首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

选型宝访谈:面对新型威胁,如何构建全局可视的企业安全大脑?

前言

网络信息安全被称为“没有硝烟的战场”,网络上的攻防较量,一刻也没有停止过,而且战况之惨烈,常常超出我们的想象。比如去年5月,WannaCry勒索软件病毒爆发,波及全球150个国家,造成了80多亿美元的经济损失。就连安全体系比较完善的高校、医院、科研机构等,也有很多单位不幸中招。

大家不禁要问:我们天天在强调网络安全,并且部署了大量的IDS、IPS、防火墙、杀毒软件等安全基础设施,为什么在新型威胁到来的时候,依然感到无可奈何呢?今天的安全威胁有那些新的特点?传统的安全防护体系到底出了什么问题?

带着CIO、CSO们的这些疑问,选型宝直播采访了深信服的资深安全专家王金红先生。下面就让我们一起,听一听这次访谈的精彩对话吧。

对话嘉宾

王金红

深信服安全感知产品运营总监

李维良

选型宝 首席架构师

什么是“安全态势感知”?

为什么说“安全的未来就是态势感知”?

安全态势感知能为企业带来怎样的价值?

李维良:安全是永不停歇的战场。近年来,针对企业的安全威胁和恶意攻击又出现了哪些新的变化?

王金红:近年来的安全威胁,有两个非常明显的趋势:一是攻击技术专业化。今天的攻击,已从过去的个人炫技,变成了分工明确的黑客团伙作案,其技术更加先进、手段更加高明、方法更加多样。二是攻击目的商业化,出现了Hacking as a Service这样的服务,敏感信息、渗透服务等,都被明码标价。

就拿最近医疗行业爆发勒索病毒这个事件来说吧,黑客的攻击越来越高级,连医院这种内外网隔离的环境也会中招。同时,攻击的影响面越来越大,湖南某三甲医院的业务系统瘫痪,整个医院工作停滞。我们分布在全国的几乎所有省份的办事处,都接到了当地医院的邀请,让我们过去帮助他们做检测。可以断定,未来类似这样大规模的高级攻击还会越来越多。

李维良:在今天的新形势下,传统的安全技术和防御体系面临着哪些新的挑战?

王金红:我们认为有三个方面的挑战:一个是“看不见”。攻击越来越高级,越来越难以发现和检测,传统静态检测的方式无法应对高级攻击。二个是“看不懂”。一个客户的安全日志每天就有上万条,而且大多是以安全事件的角度堆叠,客户根本看不懂。三个是“响应慢”。安全设备多,一出问题全靠人力解决,精通各种攻击原理,又精通各种安全设备的人才,又贵又难找,大部分客户又没有这种高级人才。所以处理问题就非常慢。

李维良:在安全威胁日益严峻,合规性要求日益提高的背景下,我们该如何更新安全理念和安全工具?

王金红:首先,传统的安全体系以防御为核心,当新型威胁到来时,就显得捉襟见肘、力不从心。未来的安全,必然要在检测、响应两方面进行提升。道理很简单,高级攻击靠静态检测防不住,那我们就在威胁潜伏进来之后、爆发之前检测出来,并快速地响应并处置它。基于此,相关工具就需要加强在网络内部东西向流量上进行持续检测的能力。

李维良:“安全态势感知”是怎样的一种理念和方法?它具备的核心能力有哪些?

王金红:业内对态势感知有个通用的理解,那就是:感知、理解和预测。

感知:包括状态识别与确认,以及对各种状态信息的来源和素材的质量评价;

理解:了解攻击的影响、攻击者的行为和当前态势发生的原因及方式;

预测:对态势发展情况的预测评估,主要包括态势演化、影响评估。

我们认为,安全态势感知至少它应该具备4个核心能力:

第一、收集有效的海量信息的能力;

第二、基于海量数据的智能分析能力;

第三、基于宏观和微观的安全可视能力;

第四、应对安全威胁的协同响应能力。

李维良:哪些企业需要安全感知系统?

王金红:我们认为,网路安全的发展,必然是从割裂到集中,从局部到整体,因此,安全的未来,必然就是“态势感知”。所以说,态势感知应该是全行业的一个通用方案。

李维良:安全态势感知解决方案能为用户带来哪些价值?

