NSC2013 中國網絡安全大會2013論壇一 綠盟科技 趙糧
責編:rhliu |2013-12-11 12:40:00趙糧:大家上午好,我這部分內容是在兩周前我們有一個安全的峰會,我在那個時候跟大家分享過。我給大家分享一下我們關于在下一代安全領域,有一個重要的特性,我們稱之為叫安全協同,我們認為這是一個很重要的技術創新的一個方向。它影響著我們接下去三五年的網絡安全這個體系的有效性和效益。我把這一點給大家做個分享。這個圖以前我在別的場合下使用過,在報告里也看到過。
我們每一個組織你可能是關注的,是其中的某一個,你可能關注的是廣譜的,個人的那部分,也可能關注其他的,就目前來看,我們現在做得比較好的,我們說的是廣譜的,它的特點是什么,就是我們每個組織受到的攻擊差不太多,這有什么好處呢,就是我們防御一方,就是我們比較容易獲得它的樣本,我們比較容易了解它的攻擊的機理,從而找到它的防御的對策和方式,考驗我們的就是你有多快,你有多全,很快的,很全的找到對應的措施布置上去就好了,但是在偏下面這一側,這個叫定向這一側,高級軟件,高級威脅,加了A的,它有什么特點,就是你遭到的攻擊和我遭到的攻擊不一樣,我們管它叫未知攻擊。不可能有絕對的攻擊,它還有一部分是相對已知的,我們考慮問題的焦點就會落在說我們怎么樣去在原來的基礎上,我們做得還不錯的工作的基礎之上,怎么去發現我們對這部分相對未知的這部分的檢測,要做好這一部分呢,其實并不那么容易,我舉個例子,現在攻擊一方它也有非常多的技術來創造這個未知,這個未知就是說怎么躲開你,躲開你現在的檢測方式,躲開你的設備,你的體系,現在也有非常非常多的創新,這個創新還非常多,這個屏幕上還舉了個例子,現在比特幣也很火,這個公司被人偷了上百萬美元的比特幣。我們看一個攻擊工具由很多部分組成,有代碼的載荷部分,通過郵件,最后它通過一個漏洞進入系統。我們可以看到把拆借后的所謂攻擊工具,是它很難去在這所有的幾個階段,就是在執行代碼這塊,在投遞工具這塊,它要利用漏洞破門而入,同時都是未知的,這個成本非常之高,這個恰恰高出了你想防御的成本。他用的是外網,它的導航部分漏洞,大家常規的那部分關注的,就是所謂衛士。我們看到剛剛發布了一個報告,說每年有數百個交易來,交易去,但這個非常貴,并不是天天有非常多的人在使用。我們剛才看到微軟的專家也講到了很多很多的樣本,這個樣本有相當部分,我們在剛才這個拆解以后,我們的原理就是說,我們在剛才那些攻擊工具的各個環節上面,是不是可以利用已知的部分,來推理找到那個未知的部分,我們目前有很多很多產品,雖然我們產量不是很大,我們有很多產品有些專業人員也搞不太清楚到底有多少產品,它很多,但它是不是可以很好的工作呢,我們發現其實不是很好,我們看有反病毒啊,防火墻啊,取證啊,還有就是從去年開始得到非常大關注的動態和靜態的測試。這是學名,還有它公司的名字,大家就非常熟悉了。它們之所以不能很好地去解決這個問題,我們認為其中一個技術的原理,是它們互相之間不會說話,每一個都把自己的小問題解決之后就丟了,比方在反病毒的時候,我們通常并不關注這個病毒樣本在網絡冊有什么表現,那么如果我們能夠把病毒樣本這部分,跟防火墻這部分在網絡層面我們可以用測試者提取一部分,能把它們互相的發掘的一些信息,就是發掘的已知信息,跟我們想要求解的未知信息放在一起的時候,我們覺得有可能會得到一些解。這個就是我們依靠的一個新的體系。他把知道那部分走完了,他就不干了,這就是我們想要解決的問題。我們希望他告訴他的鄰居,或者告訴一個知識庫,剛才羅總講的智能,其實在我們講的智能,就是放在更高的層面來看,他們就可以解決這個問題。我們有一個術語叫安全協同閉環運營。
它依托的是從剛才九龍的每條龍所不斷產生出來的那個已知和未知的演化,就是它未知的變成了已知,進一步的求證,而且云預測呢,我們相互進一步支持剛才推導的這么一個力量,那么進而能夠支持下面成千上萬數十萬臺繼續收集求導這么一個大的體系,有了這個大的體系以后,可以實現自動化和半自動化的閉環運營,這有一個示意圖,我們通過一些低成本的一般性的監視,我們發現一些異常的行為,這時候我們就刻意通過這種協同,我們調入深度的一些手段,越深越貴,就是因為你不可能使用所有昂貴的手段,這是不可能的,這是經濟原因決定的。那么這個深度防御你可以繼續按照需求,調度最昂貴的就是人了,最昂貴的就是你調動你的專家資源,完成相應的推導活動,并且繼續持續的更新智能,或者我們叫信息庫,你都可以起一個名字給它。這是一個示意圖,我們的目標,我們不斷地通過建模把其中的一部分自動化,通過對腳本進行一些更低成本的實現,降低這些過程,我們把剛才這些思考,其中一個叫安全協同,一個叫閉環運營。這是兩個。我們認為這一切都是在目前我們所面臨的剛才一開始看到的微型矩陣,對我們現在網絡安全帶來的逼迫性的改變,我們也要進入下一代的網絡安全體系,在這個安全體系里邊,我們需要有威脅感知的能力,我們需要有協同能力,同時我們要預防,就是你發現一個威脅,你要能找到對策,然后你要看到是否有效,再調用你的策略,更新你的知識庫。其他的內容我沒有辦法給大家展開,我們公司正在朝著這個方向,我們相信這是我們的未來,我們在朝這個方向努力,我們也希望有更多的同行,更多的同仁,更多的伙伴一起朝這個方向努力,因為這的確不是一家,不是某一個小組,或者某一個產品能夠實現的,它依靠的是一個體系,一個更大的一個生態。謝謝。
