图片来源:视觉中国
在钛媒体在线课“钛坦白”第50期,我们邀请了三位钛客讲讲企业要如何应对信息安全问题。本期钛客之一、瀚思科技联合创始人、首席科学家万晓川,拥有10项安全行业美国专利。 曾任趋势科技(Trendmicro)中国研发中心技术级别最高的核心技术人员,设计了趋势科技的整个病毒分析后台架构,还曾任趋势科技专利委员会中国区主席。2006年万晓川在全球范围内首度将机器学习应用于病毒自动分析系统,在0.1%误报率时可以侦测71%的未知病毒,这项技术保证了趋势科技的杀毒能力持续排名世界前三。2007年万晓川再次成功将机器学习应用在垃圾邮件识别,并取得96%以上的全球第一识别率,战胜了思科花8.3亿美元收购的IronPort。自2010年起,万晓川以高级架构师和项目总监身份主导设计并开发了网页安全模拟分析引擎和APT防御产品线的沙箱,并在2014年全球权威的NSS lab评测中击败了主要竞争对手FireEye,获得APT检测率世界第一。
本文节选自万晓川在钛坦白的分享。如果您还不是钛媒体Pro用户,希望查看钛坦白所有干货,进入钛坦白九个专业群交流,并查看更丰富的专业数据和信息,可点击:https://www.tmtpost.com/pro 注册。
以下根据万晓川在钛坦白的分享实录整理:
大家晚上好,我们今天谈的主题就是《企业信息安全的过去与现在和将来》。我会简单说一下,企业信息安全主要驱动力来自哪些方面,这些驱动力在2010年之前是怎么保证企业安全发展的。重点是谈最近七年企业信息安全的各种产品形态,最后我会简单总结一下将来三年会有什么样的变化。
企业信息安全技术发展的驱动力
我们一般讲的企业信息安全,解决的问题就是满足企业合规方面、防御方面的需求。涉及的不是只有技术因素,还会有其他方面的因素,比如合规方面的留存需求,也会涉及到人员怎么按照组织,怎么编排预算。但是我们这些从业人员知道,企业安全的预算总是有限的,不可能防御100%的攻击,所以怎么能在有限的预算经费下达到一个安全的效果和平衡?这是我们面对的一个主要的难题。
想解决好企业安全要考虑到它所在的大背景,也就是企业,这就涉及到三个主要的因素——人员、流程和技术。这三个因素都要配合好,不是说只用一个好技术就能把企业安全做得很好。这方面也有很多比较复杂的管理框架,我们把这个框架叫ESA(Enterprise Security Architecture),也就是企业信息安全架构。这块大家可以参考一些书籍去研究, 本次的分享我们主要精力先全部放在各种技术对企业安全的影响方面。
企业信息安全技术的发展,驱动力主要有三个:
- 攻击方技术的发展。比如说黑客有哪些新的一些攻击方法,我们这边防御方也会做出相应的一些应对;
- 基础技术的发展。因为企业信息安全技术相对来说属于技术链的下游,它一般会受益于上游技术的改善,比如说云计算技术、大数据技术、移动计算技术,所以上游那些新的技术也会惠及到我们下游;
- 管理技术的发展。我们笼统讲叫管理的理念,比如说企业里面比较重视量化管理,作为企业信息安全的一个实现方我们也要在技术里面实现这些量化管理。
但是长久以来,我们的从业人员比较关心第一点,比如说我们经常可以看到新闻报道会讲哪些新的攻击方法,其次会关心一下基础技术的改善,把最新的技术放到企业安全里面做,基本上很少谈及到管理的技术,这点尤其在中国是比较严重的现象。
2010年之前的安全技术发展
防御理念:被动式技术导向思维
谈具体安全技术的发展方向就离不开回顾。我们先来看一下2010年之前安全技术发展是什么样子。
首先我们看这张图,其实整个企业安全市场从第一款杀毒软件到现在时间并不长,大概从1987年开始,我们有了第一款杀毒软件。两年之后有了第一个蠕虫,所以一直到两年之后,才有病毒的变形就是蠕虫。到1992年我们才有第一款商业防火墙,同时也是我们发现第一个代码变形病毒,代码变形病毒属于水平比较高的病毒。
