近年来网络安全形势变得越来越复杂和严峻,企业网络系统不断被爆出存在攻击漏洞,尤其是在金融领域,针对银行的APT攻击和DDoS攻击等技术的改变更是有愈演愈烈之势,关于金融及电信欺诈的态势从年统计转向月统计……
攻击技术的改变,决定了传统防御技术必须转变。现阶段安全的核心思路是 “预防、预测”、“阻止、防护”、“检测、监控”“响应、调查”。但目前制约安全检测和响应的问题则是:
1.安全数据不足:安全信息缺乏共享与安全信息不对称导致检测与响应能力不足;
2.安全智能不足:安全智能匮乏导致无法有效检测多步骤组合入侵行为与对APT攻击的深度挖掘;
3.安全协作不足:产业界相互间信任不足导致缺乏检测与响应的协作,进而失去了应对攻击的最佳时机。
图1 360企业安全售前技术总监叶皓彤在大会演讲
针对数据的不足,需要有针对性数据分析的方法,数据能带来什么?一次安全事件所利用的漏洞或者样本,可能在互联网上已经出现过。如何利用互联网上的海量攻防数据,协助发现甚至预防安全威胁?恶意终端/系统必然有与正常的终端/系统相异的行为,单体安全设备没有足够数据无法比对分析,如何进行全网的数据分析?攻击链条复杂,仅针对某个终端或者某个网络节点的防护手段难以还原整个攻击链条。
据Gartner分析,下一代安全防御及分析平台应当具备对漏洞情报、威胁/攻击情报及攻击者/组织情报的分析能力。因此,与之相应的需在用户侧形成轻量级大数据平台,以记录网络与终端的相关信息,并结合威胁情报发现并回溯网内安全威胁。在全网进行数据收集、智能分析,即不再谋求在单体安全设备上完成对所有威胁的发现和响应,转向通过安全设备采集完整全网数据,大数据平台应当可以满足千亿级别数据的快速分析,可保证对全网全量数据的采集需求。通过算法、模型等智能信息安全技术分析和识别网络中安全威胁。
360企业安全针对数据、智能及协作的不足,建立起智能协同体系,360企业安全售前技术总监叶皓彤(如图1)介绍,通过终端与本地大数据平台协同(EDR)审计、分析、发现、溯源,网关与本地大数据平台协同(NDR)检测、阻断、溯源,以大数据思维建立威胁响应平台以及云端大数据安全服务。
360还针对协同联动建立了威胁情报中心、全球DDoS攻击预警、全球网络扫描及DDoS攻击溯源。依靠自身拥有的海量用户资源优势,并通过与众多安全企业协同联动,共建安全+命运共同体。