微軟邵江寧:基于智能的網絡安全的對策
責編:rhliu |2016-11-14 15:48:46邵江寧:各位來賓、各位友商大家好,我今天給大家交流的也是一個人工智能在安全方面結合的應用,在講這個之前我們還是想做一些微軟最近的變化的介紹。
過去講微軟大家都知道是操作系統Windows、Office、PC機等等,但微軟在最近10年 有了很大的變化。首先對自己使命的定位從最早的創始人比爾蓋茨的讓每人家里都有一臺PC機,到我們希望幫助星球上的所有人能利用最新的IT技術完成更多的工作。
圍繞著這個使命,我們也希望給大家打造安全放心的平臺和服務,我們在考慮安全的整體戰略的時候是圍繞著三個中心點。
第一,是平臺戰略。平臺必須從設計安全還有運維安全以及安全的基礎的架構服務能保證大家在這個平臺上用的是安全的。
第二,我們平臺在新的形式下,今天是萬物互聯的時代,每天每時每刻有大量的數據產生,數據的量是爆炸的姿態,憑借人工已經不能滿足今天時代的要求,所以我們在安全的防御和整個的應對流程中引進了人工智能的基礎的知識,它實際上是貫徹到的,或者說在所有的平臺上主要的安全服務背后都有人工智能的廣泛支持,而不是一個特定的產品。
第三,我們要跟小伙伴們一塊兒努力把安全做好,因為今天的安全已經不是一個人、一個廠商自己的責任了,而是所有生態系統的責任。微軟在自己的平臺上越來越開放,我們為很多的安全廠商開放安全接口,他們可以跟我們的產品和平臺做深度的集成,可以把里面具有特色的非常安全的服務集成到平臺上,不僅僅是Windows平臺,還有云計算平臺都集成了大量的第三方的安全伙伴的服務。
我們要考慮安全風險北方要放在大背景下我們不能脫離時代所處的大背景考慮這個問題。安全的問題,昨天和今天的各種分論壇有廣泛的討論,一方面這是一個偉大的時代,我們有很多突破性和創新性的技術,在各個不同的行業做更深入的集成,讓我們的生活和世界變得更美好。
另外一方面我們在一些陰暗的角落里有一些惡意的破壞分子做了很多壞的事情,這里面有一些數據來顯示事情的嚴重性。普通用戶對網絡攻擊的安全意識是很低的。有數字表明很多的安全攻擊系統被黑了以后,用戶要花200多天的平均時間才知道自己被黑了,很多的安全論壇都看一個笑話是說世界上有兩種人,一種是已經已經被黑的,另一種是正在被黑的。
我們對安全的最大的挑戰是關注在最有價值的領域,網絡層面是身份的問題,一旦你身份被侵入了或竊取了,實際上身份下所擁有的所有的網絡的財產的數據都被占有了,所以身份是網絡安全的關鍵的環節。網絡安全和網絡攻擊造成的絕對的經濟價值的損失也非常大。
麥肯錫在2014年達沃斯論壇發布了一個報告,全球互聯網經濟創造的價值15%到20%被網絡犯罪損失掉了,里面有一個絕對數字很驚人是5000億左右,對普通的商業公司來說,由于它的系統被黑或者網絡被黑,造成的商業損失達到了3500億美金左右,這給我們一個衡量,為了應對這個風險值得用多大的投入來做保護的工作。
今天攻擊的特性也有很大的變化,傳統的很多網絡安全的技術有這么一個假設是御于國門之外。外面的壞人基本上都位于網絡邊界以外,我們防御的是外部的威脅。今天的邊界已經消失了,我們發現大規模的網絡的攻擊很多是因為身份的竊取造成外面的攻擊者從外面到內網造成了內網的被攻擊,這是一個重大的安全風險的改變。
今天的網絡攻擊平均造成的損害也更大了,因為網絡和信息技術已經滲透到所有的環節了。所有的互聯網技術安全已經跨越了,它跟生命財產的安全已經緊密掛鉤了。所以網絡安全的威脅性會比過去有很多的變化。
這邊是我們從更細的維度上考慮一個企業如果要構建自己安全的防御的策略應該從幾個方面考慮,這是一個非常經典的策略,三個方面。保護、探測、響應,從概念來說安全響應事件的理論大家都已經很熟了,可是具體怎么做怎么用這個策略呢?
