NSC2013 中國網(wǎng)絡(luò)安全大會2013論壇一 綠盟科技 趙糧
責(zé)編:rhliu |2013-12-11 12:40:00趙糧:大家上午好,我這部分內(nèi)容是在兩周前我們有一個安全的峰會,我在那個時候跟大家分享過。我給大家分享一下我們關(guān)于在下一代安全領(lǐng)域,有一個重要的特性,我們稱之為叫安全協(xié)同,我們認(rèn)為這是一個很重要的技術(shù)創(chuàng)新的一個方向。它影響著我們接下去三五年的網(wǎng)絡(luò)安全這個體系的有效性和效益。我把這一點(diǎn)給大家做個分享。這個圖以前我在別的場合下使用過,在報告里也看到過。
我們每一個組織你可能是關(guān)注的,是其中的某一個,你可能關(guān)注的是廣譜的,個人的那部分,也可能關(guān)注其他的,就目前來看,我們現(xiàn)在做得比較好的,我們說的是廣譜的,它的特點(diǎn)是什么,就是我們每個組織受到的攻擊差不太多,這有什么好處呢,就是我們防御一方,就是我們比較容易獲得它的樣本,我們比較容易了解它的攻擊的機(jī)理,從而找到它的防御的對策和方式,考驗(yàn)我們的就是你有多快,你有多全,很快的,很全的找到對應(yīng)的措施布置上去就好了,但是在偏下面這一側(cè),這個叫定向這一側(cè),高級軟件,高級威脅,加了A的,它有什么特點(diǎn),就是你遭到的攻擊和我遭到的攻擊不一樣,我們管它叫未知攻擊。不可能有絕對的攻擊,它還有一部分是相對已知的,我們考慮問題的焦點(diǎn)就會落在說我們怎么樣去在原來的基礎(chǔ)上,我們做得還不錯的工作的基礎(chǔ)之上,怎么去發(fā)現(xiàn)我們對這部分相對未知的這部分的檢測,要做好這一部分呢,其實(shí)并不那么容易,我舉個例子,現(xiàn)在攻擊一方它也有非常多的技術(shù)來創(chuàng)造這個未知,這個未知就是說怎么躲開你,躲開你現(xiàn)在的檢測方式,躲開你的設(shè)備,你的體系,現(xiàn)在也有非常非常多的創(chuàng)新,這個創(chuàng)新還非常多,這個屏幕上還舉了個例子,現(xiàn)在比特幣也很火,這個公司被人偷了上百萬美元的比特幣。我們看一個攻擊工具由很多部分組成,有代碼的載荷部分,通過郵件,最后它通過一個漏洞進(jìn)入系統(tǒng)。我們可以看到把拆借后的所謂攻擊工具,是它很難去在這所有的幾個階段,就是在執(zhí)行代碼這塊,在投遞工具這塊,它要利用漏洞破門而入,同時都是未知的,這個成本非常之高,這個恰恰高出了你想防御的成本。他用的是外網(wǎng),它的導(dǎo)航部分漏洞,大家常規(guī)的那部分關(guān)注的,就是所謂衛(wèi)士。我們看到剛剛發(fā)布了一個報告,說每年有數(shù)百個交易來,交易去,但這個非常貴,并不是天天有非常多的人在使用。我們剛才看到微軟的專家也講到了很多很多的樣本,這個樣本有相當(dāng)部分,我們在剛才這個拆解以后,我們的原理就是說,我們在剛才那些攻擊工具的各個環(huán)節(jié)上面,是不是可以利用已知的部分,來推理找到那個未知的部分,我們目前有很多很多產(chǎn)品,雖然我們產(chǎn)量不是很大,我們有很多產(chǎn)品有些專業(yè)人員也搞不太清楚到底有多少產(chǎn)品,它很多,但它是不是可以很好的工作呢,我們發(fā)現(xiàn)其實(shí)不是很好,我們看有反病毒啊,防火墻啊,取證啊,還有就是從去年開始得到非常大關(guān)注的動態(tài)和靜態(tài)的測試。