网络安全领域,威胁情报已成热点,尤其是产业界。一方面,安全厂商陆续推出威胁情报相关解决方案;另一方面,创业公司也纷纷进入该领域。威胁情报,一时成为新的风口。
5月30日,360网神正式推出新一代威胁感知系统、新一代终端安全系统和新一代大数据智慧防火墙。据称,这是国内首个基于大数据安全分析和威胁情报的新一代安全产品闭环体系,将显著提升国内政企用户应对各类高级安全威胁的能力,改善企业面临的安全挑战困境。
“基于大数据安全分析和威胁情报”,这是360网神新一代产品的核心。显然,这与传统基于规则的安全产品老三样(防火墙、入侵检测、防病毒)有本质的不同,那么,这种不同到底体现在哪里,有什么意义?用户端又该如何落地?
高级威胁泛滥 安全产品“老三样”要赶趟
“过去常见的围墙式的防御(老三样),其实防的主要是一般的威胁,但对于很多来自境外境内的高级威胁来说,它逾越攻防是比较容易的。威胁情报的产生,就是针对高级威胁应运而生的。”360网神总裁吴云坤在接受记者采访时表示。
传统上,企业安全防护主要基于签名与特征码来进行检测与拦截,而现在大量攻击手段都可以绕过现有的防护手段,导致传统安全手段无法应对新型威胁的挑战。因此,传统的安全产品,特别是防火墙、入侵检测和防病毒系统,需要更新换代。
基于这一思路,360凭借多年积累的安全大数据,对最新威胁方式进行追踪,形成了持续更新的威胁情报,并将威胁情报应用于安全产品中,开发出了一系列威胁情报驱动的新一代安全产品,其中包括新一代威胁感知系统(360天眼)、新一代终端安全系统(360天擎)、新一代大数据智慧防火墙(360天堤)。
据介绍,360网神新一代安全产品实现了由规则驱动到威胁情报驱动的转变。
这种威胁情报驱动的安全产品与解决方案,不仅有效利用了各类威胁情报技术,更重要的是通过数据与情报的共享,实现了跨产品的集中式安全检测与自动化响应,无论是保护终端、网关、云,还是应用程序的安全产品,都可以借助威胁情报,增强检测和响应的能力,同时为后续的各类安全数据的分析和挖掘提供了数据基础。
新一代威胁感知系统——使用互联网数据发掘APT攻击线索,提升了客户发现威胁的能力;以威胁情报形式打通攻击定位、溯源与阻断多个工作环节,提升了客户对攻击回溯的能力。同时结合搜索技术提升数据挖掘能力,以及轻量级沙箱的未知漏洞攻击检测技术,提升了客户检测未知漏洞的能力。
新一代终端安全系统——除了包含原有的反病毒、终端管控产品,还包括了终端检测与响应、终端安全鉴定中心等新产品,是国内首款针对于高级威胁进行快速检测和响应的终端安全系统。产品可以持续洞察内网终端的安全活动信息,结合360大数据威胁情报等对内网沦陷终端进行快速的检索和定位,并提供针对于威胁事件的自动化响应和修复能力。
新一代大数据智慧防火墙——从过去的访问控制或特征检测,演进到针对网络流量的复合型检测和响应的新领域。基于NDR(基于网络的检测与响应安全体系)的全网应急处置响应能力,使防火墙能自动或在管理员干预下完成发现问题、分析问题、处置响应一体化流程。
建立大数据为核心的安全基础设施能力
安全专家指出,威胁情报驱动的安全,其背后是大数据分析。大数据分析已成为全球信息安全发展的趋势和方向,未来2年大数据分析将颠覆大多数安全产品的格局。Gartner预测,到2016年,40%的企业将部署大数据分析系统,专门应对信息安全。
吴云坤认为,威胁情报驱动的产品理念,将会引发对传统安全产品的“改造”和“提升”,赋予安全产品“思考”的能力,最终在企业形成安全大数据分析中心(大脑)加上安全软硬设备(手臂)的安全协同模式。
那么,当前对企业来说,企业如何才能在传统安全措施的基础上部署新的威胁情报产品?吴云坤表示,这需要企业具有“安全基础设施的能力”,它包括三个方面:
