淺談Fortinet的威脅情報和Security Fabric
責編:gltian |2018-09-19 10:09:41威脅情報技術(TI)自2015年引入中國以來,已經過了四個年頭。從一開始的概念階段,逐漸落地并形成了各種形態和商業模式。國內的360、微步在線、天際友盟,國外的IBM、Mcafee、思科、賽門鐵克都有著各自的TI,Fortinet也不例外。后者在TI方面的積累和能力,更是有著自己的特點和優勢。
近日,Fortinet全球首席安全戰略官 Derek Manky來華出席 ISC 2018 互聯網安全大會。期間,與幾家國內知名IT與信息安全媒體溝通,介紹了Fortinet的威脅情報和其極具開放與整合能力的安全體系架構:Security Fabric。
Fortinet全球首席安全戰略官 Derek Manky
570個零日漏洞 CPRL的強大
締造了UTM(統一威脅管理)這一全球流行安全技術概念的Fortinet,早在2000年就成立了FortiGuard實驗室,目前實驗室有200多位安全分析師,為全球40萬用戶提供威脅情報服務。
經過了數年的普及,威脅情報技術實現已不再神秘,無非就是根據需求,做好收集、分析、交付、使用等階段的工作。但在這些階段中,有一項關鍵能力對威脅情報的質量起著決定性的作用。
威脅檢測能力,比如業內熟知的沙箱技術,把惡意代碼放到沙箱里執行,然后進行檢測解析。而Fortinet僅在威脅檢測方面就擁有大量專利,其中最值得一提的是一項名為CPRL(內容模式識別語言)的專利。其理念是通過機器學習,自動編寫程序來檢測新的病毒,自動機器篩選,最后進行人工處理。
隨著時間的過去,其威脅檢測的效率越來越高,發現零日漏洞能力越來越強。由于這項專利技術,Fortinet于2016年啟動的一個專門進行零日漏洞檢測的項目團隊,截至到今年的第二季度已挖掘出570個零日漏洞。
發現漏洞之后,我們再要做的是負責任的披露,讓有漏洞的廠商先行制作正式補丁。在正式補丁出來之前,與對方合作先通過Fortinet的安全硬件和軟件提供一個虛擬補丁以保護安全。
目前,FortiGuard絕大部分的威脅檢測工作能通過人工智能的機器學習來取代,安全技術專家則主要從事復雜的工作,比如提供可執行情報或事件響應服務等。而在以前,技術專家只能靠手工分析,或者編寫防御方面的策略為主。
設備、工具的聯動與超一流的合作伙伴
之前安全牛的文章介紹過,Security Fabric 是一個安全整體架構的解決方案,2016年發布。經過兩年多的時間里,已經形成了包括WAF、郵件網關、沙箱、威脅情報、終端安全、云安全、無線安全、IoT、SD-WAN等多種安全組件的體系化防御架構。
體系化是指各組件之間能夠協同聯動。比如,非常重要的沙箱技術。其優勢在于可以進行深度檢測,但缺點在于不能高效攔截。但如果與防火墻等安全網關設備,以及安全策略整合在一起,即可實現自動化緩解威脅。
除了設備和工具之間的聯動,更重要的是廠商之間的配合。Fortinet不僅與如終端安全、工業互聯網安全等廠商合作,還與公/私有云、甚至通迅廠商都有非常好的合作,如VMware/OpenStack/AWS/Azure/阿里云/谷歌云/青云等,其中與阿里云的合作更是其國內的標桿案例之一。在其100多位合作伙伴中,不乏思科、賽門鐵克、IBM、Mcafee這樣的國際大廠商。
其實也很容易理解,黑產的強大之處在于其黑色產業利益鏈的聯盟,在于地下暗網相互之間的聯盟。而安全守衛者,廠商,之間也必須聯盟,包括設備、架構之間的協同聯動,包括安全情報的共享與互通。只有這樣,防護方的視野、技術能力、反應速度才能抵御黑色利益的巨大威脅。
正如UTM的“統一”技術基因,Security Fabric 也是遵循了這一“整合”理念。綜上所述,這個安全架構可以用三大特點來概括:開放、聯動和自動化。而且,這三大特點是階梯性的。因為開放才能聯動,而只有聯動才能做到自動化。