真正落地,在現在的技術的環境里,社會的威脅環境里把它真正地實現,其實里面有很多的內容可以說。保護這塊是說今天是一個物聯網的環境,它只是一個端,這個端只是從非常小的物聯網的傳感器的端到非常大的服務器的數據中心的端都可以叫端。端的特性和顆粒的細度也不太一樣,不同的端要求著不同的保護和探測的要求。
第二是探測,今天跟過去的時代相比有很大的不一樣。今天探測的不僅僅是一些我們所說的傳統的安全事件這一塊。我們需要從原始的網絡或者是用戶的元數據里,希望做更進一步的分析,能夠把它變成一種用戶的行為數據,用用戶畫像的數據和惡意的行為作比較。從這方面來降低安全情報或安全威脅報警誤報的比例。
最后是鄉音這跟過去不一樣了,過去安全事件我們有幾個小時甚至是幾天的時間去調查根源和做彌補措施,今天由于關鍵基礎設施的影響非常大,對當機和服務損失的容忍程度更低,要求我們的響應是幾乎實時的,甚至是秒級的反應。同這個程度來講,傳統的人工的響應方式已經不能滿足要求了,必須借助自動化的以機器學習和人工智能為輔助的自動化的方式來進行響應。
這是我們對一個典型的網絡攻擊做的畫像,我們講的APT的攻擊是鏈條式的殺傷過程,都是有非常復雜的、非常精細化的特點。包括是從前期的情報收集到網絡攻擊武器的定制,一直到最后黑客利用工具突破了你的系統,竊取了你的身份,在你的網絡里為所欲為,整個的鏈條是非常長的。
應對今天的威脅,客觀上我們需要新的工具,過去很多的工具和方法論有很多的問題。
第一是傳統的IT的安全技術或者是安全解決方案,不管是箱式的還是軟件應用式的都很復雜,是需要有良好培訓的系統管理人員或者是安全分析人員定義規則和定義模板,定義完規則以后,系統才會依據規則進行逆轉。今天的網絡形態非常多樣,殺傷鏈的角度來說,很多非常復雜的攻擊形態沒有特別固定的指紋庫或者是規則庫可以參考,這又意味著所有的傳統的安全的方法不太適應今天的環境了。
第二是容易誤報,我們過去做過安全響應工程師的人都知道,SIEM理念日志報告是上千上萬級的,而且其中你要手工分析的話,可能一千條里面99%的LOG都是誤報數據,可能有一兩個是真實的報警。
在今天的大叔據時代,從海量的數據里再進行人工的篩選基本上不可能了,從時間響應的時效性上也不能滿足這個要求。還有邊界防護的問題,邊界已經消失了,我們今天很多的攻擊都是由于身份被竊取,惡意攻擊者從網絡內部發起的攻擊,我們傳統的防護的手段不能應對這樣的分析。
我們在新的時代怎么做呢?回到前面講的三個戰略,微軟中國是按照這三個戰略來做安全的保護工作,第一是平臺、第二是情報,第三是合作伙伴。
我們先從平臺講,要設計或者是提供一個安全的平臺我們有幾個關注的焦點、身份,身份是一切,在網絡里所有的用戶都是某一個身份的虛擬化的識別符。第二是設備的安全,如果本身的設備安全或者是設備層面的安全防護沒有做到位的話,黑客很容易侵入你的設備奪得控制權。第三方面是應用和數據層面,應用出了問題了,后面的數據也會被惡意地全面控制,還有基礎設施,它是一個分層的概念,哪個層面出了問題,整個安全的保護就會坍塌掉。
講到安全平臺的時候我們提到了微軟在所有主流的產品里,不管是Windows平臺,Azure的平臺,SaaS的平臺所有的平臺都集成了基本的安全服務,我們盡可能地做到不被覺察的。在背后使用了一個智能的虛擬的安全的保鏢為你提供基礎的安全服務,我不花時間介紹了。大家都可以知道,比如說Windows10的平臺上集成了很多安全的特性,下一代的身份認證,威脅的防護還有數據的保護我們都有很多新的特性。而對安全進化和創新的速度的不掉也在飛速地加快。
第二平臺的第二個要素是智能,intedligence而有兩種翻譯,有一種是智慧,智是認識慧是處理,你要時時刻刻地了解整個網絡里攻防的態勢,這是我們所說的安全的智能安全情報。微軟在這邊有非常獨特的優勢,PC機時代微軟是霸主,我們今天同樣在整個世界里,在全球有很多大量的PC機的用戶,他在使用我們產品的時候會主動地向微軟的安全服務團隊提供各種安全的事件的報告。
這些報告可以在后臺進行梳理,能夠歸總成一個全球性的網絡安全的情報,可以告訴大家什么時間、時間地點在網絡里會有什么樣惡意的攻擊會發生,我們利用這個安全情報能提供有的放矢的安全防護。
前面講到傳統的安全保護的方法或者是方式已經不適用了,今天我們需要有新一代的安全防護的方法,它是以人工智能、機器學習大數據驅動的安全防護的保護形式。具體講我們有關鍵的組成要素。第一是行為分析,這和過去基于統計的數據的安全規則的定義是完全不一樣的,它能自動在網絡里收集用戶的網絡行為,對用戶進行行為畫像。