所以大家可以看,基本上这个时期的信息安全是一个被动的应对姿态,有新的安全威胁基本上要过一段时间之后,短则几个月,长则好几年,我们才会推出相应的产品。而且有些产品之间会有一些重叠。比如说IDS和防火墙其实最初开始就有一部分重叠,有一部分原因是因为某些厂商可能觉得,原来那个防火墙的方案不能覆盖所有的攻击情况,所以他要推出一个新的产品,在新的一个网络层次里面做新防御,也就是说他们两个立足于不同的网络层次结构。
这边有个很特别的产品,2005年有个SIEM产品,大概是应对四年之前萨班斯法案一些合规要求推出来的,以往所有的产品比如说WAF或者防火墙,它们面向的用户都是安全运维人员,只有SIEM有一部分面向的对象是属于管理人员,所以我认为它是第一款把安全产品的角色做转向的产品线。2006年,我们可以把它看成是大数据和云计算的元年,当年是亚马逊和AWS、Hadoop是第一次面世,2007年开始Iphone面世,这样我们就进入移动计算时代。
一直到2010年之前,安全防御技术相对来讲都是很固定的,说不好听点就是属于见招拆招,有什么样的攻击出什么样的防御方案,所有的厂商里面都拼产品线的齐全程度。比如说防火墙做防火墙的事情,IDS做IDS,有些厂商只做防火墙,但是更大的厂商,比如Symantec或者McAfee所有的产品线都有,既提供防火墙,也提供IDS,还提供终端杀毒。他会说企业各个环节都有可能成为安全出问题的地方,所以要在各个环节、各个层次里面部署相应的安全产品线,对于小厂商来讲,传统的老三样,或者是老四样——防火墙、IDS、WAF、终端杀毒,对于大企业来讲会买DLP和SIEM。
当然大企业由于资金和人员配比的情况,所以他使用的产品相对来说定制度比较高,功能也会比较齐全,比如说SIEM或者一些更复杂的自己配的IDS,当初很多大企业里面已经有自己的IDS配备人员。除了这些安全技术的应用之外,他其实还有一些涉及到管理和流程方面,比如说当年大家就很重视对员工进行防钓鱼、防点恶意网站这些普及教育,这属于安全教育的基础部分,但是效果怎么样就看企业自己具体的管理能力怎么样了。
2010年——APT之年
防御理念:分析而不是单纯检测、非实时、用户参与
2010年被称为是APT元年,是很有趣的一年。过去我们喊了很多年狼来了,觉得以前常规安全防御手法都是基于特征码的,防火墙里面有规则,然后又各种网络包里面匹配特征码,终端杀毒里面有各种病毒的特征码,行业内的人都觉得这个方法不能持久。一直到2010年接连两起APT的事情爆发之后,大家觉得这个事情彻底不能维持下去了。年初的话是曝了谷歌退出中国相应的APT。中旬曝了一个有更大影响面,对大家来讲更像恶梦般的APT,就是Stuxnet美国和以色列他们通过U盘传播病毒,导致伊朗当时正在做的铀的核心分离机误操作并把相关的设备全部烧毁。一年之前,我们都以为这个事情还比较遥远,这只是大家拍脑袋想的东西,只有2010年这个事情被捅出来之后,大家没想到国家机构里面已经做到了这个程度。
APT持续增长
国家机构已经直接通过U盘这种看起来比较普通的媒介影响到核心的设备,所以这是直接证明,对于比较大的重要的企业来讲,常规所有的防御方法,不管是IDS、IPS还是更传统的终端杀毒软件都完全抵御不了国家级的选手。所以基本上那一年开始,很多厂商,我以前在趋势科技的时候很多厂商已经找到我们聊,说我们以前卖杀毒软件卖这么长时间肯定是不顶用了,有没有其他方案。我们也没有其他方案,那个时候FireEye是唯一一家对外讲拥有防御APT攻击的方案,那年开始他的销售额也是大涨,这家公司大家都觉得很新,他们是属于2004年成立的,直到2010年才开始爆涨。
其实将2010年说成APT元年并不代表是从2010年才开始有APT的,事后大家反查最早的APT可能是2004年开始就有,这个事情一直在水面下,圈子里面只有军方或者比较大的企业才能知道,很多小的杀毒软件厂商都不知道APT的存在。所以这个事情捅出来之后,各家安全厂商,尤其是卡巴斯基,因为他们的研究能力比较强,所以他们就会持续的跟踪各种APT组织和攻击的变化情况。当时这种新闻热点基本上都是各种各样的新的APT,各种攻击,哪儿的数据泄露,导致APT的新闻热点程度持续上涨,业界造成一种恐慌,就觉得常规的病毒没人写了,大家可能都走比较复杂的APT,因为APT的影响面和经济收益都比较大。