這是學(xué)名,還有它公司的名字,大家就非常熟悉了。它們之所以不能很好地去解決這個問題,我們認(rèn)為其中一個技術(shù)的原理,是它們互相之間不會說話,每一個都把自己的小問題解決之后就丟了,比方在反病毒的時候,我們通常并不關(guān)注這個病毒樣本在網(wǎng)絡(luò)冊有什么表現(xiàn),那么如果我們能夠把病毒樣本這部分,跟防火墻這部分在網(wǎng)絡(luò)層面我們可以用測試者提取一部分,能把它們互相的發(fā)掘的一些信息,就是發(fā)掘的已知信息,跟我們想要求解的未知信息放在一起的時候,我們覺得有可能會得到一些解。這個就是我們依靠的一個新的體系。他把知道那部分走完了,他就不干了,這就是我們想要解決的問題。我們希望他告訴他的鄰居,或者告訴一個知識庫,剛才羅總講的智能,其實(shí)在我們講的智能,就是放在更高的層面來看,他們就可以解決這個問題。我們有一個術(shù)語叫安全協(xié)同閉環(huán)運(yùn)營。
它依托的是從剛才九龍的每條龍所不斷產(chǎn)生出來的那個已知和未知的演化,就是它未知的變成了已知,進(jìn)一步的求證,而且云預(yù)測呢,我們相互進(jìn)一步支持剛才推導(dǎo)的這么一個力量,那么進(jìn)而能夠支持下面成千上萬數(shù)十萬臺繼續(xù)收集求導(dǎo)這么一個大的體系,有了這個大的體系以后,可以實(shí)現(xiàn)自動化和半自動化的閉環(huán)運(yùn)營,這有一個示意圖,我們通過一些低成本的一般性的監(jiān)視,我們發(fā)現(xiàn)一些異常的行為,這時候我們就刻意通過這種協(xié)同,我們調(diào)入深度的一些手段,越深越貴,就是因?yàn)槟悴豢赡苁褂盟邪嘿F的手段,這是不可能的,這是經(jīng)濟(jì)原因決定的。那么這個深度防御你可以繼續(xù)按照需求,調(diào)度最昂貴的就是人了,最昂貴的就是你調(diào)動你的專家資源,完成相應(yīng)的推導(dǎo)活動,并且繼續(xù)持續(xù)的更新智能,或者我們叫信息庫,你都可以起一個名字給它。這是一個示意圖,我們的目標(biāo),我們不斷地通過建模把其中的一部分自動化,通過對腳本進(jìn)行一些更低成本的實(shí)現(xiàn),降低這些過程,我們把剛才這些思考,其中一個叫安全協(xié)同,一個叫閉環(huán)運(yùn)營。這是兩個。我們認(rèn)為這一切都是在目前我們所面臨的剛才一開始看到的微型矩陣,對我們現(xiàn)在網(wǎng)絡(luò)安全帶來的逼迫性的改變,我們也要進(jìn)入下一代的網(wǎng)絡(luò)安全體系,在這個安全體系里邊,我們需要有威脅感知的能力,我們需要有協(xié)同能力,同時我們要預(yù)防,就是你發(fā)現(xiàn)一個威脅,你要能找到對策,然后你要看到是否有效,再調(diào)用你的策略,更新你的知識庫。其他的內(nèi)容我沒有辦法給大家展開,我們公司正在朝著這個方向,我們相信這是我們的未來,我們在朝這個方向努力,我們也希望有更多的同行,更多的同仁,更多的伙伴一起朝這個方向努力,因?yàn)檫@的確不是一家,不是某一個小組,或者某一個產(chǎn)品能夠?qū)崿F(xiàn)的,它依靠的是一個體系,一個更大的一個生態(tài)。謝謝。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