第一,大数据的采集能力。譬如,今天有线报表明有人会来攻击,但假若没有内网数据,用户根本不会知道是不是在内网发生,因此第一个要解决的问题是威胁情报要发生作用,做好数据的留存,这种留存不是过去的告警留存,而是终端的、网络的,甚至是资产的乃至企业级的各种原始数据。
第二,全量数据的采集和存储能力。安全威胁情报要发挥作用,本地的很多数据要存下来,只有数据留存下来以后才能使威胁情报发挥基础作用。有些时候威胁情报可能是一个外部情报,如果内部没有数据的话,二者无法关联得不到结论,也无法进行下一步的处置。这个背景是大数据技术。
第三,基于威胁情报的自动检测与响应。过去的响应动作都是人工的,比如发现一个漏洞、发生一个攻击,手动进行相应或处置。但威胁情报有一个很重要的点就是可以自动化处理,这种自动化处理不是设备联动,而是所有接受情报的设备,它都能遵循情报让它做的一些动作,来半自动或自动化完成一些响应。所以,响应动作已经不是基于漏洞了,它是基于情报做,这是情报用好的一个关键点。
“数据留下来以后可以做更多的事情,甚至是非安全的事情,比如做挖掘、分析等。客户也有很多这种需求,比如在一些重要的银行,他们所做的业务安全的产品,都是基于这些数据来做的。这种数据资产,我们有时候说它很贵,贵在哪儿?不是存储贵,是采集的那一刻太贵了,它只有一次机会。”吴云坤说。
威胁情报只是“影子”升级改造才是内涵
当前,威胁情报一般包括信誉情报(“坏”的IP地址、URL、域名等,比如C2服务器相关信息)、攻击情报(攻击源、攻击工具、利用的漏洞、该采取的方式等)等。一般而言,CERT、安全服务厂商、防病毒厂商、政府机构和安全组织发布的安全预警通告、漏洞通告、威胁通告,就属于典型的安全威胁情报。
从威胁情报的种类看,一般有四种。第一种是商业威胁情报;第二种是开源社区提供的安全威胁情报;第三种是协作类威胁情报,比如美国和新西兰,还有澳洲、美国、英国之间协作性的情报;第四种是内部威胁情报,也就是企业自身产生的威胁情报。
无论威胁情报是什么种类,从哪里来,其背后是大数据及基础设施。这意味着,今天的防病毒、防火墙等安全产品,以及无线安全、移动安全、云安全等场景,都要采集数据,和情报进行结合,做出响应,从而形成一个基本的闭环。
那么,这是否意味着用户要推翻基于规则的安全体系,或是重建一个新的安全体系?
吴云坤表示,其实,传统安全体系的升级改造,是部署威胁情报驱动系统的主要模式。比如,把现在已经部署的终端和网络设备升级到具有采集数据的功能,性能能满足需求即可,这能节省用户投资。这种升级改造,一定是一个平滑的过程,而不是把所有的理念推翻。这包括两点:
1.原来的防火墙等安全产品是有作用的,绝对不能被淘汰,因为它阻挡住了60-70%的普通攻击。
2.保护用户原有的投资。但是,要用好现在的技术,必须用新的思想来把这些设备真正用好。事实上,吴云坤认为,在原有安全设备中,没有用好是主流,用好的是少量,要用好原有设备,在安全理念、策略等方面要有新的突破。
在安全大数据的方案建设过程中,不存在一蹴而就,而必须循序渐进。企业首先可以在内网进行尝试;其次,数据收集起来以后,绝不仅仅给安全部门使用,也用于其他的部门,所以是分担成本的;第三,数据采集这件事情的投资,往往也不是大数据项目,比如在网络改造的时候就把防火墙换了,然后做终端管理项目的把终端换了,顺带把数据采回来,所以不是一次性投资。
从产业来看,国内外的威胁情报产品,尤其是国外的产品,甚至可以免费,但企业为了支撑情报发挥作用,其相关的很多基础设施,包括防火墙、防病毒全在发生变革;所有这类产品都是与大数据关联的,它不是只有情报就能发挥作用的。
“威胁情报只是一个‘影子’,真正发挥作用,需要改造过去很多传统的安全基础设施,并且一定要跟大数据结合起来。”吴云坤如是说。