安全報警的時候會用在大背景下比較,可疑的行為和正常的用戶畫像比較有沒有區別。如果是應該有的行為自動把報警過濾掉,直至某一個報警跟正常的行為方式不一致,會產生真正的報警,大大地削減了誤報的概率。兩邊加在一起就是新一代的高級探測。
它舉行什么樣的特點?第一是快速,它不需要你創建規則,機器自動畫像,這不像過去是一個黑名單,更多是一個白名單,描述了用戶正常的是什么,在此之外就是不正常。第二是自適應,可以自動滴進行用戶行為的學習,自動地感知一些惡意的攻擊 和流量。第三是提供非常透明的科室華的信息,是按照時間的極限把用戶的行為進行很好的畫像,它從攻擊的角度上也是按時間的軸線把攻擊的行為進行畫像的。
提供一個以時間為基準線的攻擊行為的整個的分析,這樣對后面真正的安全響應如果想調取或獲取甚至是決定下一步完全響應的時候有充足的信息進行支持,還有警報適時,會準確及時地給你提供報告。
具體的原理我們是希望通過四個步驟的介紹給大家做分享。
第一步是分析,分析包含著對各種網絡可以流量事件的采集分析,它是跟SIEM做集成的,也可以利用SIEM中的很多的流量,而且攻擊方式是隱身的,不容易探測到我在某一個機器上或用戶主機上跑的安全進程,避免被發現。
第二是學習,在用戶網絡里或用戶主機上抓取或者是學習用戶正常行為的畫像,這樣劃定一個可行的邊界。
第三,他能夠找出一些異常的行為和刻意活動,而且當前刻意活動跟它背景有關聯的時候,才會進行報警,不會報出大家覺得無語的非常荒謬的警報。
第四是報警,我們提供了非常簡單明了的界面,以時間為軸線,把攻擊所有的細節展示出來。第二是提供比較全面的攻擊行為的描述,誰什么時間做了什么工作,每個可疑的活動我們后面有智能的分析提供一些建議。這是從智能的角度上做得非常深入了,不僅告訴你發生了什么,而且告訴你怎么做。
我們能識別的攻擊行為舉一個例子,既有在網絡攻擊鏈條里起初的攻擊行為,我們就能非常早地知道黑客有這個惡意企圖做什么事。第二是及時發現身份竊取的可疑活動。第三是惡意的黑客或攻擊者已經進入到網絡里面,在內部做橫向拓展的時候能準確地識別批著羊皮的狼。第四,我們對特權提升的行為特別做關注,包括用一些所謂的填漏洞進行特權提供的行為我們也會特別關注。最后我們還會放在一個大的網絡的部署環境里來進行相關性的問題。
比如說站在一個預操縱的層面上發動的某種攻擊一般是難以發現的,這時候我們也會從對預操縱的惡意攻擊的行為也會有自動的智能識別。這是我們對惡意攻擊行為會提供一種基于時間軸線的報告,這邊是報告的樣板。后臺是基于云計算、大數據、機器學習的后臺,這是一個邏輯的架構,不是一個實體部署的架構。
總結一下,所謂基于機器學習、人工智能的高級威脅分析的服務功能葉具備了這樣的一些特性,第一是在今天支持移動互聯萬物互聯的環境,可以根據所有的設備平臺做無縫的集成,可以跟安全大數據SIEM平臺做無縫集成,而且能夠在各種不同的異構的軟硬件的平臺上做集成形成虛擬環境。
我們把安全服務做成做成站在后面看不到虛擬化的報表,隨時地保護你,這種部署已經部署在SaaS環境里,很多用戶用過Office365基于云的SaaS服務,后臺已經無縫地集成了高級威脅保護的功能,時時刻刻像不知疲倦的保鏢來保護用戶的安全。整個的效果我們做了匯總。
第一,我們會非常快速地發現攻擊行為;第二我們永遠比別人領先,我們做的是敵人攻進來的一剎那可以發現它并把攻擊行為的損壞降低。第三,我們能比較清楚地描述安全和攻擊的細節。第四,我們希望降低安全工作人員和安全廠商的勞動復合,減少誤報。
除了講安全我們還想強調一下,安全是一種能力,是一種狀態,但安全不是最終的目的,安全不是你使用今天信息技術的一個主題,我們希望提供安全的戶保護的能力來提高大家對使用新技術的信任,讓大家可以放心舒心地使用技術。我們不僅僅是在安全這邊做得非常多,同時也遵守全球各個地方的法律法規的監管的要求,滿足國家安全可控的要求。
其次,我們在增安全的時候也對隱私非常敏感,我們滿足全球主要的隱私監管的規定,這樣大家在使用安全服務的時候,很放心,我們不會對擁護和安全服務過程中收集的用戶數據進行挖掘,不會對你進行垃圾廣告的推放。最后我們做到透明,對我們所收集的用戶的數據,誰訪問了這些數據做了什么事,我們提供全程可追訴的日志,這樣保證用戶的數據在整個安全服務平臺和生命周期里是透明的。
我的介紹就到這里,謝謝大家!