但客户这种认为APT是一切的认知也不能说错,因为有个好处就是说,客户有这种要求就逼着安全厂商反思他们自己以往基于特征码的防御方法是不是远远落后于时代。从负面上来讲,也会导致企业重点没有放在他应该关注的地方。比如说企业本身可能连市场管理也没做好,就一天到晚就想怎么防御国家级别的APT,这是本末倒置,所以我觉得APT有个负面作用就是说会导致客户对安全产品效果的期望会产生一些不切实际的幻想。
- APT与常规攻击的差异
当然APT引人注目地方除了他的目的跟常规攻击有差异之外,还有个主要因素就是这个攻击跟以往的单一一次病毒感染文件的做法是完全不一样的。它相对来说手法比较复杂,周期也会很长。它可能会早期扫描你的网络设备的脆弱点,通过它们来选择比较合适的进入方法。之后它会有比较长的潜伏期,潜伏期后会找到你相应的敏感数据,然后再通过这种远程控制端的控制指令,定期把敏感的数据送回去,所以这会有一个比较长的攻击链模型。这张图我们贴的就是攻击链的模型,一般来讲我们的威胁情报里面会有各种最新APT的总结。
对于最新的APT,我们有个词叫TTP(Tactics,Techniques and Procedures)。以往来讲我们把APT做了很多细分,除了防御目的以外,还有一个主要目的是通过TTP能够识别APT后面来自哪些组织、哪些国家。而其实最近几年TTP各家已经开始做的很类似,这不管是有意还是无意,都导致通过TTP来分辨APT组织越来越难做。
- APT带来的安全产品设计思路的变化
APT除了对客户的防御产品的预算和产品定位造成变化之外,其实还造成了理念上的变化,因为2010年的时候只有一家FireEye查这种APT攻击,当时他的方法一点都不新,是属于各家安全厂商里面都懂的技术——沙箱,只是以往我们将沙箱放在后台做分析,从来不把分析结果和部署放在用户企业环境里面。
他的思路和其他的不太一样,他觉得当时这些企业运维人员技能已经有了很大的变化,不像以前使用杀毒软件的小白用户,这些运维人员懂安全,甚至看得明白这种威胁病毒的分析报告。所以他觉得既然用户能看得懂,不如我把整个产品的决策权下放给用户,不用什么事情都走以前的流程。比如说我必须把一个APT样本送回我的总部,总部再来分析。这有个客观原因就是由于企业处于敏感考虑,他可能不允许把这些样本送回总部,所以导致了新的产品思路,就是说我可以让用户做安全运维安全的判断,来作为一个安全防御的主要协作方,不是什么事情都由安全厂商来做,而是有很大一部分我可以让给用户来做。
而且一旦按照这种思路往下走,就意味着这个产品能开放出很多新的功能点:1,我会加很多分析能力在里面;2,非实时;3,需要用户更多精力投入。
当然这有个核心问题就是:如果让用户来花精力投入,我该让他每天花多少个小时,花多少人员投入?这个对于我来说是比较微妙的度的问题。
- 用户资源投入的问题
这方面有很多极端不计成本的例子,比如这张图里面是NSA2007年暴露出来的防御系统,他们对于简单的攻击手法还是用商业的软件,就是黄色那一圈。对于比较复杂一点的方法他们可能会由他们自己花钱建立一个系统,最右上方里面是他们基于威胁情报,他们叫sigint。其实这是他们自己的威胁情报跟分析系统结合的一个例子,我们现在很多新的系统也在往这方向靠,当时这套系统的开发成本是非常高昂的,只有NSA这种不缺钱的单位才能用,如果我们一些企业里面要花这么多成本,肯定没法跟董事会交代。
所以大家来退而求其次,企业会说我接受数据可能会被泄露的一部分风险,并把风险量化,是可能亏100万还是亏1000万?而且会针对量化的风险来决定投多少钱下去,所以按这种思路我们也有些比较类似的产品在往这个方向走。当然我觉得目前所有的产品形态和功能离做得很完善还有比较大的距离。
