楊大路:安全智能連接傳統安全措施
責編:rhliu |2016-11-11 17:40:27楊大路:很高興今天能在這里與大家分享工作中的一些想法和觀點。前面的嘉賓更多講的是云上的安全,我這個議題和大家分享一些,因為在很長一段時間內,企業客戶更多的自查和安全還會依賴于傳統的安全措施和安全服務來解決。傳統安全措施和服務,隨著技術和黑產攻擊的深入升級,我們如何把傳統安全措施用好,可能需要云上新興出現的技術、服務和能力連接起來,更好保護企業安全,能夠持續、運營、工作。
安全智能。
安全智能如何在傳統安全中發揮作用?安全智能包括一些方向,包括現在熱門的資產和漏洞,這兩年最熱門的威脅情報以及傳統事件情報,并且可能還有一些安全措施。因為我們只告訴你有問題。
如何解決問題是傳統企業中比較頭疼的,因為新的問題,新的漏洞情況層出不窮,管理人員、安全運維人員如何解決新出現的問題和新出現的事情呢?情報措施也是很關鍵的,我們需要指導或者閉環處理一些問題,包括更高級一些的業務戰略情報或安全需求情報會更多指導我們企業做安全方向決策和方針制定、規劃制定。
安全智能(安全情報)從理念走向落地。
隨著這兩年,安全智能或安全情報概念,逐漸從全球范圍內逐步落地,國外廠商和用戶把理念、概念會更多落實到具體的工作當中。FireEye今年上半年收購了iSIGHT做情報收集的公司,整合完以后,它向全球用戶提供了全方位的安全智能解決方案,包括融合上述運營相融合的情報,把情報和安全智能、安全情報、自動化響應做了整合,更好支撐分析師和安全運營人員做更好的分析工作。
IBM目前在安全智能方面做得非常好,不僅把X-Force安全措施做了整合,今年很大程度上挖掘了人工智能Warching(音),試圖用人工智能和安全情報解決安全運維、安全分析、安全響應等工作。國內也有一個情報聯盟,我們也把相關安全智能數據、服務整合到一塊兒。
通過智能化分發給更多傳統安全設備,包括高級威脅檢測、WAF、終端安全檢測,傳統的SOC平臺,IBM Rredar和啟明的漏洞管理平臺,我們把情報和安全智能服務整合到更多的產品當中,可以為企業的安全措施做升級,云地協同,通過安全情報把這些技術連接了起來。
安全智能(安全情報)落地困境。
這一年工作中很多用戶想用安全協同的理念解決問題,但遇到了一些問題。傳統來講,影響企業客戶做技術升級或更新換代幾個主要的問題:
一是現有的,游戲是國內的安全設備對新技術、新方案的支持,現在還在逐步上線和開發階段,市面上很少有設備能找到支持的方法。
二是國內安全運營中心(SOC)建設不是特別理想,真正在國內成功運營的SOC安全運營中心ARME(音)屈指可數,不是特別樂觀。
三是美國和國際標準化組織對統一威脅格式的標準推進的還是比較快的,國內因為追隨國際說的步伐,現在還沒有正式出臺統一的國家標準來支持不同卡廠商之間的威脅信息或安全信息協同的標準。
四是企業安全管理者也對使用這個技術的設備,因為目前案例比較少,目前剛剛在國內落地階段,上了新的設備和技術以后效果會不會比原來有很大的提升,信心也還是不足的。
五是國內因為廠商很多,廠商之間的競爭導致跨廠商之間的生態協同做得不是特別好,我也很高興地看到包括騰訊在內的很多大企業也認識到這個問題,也逐步地想辦法解決跨廠商生態協作、生態合作的問題。相信在未來一兩年當中會得到很有效的推進和解決這些問題。
安全智能(安全情報)實施三步走。
遇到問題,我們還得解決,很多用戶和傳統企業和我交流時就會有個疑問,我們如何把這些新的技術與傳統措施結合起來,該怎么做呢?我大概總結了一下三步走。
第一步:快速部署、體驗成效。
很多企業安全管理人員對這個新技術是缺乏信心的,要建立信心最好的方法是讓他用。我們找到一個案例、領域、方向或設備在他的企業里部署,能讓他看到傳統的,和沒有釋永信技術的設備和手段效果有區別。國外的設備或新興防火墻或安全設備已經大面積地支持了新的安全智能技術。國內也逐步有一些廠家設備開始小范圍地在各用戶那邊部署和應用案例。所以,快速的部署是我認為最先應該嘗試的,這樣可以建立一些信心。
第二步:深入改造、全面使用。
建立信心以后,我們會尋找權威的或者有比較多案例的安全情報服務,采購一些安全情報服務,因為安全情報是個知識,它不能直接發揮作用,所以,要更多地和現有設備、系統平臺做打通。最好的方法是改造或升級我們已經建好了SOC平臺和運營中心整個業務流程,把外部云上情報服務、數據服務和本地化,通過SOC進行深入連接。如果有條件,已經建了大數據安全分析平臺等等,更強分析能力或運營能力的企業可以嘗試地把這些外部安全能力或數據服務,與我們大數據分析結合起來,效果應該會更佳。
第三步:體系轉變、聯動響應。