王金红:安全态势感知的价值,我们总结为四点-

看清业务:发现资产和资产的脆弱性;

看到威胁:能够检测潜伏到网络内部的高级威胁;

看懂风险:以简单易用的方式,让非专业人士看懂安全现状;

辅助决策:能够提供有效的决策信息,帮助决策者做出正确决策。

深信服安全感知平台的定位是怎样的?

它有哪些功能、特色和优势?

李维良:深信服安全感知平台是怎样的一种产品或解决方案?

王金红:深信服安全感知平台致力于帮助客户构建一个本地安全大脑,它是一个集检测、可视、响应等多功能于一体的大数据安全分析平台和统一的安全运营中心。

深信服安全感知平台以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助用户在高级威胁入侵之后、损失发生之前及时响应并排除威胁!

李维良:深信服安全感知平台是如何采集数据的?它支持哪些数据源?

王金红:大数据是态势感知的基础,深信服采集数据的能力,有自己独特的地方。整体上看,我们是以全流量分析(NTA)为主,以设备日志采集为辅。我们认为,只有网络流量中的信息才是最真实的,其他设备的日志一方面是异构难理解,另一方面是误判多,所以我们以NTA全流量数据分析为主。

深信服安全感知平台支持的数据源非常多,大致包括:资产数据、流量数据、行为数据、应用内容数据、用户身份数据、运行环境和状态数据、威胁情报数据、安全事件数据、第三方日志数据等等。

李维良:深信服安全感知平台的检测分析技术有什么特色?

王金红:深信服安全感知平台的检测技术更多地融入了智能技术(机器学习、UEBA、大数据关联等),并且未来还会不断地加强。

李维良:深信服安全感知平台是怎么实现安全可视性的?

王金红:可视性是安全感知的重要基础。深信服的可视性分两个层面:一个是宏观可视,辅助决策。我们从决策者视角,宏观地展现出网络的当前状况,网络是否安全?哪里不安全?还有哪些薄弱环节?第二个层面是微观可视,辅助运维。我们会展示出哪些资产不安全、为什么它不安全?应该如何处置?

李维良:深信服安全感知平台的响应机制是怎样的?

王金红:协同响应是深信服安全感知平台的核心能力之一。我们的平台支持三层响应机制:一旦平台发现问题,首先是通过平台与防火墙的联动,一键封堵,防止敏感信息外泄;其次,平台与终端安全插件(EDR)联动,实现对病毒的一键查杀;最后,对于一些高级、复杂的安全问题,深信服提供安全感知平台配套的安全专家服务。

李维良:与市场上的同类产品相比,深信服安全感知平台有哪些创新和特色?

王金红:深信服安全感知平台在数据采集、检测、可视化和响应等方面,都有自己的优势和特色。

数据采集采用了NTA技术(Gartner评选的2017年11大安全技术之一)。

持续检测引入了大量的机器学习算法,包括有监督学习的LSTM算法,无监督学习的DBScan算法,还有一些异常检测分类算法,如SVM算法等。

全局可视基于业务维度,从宏观决策和微观运维两个角度构建可视化架构。

协同响应实现了多设备间的联动,包括我们的自有设备和第三方设备。

如何选择合适的安全态势感知产品?

怎样让安全态势感知在企业快速落地?

李维良:关于“安全态势感知”产品的选型,您有哪些建议?对企业来说,怎么才能让安全感知平台快速、有效落地?

王金红:安全态势感知属于方案性的产品,选型可能会比较复杂。因为要收集全网的流量,因此需要弄清楚全网流量的走向,哪里是安全重点(比如关键业务)、哪里适合镜像流量、流量大概有多大等等问题。只有充分了解自身的网络情况和安全现状,才能选到适合自己的产品和解决方案。

态势感知类型的产品很多,但是侧重点各有不同,有的侧重设备日志收集,有的侧重杀毒、沙箱类的检测,而深信服则侧重全流量检测和智能分析。对企业来说,有效是关键,因此,一定要选择适合自己的产品和解决方案。为此,前期要做好充分的调研、沟通和对比。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20190816A0BPL700?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券