我们最近可以看到安全分值这个概念,包括微软Azure里面也有一个量化的管理,他可以告诉你现在的安全分值是多少,你行业里面平均的安全分值是多少,你应该做什么事情可以把你的安全分值提高,降低威胁度,这对我来说都在把思路往管理层靠齐。
而大家还需要做的事情就是要得到管理层额外的支持,发生APT之后,有一个好处就是管理层现在知道了这个东西,而且如果APT事情弄得比较大,像索尼、Target,他要赔钱,CSO会被迫辞职,大家觉得这会影响到我整个企业的名声、职位,那肯定要加大精力和预算来投入。
当然这个东西有两面的效果,同时来讲也是个机遇,企业安全的运维人员会有更多的预算,可以挑选更多的产品,也会有更长的产品评测周期。坏处的话,我现在可以给你更多的钱,那你怎么证明这个花钱买的东西能更多更好达到我们的要求呢?
而且企业高层人员始终的思维点是看业务的可持续性,他肯定不会关心你的报告里面拦了多少漏洞,他会关心如果漏洞没有拦住的话对业务运转会有什么样的影响,所以这块他需要企业运维人员对于业务有个比较直观的解释,甚至他希望能用“对我的业务会有多少美元影响”这种直观的方法来解释。所以我们在圈子里面讨论的一个方向就是说:我能否做完完全全是面向高层的安全产品?当然这个事情没有完全的定论,后面我会讲到一些原因。
新领域与新技术对信息安全行业的影响
从2010年左右开始,移动互联网就处于爆发式的扩展,兴起之后企业很多用户可能是拿自己的iphone、iPad或者安卓手机进到企业里面使用,所以这种边界就变得很模糊,以往企业可以明确的定义出应该信任哪些设备,因为设备都在我的管控之下,里面装什么软件都一清二楚。而现在一旦开放,企业可以带各种各样自己的移动设备,这个边界就很不清楚,我也没有办法控制用户里面Ipad装哪些东西。
所以最初我们整个安全圈里面的应对方法就是说要不要把企业内部的以往的管理方法原封不动复制一份到移动互联网上去?产品形态就是我在你的移动设备里面装一套杀毒软件,当然这到后来被证明是完全失败。第一,我们都知道iPhone的App市场管得非常严。他的感染率远不如像移动端感染率那么高。第二,他对你的权限有很多限制,不是你想杀什么病毒,你想监控什么病毒就能够做。
所以这个方向后来被慢慢往其他的一些功能合并。比如说管理功能MDM,就是设备管理,会引入很多管理上的功能。然后还有很多特色需求,比如说App加固。最近来讲我们有很多设备指纹专门给电商、银行这种App来做。设备指纹技术可能就会自然而然地会扩展到反欺诈。比如说他看你的设备里面跟用户是怎么一个对应关系,是否借了别人的机器或者是虚拟机器,这也是目前国内比较热门的领域,很多的反欺诈一开始都是从设备指纹开始的,我们知道新的领域扩展不代表总是老的领域把方法照搬,他会导致一些新的产品形态。
- 新领域:物联网
以物联网来说,他这个产品形态更加特殊。我们知道物联网虽然是一个名词,但是其实包含很多概念,比如说自动驾驶联网的车,它其实也算是物联网的一个例子,小到能联网你的蓝牙音箱、路由器和电视机顶盒,大到工控机系统。正是因为物联网多样化,所以目前来讲他没有一个比较通用的方案,基本是不同小领域里面的方案都不太一样。
比较大的企业他关心制造业的物联网,是防御APT,当然APT的防御方法也不完全是布沙箱,有些地方还会使用硬件上的一些方案,比如说单向通讯的光纤网络,需要的时候才把双向通讯打开,平时允许单向通讯,这样可以避免恶意的病毒进入控制端传入到实际的终端。而且因为物联网设备会非常多,一个大型的城市里面摄象头可能就会上百万之多,所以你要控制巨多的摄象头或者其他的物联网设备,就需要比较大的大数据处理能力,这方面我们也会看到很多非安全厂商是先有大数据处理的方案,然后再额外在这之上并入一些安全方案,这也是因为借了大数据处理能力,有些其他厂商能够进入到我们这个安全行业。
- 新领域:云计算
