭的系统中,威胁情报的生产者同时也是消费者,在整个互联网世界里,不同系统所生产的威胁情报又为其他系统所用,大家互惠互利。
目前而言,威胁情报只在小范围内实现了局部的规范化与自动化,还未在安全行业形成事实标准。这中间只是时间问题,很快会出现开放的威胁情报运营中心,并快速形成行业联盟,推动更多安全厂商的产品基于标准实现设备与设备之间威胁情报交换,让在线系统更加智能、敏捷,从而实现全网安全防御系统的实时协同,提高整网安全水平。
在今年的RSA大会上,创新沙盘依然会点燃大家的安全思维。预计创新主题将会聚焦在威胁情报管理、大数据安全分析以及未知威胁检测方面,让我们一起期待最具创新价值的安全厂商现身。中国作为网络大国,中国安全厂商在RSA大会上的表现倍受关注。据悉,包括华为在内的众多国内安全厂商会带着沙箱等创新产品高调亮相RSA。中国安全厂商的表现值得我们期待。
立足当下,展望未来,以下安全趋势将成为业界在未来几年内所密切关注的重点:
1、随着沙箱与大数据分析产品的兴起,主要的技术挑战来自于更有针对性的高级躲避技术,包括anti-debugging、anti-vm、代码流混淆与数据污染等。
2、DDoS攻击与僵尸网络的治理进一步掀起“安全即服务”的云化运营高潮,并在运营商与数据中心以及安全厂商间形成商业模式。
3、新的威胁继续大面积爆发在互联网基础设施与主流基础软件上,如同2014的 OpenSSL Heartbleed以及 Linux bash漏洞。
4、数字空间犯罪组织可能会针对互联网金融以及日益开放物联网与工控网发起致命攻击。
5、移动智能终端的安全直接影响人们的工作与生活,甚至影响到运营商的LTE网络。
6、国内出现开放的威胁情报共享组织,并快速形成行业联盟,推动更多安全厂商的产品基于标准实现设备与设备之间威胁情报交换,在线系统更加智能、敏捷,从而实现全网安全防御系统的实时协同。
7、企业与云数据中心更注重构建可持续的安全运维能力。更智能的安全运维平台、更高级的安全运维工具、更便捷的安全运维服务将广受关注。
8、中国网络安全的法治化建设进入发展的快速通道,中国互联网安全治理形成政府与民间联手合作的双轨化运作。国内安全产业格局正在发生巨变,全球网络空间安全格局所受的深远影响也将逐步呈现。