前面兩步實施都比較完善時,我們就可以考慮是否轉變我們運營安全體系的思想。我們原來講到邊界防御、縱深防御、自適應、塔式防御等,整個體系要重新思考一下,因為新的能力,云地協同技術、方案或新的形式發展,我們更多地考慮如何管理外部的情報或安全知識,可能需要做一些管理平臺或升級整個運營模式,以情報或智能驅動整個安全運營機制。
我們最終目的,也是做安全的人想了很多年,做了很多年就是智能化設備的協同響應,讓真正用機器帶解決機器該解決的問題,而不是投入大量的人輔助機器,或者讓機器輔助人,逐步會轉變為機器做更多的事情。
安全智能(安全情報)應用典型場景。
最后介紹一下安全智能的應用場景,把傳統的應用場景打通。
1、漏洞情報和資產管理進行打通,實現資產管理的自動化響應。
互聯網、安全廠商經常會有一些新的漏洞通報,這些漏洞作為情報引入到企業當中后,它會和資產管理或SIEM聯動,發現企業內部有多少設備,多少資產,會受到這個漏洞的影響,同時,可能情報里會告訴你,我們需要打補丁或什么樣的處理方式,會自動化通過服務器把補丁提前下載到本地來。
同時,還會觸發臨時性的掃描任務,對內部資產進行更新掃描,和歷史資產庫做加和統計,看最終在企業里的影響范圍,最后觸發一個補丁任務,有可能是自動化的,有可能是人工的,把涉及到的資產漏洞打上補丁。
我們可能有些經驗,下載文件或通知說去打補丁,補丁有沒有打成功有沒有生效還需要后面自動化的確認和修補跟蹤。讓總部或安全運營中心的人員看到整個漏洞修復態勢,修復了多少,整個趨勢是不是收斂的狀態,這樣就可以把我們每次發現漏洞然后不知所措的情況,通過自動化的方法把效果進行提升。
2、把威脅和個人辦公上網行為進行自動化聯動。
可以通過云端、情報或導入到上網行為管理或上網代理服務器,通過上網行為日志動作的觸發對已經明確不允許訪問或有風險的進行提示或直接阻斷。當產生阻斷或審計事件觸發時,我們會通過觸發的結果自動化地向終端管理服務器、病毒管理服務器下發策略去做檢查。看這個終端為什么訪問了不應該或者比較敏感的目標,把檢查結果再反饋回來做人工或自動化處理。
病毒查殺或終端強制它下線動作,可以理解為,我們通過外部資產把上網行為管理,代理服務器,終端管理打通,做到設備間的自動化聯動。這是把威脅情報和高級自動化檢測響應打通,通過云端整合了多元數據服務,把這些威脅信息下發給流量檢測設備、威脅檢測設備。
比如IDS、APT檢測設備,通過這些情報、行為、日志的比對、碰撞以及規則的升級可以發現一些異常,會產生一些告警。這些告警原來一般管理員很難看懂或天天有人有時間盯著他看,這時候會觸發自動化的,在告警里有問題的時候會把問題傳回云端,對云端進行關聯分析和溯源,發現更多的問題以及和這個問題相關的歷史上的問題。
歷史上有沒有更多的行為,把歷史上的行為特征、問題指標取回本地設備里,再做檢測,發現更多的問題,做問題的擴展,做高級威脅、持續性威脅的發現,通過一個線索能糾出更多企業內部的線索,也能解決企業比較難的溯源分析,調查取證里,因為我們沒有這么多的專業人員通過自動化聯動,有可能發現企業內部更多已經成功入侵的威脅或案例事件。
3、安全智能與大數據分析平臺的自動化響應。
我認為安全智能與大數據分析相結合應該是最典型和最有可能出效果的使用方式,我們現在也能看到,不管國外的賽門鐵克、FireEye、國內安全公司會定期發布比較全面的安全報告,包括“海蓮花”等等,威脅報告或安全報告出來以后到企業除了呈給領導、安全管理員看,他怎么自動化響應呢?
報告有很多內容,每個內容有可能我們都可以通過自動化的方法解讀它,比如它里面有一些ROC、攻擊目標或影響范圍,我們可以觸發相應的大數據檢測,去發現很多的告警。
比如它有什么進程,修改注冊表等信息,把信息相關聯的數據提取出來做預解,包括APT文件,以及資產信息、使用的漏洞等信息提取出來,把所有匹配過的數據做個告警。把這些告警組再進行關聯可以看到事件的全局,安全威脅情報相關聯的事件影響了多少資產。
有沒有什么問題,哪些服務器、終端、人,他和這些相關聯,脆弱性在哪兒。我們把所有的告警組合分析起來就能真正地升級為比較高級的安全事件,比較好的安全措施的情報也是很關鍵的。
安全里會帶著響應規則,比如POC,防護建議措施,打補丁措施,緩解措施,需要有什么標準。大數據平臺內部也有防火墻,什么品牌型號的漏洞掃描設備,企業內部有什么品牌型號的終端管理軟件,它通過這些措施響應規則又會自動化地觸發這些傳統措施。
根據這些事件影響到的范圍做提前的緩解或自動化緩解措施。比如他給有風險的三個終端在防火墻建立臨時的阻斷策略,不允許外部什么訪問可達這個終端或者臨時啟動一個掃描方案,針對有特點的IP段或者針對有風險的資產進行全方位的漏掃。
今天我給大家分享的就是這些案例。謝謝大家!
上一篇:騰訊吳昊:移動安全威脅