同样借新领域扩大进入安全行业的不光只有物联网这种创业公司,其实很大一部分都是云计算公司。比如说我们知道国内的阿里云他就有比较庞大的安全部门,甚至比很多小的安全厂商的安全人员还要多。而云计算本身也能够为安全厂商的方案提供新的一些技术思路,比如说你的安全产品里面是否跟云计算的框架做一个深度整合?而不像以往一样,把云计算的每台虚拟机里面布一台设备就行了。并且还有新的一个市场,我们管这个东西叫云计算的守门员,这个产品线叫CASB,同时他还带动了另外一个比较大的领域,我们管这个领域叫自适应安全。
自适应安全简单说就是企业在上云之后,他的网络机器虚拟机的数量比以前更多,计算资源可能属于动态释放,动态申请的,所以他这个网络拓扑变化程度和速度也会非常快,你基于传统防火墙的策略会显得过于死板或过于僵硬跟不上状态。所以他们采用自适应安全,把整个网络拓扑做更细小的划分,每个划分里面会监控区域里面的行为怎么样,跟这些行为动态调整应该部署的一些规则,同时审核根据规则之后划分里面他所有的网络资源的互相交流的行为状况。
同时云计算兴起意味着我们企业会把自己服务做SaaS化,这一点在美国更比较流行,因为他们那边云计算的带宽价格比我们这边更低,我们这边,阿里云跨地域机房里面可能要额外收费,在美国那边可以直接把网络流里面实时传播到云里面来做分析,他甚至可以把整个像SIEM这种复杂的业务都整个外包到云服务商来做实现,这块几年之后在国内有比较大的市场,意味着企业里面可以把自己的服务外包到云里面去。
云计算是一个比较大的转折的技术,他会深刻的影响到企业安全这种产品方案的具体实施方案。
- 基础技术的驱动:大数据
我们知道一个比较热的跟云计算差不多同时出来的名词,就是大数据。这个词其实对于安全领域影响面倒没有那么大,因为安全领域很早开始就是大数据收集了,比如说我们2004年左右做垃圾邮件的话已经是属于一天上百万封。只不过以前的技术有限制,可能我们只能处理比较单一的数据,比如说我要做垃圾邮件处理我写个系统,我要做病毒样本处理另写个系统,基本上不会用通用的方案。
而随着Hadoop的方案比较成熟,一直到最近更好的Spark的方案成熟之后,我们就有了比较强的各种数据多样性数据的方案。包括我会在大数据方面我可以跑类似于Spark做BI类型的分析,可以跑算法做多样性数据的整合,从里面抽出比较重要的威胁情报。在企业内部部署的数据可以做攻击链分析,这些都是由于大数据可以让我们做更复杂的多样性数据分析的典型例子。
- 基础技术的驱动:人工智能
真正对企业安全会造成比较大的改变的,我们认为是人工智能的技术,因为企业安全里面他们对人工智能的技术采用的时间也并不是特别短。比如说最早在2000年左右的时候,我们就已经开始用人工智能来处理垃圾邮件了。但是那个时候因为算法的限制,只能处理单一的数据。然后从2010年左右开始,我们那时候有了第一版的GPU能用一个性能很好的深度学习网络,我们管这个网络叫卷积神经网络。从那时候我们可以用比较复杂的方案,可以用深度的学习做病毒样本的分类,这个方案红到什么程度呢?基本上所有的硅谷创业公司只要是安全的都会说他用人工智能。
从实际的效果来看,因为我们知道VirusTotal基本上是所有比较有名厂家的病毒引擎,杀毒引擎都放在他们上面,从2016年开始有三家,而从今年上半年开始集成四家算法引擎,他们是完全基于人工智能有监督算法做病毒样本分类的,所以我们可以看,在病毒样本分类里这个算法有多么的普及。然后再另外一些领域里面,比如靠行为分析里面,我们可以用无监督学习算法或者一些统计类的算法,比如大家听得多的用户行为分析或者反欺诈,里面都会用统计类的算法。
所有这些新的一些技术能导致我们这边可以更快的开发出更复杂的一些产品,有个明显趋势就是很多的产品被综合了。比如说以往防火墙可能只是在IP那一层、UDP那一层或者HTTP那一层做一些事情。后来我们就会听到Palo Alto Networks他们会推荐NGFW,在一个防火墙里面把什么事情都做了,把IDS的事情也做了,把沙箱的事情也做了,能做这么多功能,他能完成事前预测事中检测加上复杂事后分析的一些复杂的产品。
