360譚曉生:混合安全云“四兩撥千斤”
責編:admin |2014-09-09 15:40:26企業面臨的安全環境日趨復雜:每日新增/變種惡意代碼數量達300萬,每年發現的0DAY漏洞多達數千個,存在安全漏洞的網站占比為65.5%(360網站安全檢測平臺數據,2013),僅中國被APT木馬控制的主機就達到1.5萬臺(CNCERT數據,2013),DDoS攻擊泛濫(360網站衛士日均攔截6800萬次CC攻擊),尤其是針對DNS的攻擊快速增長……
在威脅不斷進化的情況下,企業安全供需矛盾愈發明顯。盡管安全體系建設的理論在實踐中得到升級,但無論從人、產品還是系統,并未形成行之有效的手段,其根本原因,是從事網絡安全與從事網絡犯罪的專業人才發展極不平衡。
針對網絡安全面臨的癥結,360首席隱私官譚曉生在接受硅谷動力采訪時指出,雖然斯諾登事件讓企業加強了對安全的重視,但企業安全管理人員不足的問題還很嚴重,甚至不少企業根本沒有安全專職管理人員。
這種情況導致的問題是,企業無法及時地覺察網絡攻擊。譚曉生提到某大型企業在年初遇到的情況:在外部暴露出明顯的安全問題之后,工作人員檢查內部安全設備發現告警,卻沒有人能夠判斷發生了什么情況。“安全專業性較強,安全設備的告警也有可能誤報,普通IT管理人員不一定看明白,只有安全人員才能看出哪個是誤報,哪個是真的有問題要深究下去。”他說。
四兩撥千斤:“云聚”安全打破人才瓶頸
盡管安全領域的就業形勢較好,學校也開始重視人才的培養,但在短時間內培養10萬數量級的安全人員并不現實。譚曉生指出:“現在的老師也不懂安全,我們通過進校講座等活動推進安全(教育),但這些人學成也得3~5年以后。”在人才存在缺口的階段,如何最大化利用現有的安全人才,是目前破解安全供需矛盾的關鍵。為此,360提出了混合安全云解決方案。
據譚曉生介紹,安全云是利用后端的云收集前端企業部署的安全設備的相關信息(日志、告警等),結合云端的分析程序和安全管理人員(云中心或第三方),以少數人管理多個企業的方式,來突破安全管理人員緊缺的問題。
通過云計算的形式實現威脅防御并不新穎,在對公有云接受程度較高的美國,Fireeye的未知威脅防護即是把大量的用戶設備直接連接公有云進行處理。然而,中國的管理體系導致企業連接公有云的主動性不高,出于對自身信息可控的考慮,更容易接受私有云的方式。
私有云以企業或政府機構為主體,依然屬于組織自身安全管理能力的范疇,在其能力無法觸及的底層安全問題,可以通過上報更“見多識廣”的公有安全云的方式解決。譚曉生說:“公有云連接多個私有云和中小企業,有更多的攻擊樣本和更專業的安全服務人員。比如360這樣的安全公司,運營一個大的公有云,數百名安全專家幫私有(安全)云排憂解難。”
安全云打造“智慧的大腦”
360提出的新安全模型為“云+端+邊界”,通過“天眼”、“天機”與邊界安全防御進行配合,實現全方位的安全管理。360混合安全云面向所有的安全設備開放,目前已經與網康、網神建立了合作伙伴關系。
在這個模型當中,安全云將傳統的安全設備納入安全防御體系之內,但云與終端、邊界安全的職能又有所區分。譚曉生表示,安全云實現的是全局的管理,而防護動作依然需要終端和邊界安全來執行。他說:“如果拿大腦和四肢來比喻,不管是終端還是邊界,都是網絡安全的‘四肢’,‘四肢’有觸覺能感知到問題;‘大腦’(安全云)指揮,給予威脅一個防御的動作。動作不可能在云里實現,一定是在邊界和終端上做。人和動物的區別在于人是智能的,而不是低級的防御。終端無法知道攻擊的厲害,‘大腦’知道。智能的‘大腦’幫你了解更全局的情況,了解攻擊來源和最終目的。”