所有的产品因为管理层的需求来讲都比以前更加重视管理上的需要,比如说我们以前提的MDM直接管理移动设备,云计算安全设备里面CASB负责哪些用户能使用哪些云计算资源,哪些资源不能乱用,EDR里面也会管理终端安全。自适应安全更是典型的管理场景,所以这些功能堆在一起比较多,他必然会用一些比较复杂的大数据算法,并基于大数据算法再往上堆各种复杂的比如人工智能算法来帮他实现更高一步的自动化。某些比较有钱或者比较重安全的高级用户他可以用更复杂的一些方案,比如可以变形的WAF或者动态的虚拟蜜罐,这都是以前我们认为不会有市场的产品也开始普及开来。
最直观的例子就是说这么多功能叠加的组合,会直接导致这个市场高度碎片化,所以这张图大家可以简单看一下有多少个大的产品细分市场,像有些市场比如说反欺诈或者工控市场还有安全自动相应化相对来说比较新兴的一些市场,大家可以看这个市场的碎片化程度会有多高。
- 传统安全产品继续演化
老的一些产品,有些是作为演化,有些是加一些功能重新包装。以前我们讲过防火墙会变成新一代的防火墙,终端杀毒会变成EDR软件。而EDR最开始定位只是一个管理上的功能,他甚至不杀毒,只是被动的看有哪些病毒感染哪些终端。后来传统杀毒软件厂商觉得他们有工程能力能够直接杀毒,就是直接防御事中防御、事中检测合到产品形态里面去,所以我们看红的EDR产品线里面都有比较复杂的管理功能,他还有比较复杂的基于行为来判断病毒是否爆发的一些功能。IDS、IPS会变成NTA也是有一些基于网络行为来做分析的,SIEM会变成UEBA基于用户和实体的行为来分析异常。
总之这些产品演化的共同特点就是:因为大数据和其他相关技术的开源的成熟,所以会集成更多的功能,也会有更多的产品组合形态。最后或多或少它都有一些基于人工智能来进行行为分析,而总体来讲他会比较重管理的功能,像大的EDR有单独的管理界面能够把整个EDR管理用起来,他能让整个的产品的管理来更靠近这种业务形态。
- 新安全产品:威胁情报
新产品不是这种产品的演化,而是全新冒出来的。大家常听说的威胁情报,能做出来后台有很主要的原因是因为:
第一,大数据处理平台。有很多威胁情报公司可以用开源的方法开发出自己数据分析平台。
第二,有各种各样的算法。他们能够从这些比较多样的数据里面提取出新的分析结果。
不过我们翰思科技认为威胁情报这个东西不应该作为一个黑白名单来直接使用,他的准确度没有高到这种地步,我们建议丰富上下文的作用,比如说现在有一个文件的行为看起来比较可疑,你可以根据威胁情报上下文来判断这个是不是真的有问题。
- 新安全产品:大数据安全分析
还有一个提得比较多的词就是大数据安全分析,其实我们认为严格来讲他不是一个产品市场,他是一个能力。很多产品都可以有大数据安全分析能力,因为毕竟所有的安全产品后端基本都是属于大数据的。每个漏洞的一个普及情况,新的漏洞是谁发布的,哪些人在用,这也是后端大数据分析的例子。防火墙这些杀毒软件的规则都会有大数据支撑,所以讲大数据是没有什么太大意义的。
基本上有分析功能都是安全分析,所有的产品你看跟他原来的产品形态其实有很大的关系,比如说防火墙演变成了大数据分析,那可能是比较重视TCPIP那种层次。如果你是想做多样性的大数据分析,我们认为可以靠SIEM这种产品线演化出来新的产品。
瀚思科技大数据安全分析产品框架
这边我简单讲一下大数据安全产品会有哪些框架。这张图是我们自己的产品,他会有比较复杂的多样性数据采集,这个数据可能包括日志数据和网络流量数据,数据之上还有转换功能,转换功能之上有堆积金字塔型的各种分析方法,最底下是规则,再往上有机器学习,再往上面可能有用户行为分析,所有这些分析也要结合威胁情报来做分析。这些是通用的分析场景,对于某些专有领域的场景比如说帐号或者态势感知还有上面要做一些额外的模块,我们觉得这是比较典型的大数据安全分析的一个框架。
- 企业怎么选择产品?
所以刚刚谈了一大堆各种碎片化和比较新兴的安全市场,所以对于企业安全运维人员,可能第一个问题是说,现在产品越来越多,每个产品功能也越来越多,我怎么挑产品?是不是我们挑功能最多的或者是挑价格最贵的?
我们其实有个比较现实一点的依据,就是说企业要根据他们自己所处的行业,来判断这个风险会是什么样子,比如说我发生被DDOS的概率会有多少?发生之后对我业务有多少影响?还是我现在抗D已经做得很好,而有发生数据泄露或者更高层次APT攻击的这种威胁,所以企业先要判断一下什么样的威胁是发生起来概率最高的,而且一旦发生他的后果也是最严重的,优先对这种风险挑选比较适合的产品。
这张图里是行动矩阵,可以判断病毒每个阶段用什么样的产品做防御,想防御怎么做?你想欺骗怎么做?相应来讲你需要哪些产品?你根据这个表可以来判断应该挑选什么样的产品。
2017——2020年:消失的边界
我们简单说一下将来产品形态会是什么样的。
- 以Google为例:零信任无防火墙的企业安全架构
我们知道谷歌很多方面在业界比较领先,他们前一阵推了自己的一个网络安全框架,这个网络叫零信任企业安全架构。简单来讲他基本上是不怎么依赖于这种防火墙的,不是说你进了防火墙之后,用户一点问题都没有。他在各个服务器、各个资产甚至到各个企业里面调用的API里面做防御,要做多重验证,验证之后还会做监控,看你用户的行为跟以往的行为是否发生偏离,所以他是个比较复杂的网络防御的一个拓扑架构,当然这个架构会很新,并且部署成本也很高,但是我们觉得可能将来随着产品部署成本降低很多企业会采用这种架构。
- 合规方的要求
因为我们知道网络安全法里面谈的事情比较多,这方面在美国会比较明显,因为美国有很多合规要求,所以我们预计将来在国内随着《安全法》的细化,还有具体的惩罚案例的出来,企业会更多重视他的合规要求。可能管理层和安全运维人员直接会问“我们现在有这么多法规,你到底符合程度是多少,没符合的话我们应该用什么样的安全产品来补齐这种合规要求?”然后随着这种合规要求比例的增大,可能更多企业里面会设立首席风险官这种角色。
- 将来我们会看到更碎片化还是更统一的产品市场?
这方面目前看下来正方反方的依据都有,因为我们看到统一市场后,就有更大的产品企业越做越大,但有比较大的产品企业,像Intel Security还有Symantec他们的市值相对来说在萎缩,而新的创业公司会有更高的估值,所以这方面我们自己的估计是将来应该会是一个更统一的市场。像云厂商,他会把自己的安全业务做得非常大,甚至会覆盖很多传统安全企业里面做的一些功能,比如云上的WAF、云上的IDS,新的安全厂商会对老的安全厂商完成一些洗牌,他们会成为更新的一些巨无霸型的企业。(本文独家首发钛媒体,根据瀚思科技联合创始人、首席科学家万晓川在钛坦白上的分享整理)
………………………………………
快报
根据《网络安全法》实名制要求,请绑定手机号后发表评论