数据驱动的安全协同

这是一个最好的时代,用户前所未有的重视信息安全,供应商的新产品、新技术和新理念不断出现,安全产业蓬勃发展。这是一个最坏的时代,漏洞层出不穷,APT威胁不绝于耳,地下产业的发展同样迅猛。从用户的视角看,依然有诸多问题有待解决,在安全的检测、响应和应用安全方面,面临的困境正带来怀疑。从供应商的视角来看,挑战既是机遇,在大数据技术发展的基础上,安全协同模式的建立,为解决这些困境带来了光明的前景。“分则豫,合则立”,协同的发展会给供应商带来细分的机会,为用户提供更强大的安全能力,最终形成统一的安全生态体系,为两者带来新的希望。

下载报告

这是一个最好的时代,也是一个最坏的时代;这是明智的时代,这是愚昧的时代;这是信任的纪元,这是怀疑的纪元;这是光明的季节,这是黑暗的季节;这是希望的春日,这是失望的冬日;我们面前应有尽有,我们面前一无所有;我们都将直上天堂,我们都将直下地狱。

——查尔斯·狄更斯

困境篇:信息安全是一场战争!

信息安全和信息化存在根本性的不同。信息化的重点在于初期建设,就像是建筑师盖一座大楼;后期的维护工作则相对简单,就像是公寓的物业管理。而信息安全则不同,初期建设只是一个开始,真正的考验在运维阶段。信息安全是一场战争,它是一个持续的过程,只要信息系统存在一天,战争就不会停止。信息安全是一场战争,需要一群勇敢的武士面对敌人,但是更需要战友间的信任和军事化的组织。敌人不只是阴影中的黑客,队友间的怀疑才是最可怕的敌人。这是信任的纪元,这是怀疑的纪元。可惜的是,在这场战争中,我们并非优势的一方,诸多困境正横梗于面。

检测能力的困境

在战场上,最令人恐怖的不是强大的敌人,而是未知的敌人。网络中的攻防也是如此,企业如果无法发现入侵,就无法有效地防护和响应。使用传统技术的入侵检测系统和防病毒软件正面临越来越多的诟病。主要的问题有两种:一种是新型攻击无法被发现,另一种是大量误报信息淹没了真实报警。

从攻击者一方来看,攻击脚本和恶意程序的增长速度太过迅速,例如360积累的恶意样本库已经达到百亿规模。从检测方法来看,如果没有创新的技术,传统的特征库已经无法保证恶意代码的检出率。在这种情况下,新型攻击难以被发现也是必然的结果。

对于从大量报警中发现真实攻击的线索的问题,传统SIEM和SOC产品通常宣称提供各种关联算法和定制规则来解决,但长期以来实用性并不好。现在看来,这个问题的本质是“从稻草堆中寻找一根针”。所以,只有两类相关技术成熟起来,才有可能真正解决这个问题。第一项技术是大数据分析技术,为海量报警和相关信息的复杂分析提供基础支持,第二项技术是威胁情报,能够从外部提供准确的威胁信息,与内部疑点进行对比分析。

响应能力的困境

对一个企业来说,安全事件的响应能力是安全团队最重要的能力之一。但是近年来,这项工作的难度越来越大了。一方面,企业的IT规模在不断扩大,业务种类也在不断增加。而云计算、虚拟化、SDN等新兴技术的采用,也给IT架构带来了变革期的阵痛。这些因素都导致了安全边界的扩大。另一方面,攻击者使用的手法种类越来越多,也越来越复杂,往往需要多个安全产品的配合才能发现和处置,企业部署的安全产品种类和复杂程度也在增加。

其结果是,安全团队的工作量越来越大,需要的专业化程度也越来越高。有的安全团队会长期超负荷运转,应付各种重复工作;也有的安全团队采购了先进设备之后,由于使用太复杂而难以发挥其效果。所以对用户来说,最有效的网络安全设备,应该是能减少运维工作的产品。整个信息化工作正从劳动密集型向技术密集型转变,用自动化工作代替重复、简单、枯燥的工作,才是理想的安全解决方案。

应用安全的困境

漏洞管理是安全团队的另一项重要能力。然而近年来这一任务变得越来越艰巨,漏洞数量越来越多,影响范围也越来越大。从SandWorm到WireLurker,从HeartBlood到ImageMagick,基础组件和平台的漏洞影响不断引发关注。然而,这些威胁影响虽广,却只是冰山一角。因为备受关注,其补救措施也会快速出现。对单个企业而言,造成严重损失的,往往是大量已知漏洞没有及时修复,以及业务应用开发中产生的应用层漏洞。这些漏洞很难被发现,又和直接业务相关,最有可能被攻击者长期利用来获利。

应用层漏洞的数量在快速增加,这一现象背后的原因是IT环境和开发模式的变化。云计算、虚拟化、SDN、移动设备等技术的兴起,导致应用程序需要适应多样化的环境,应用本身也越来越复杂。与此同时,当前业务上线和更新的速度也远远超过以前,大部分开发团队都采用敏捷开发模式,需求和实现在一轮轮迭代中快速改变,安全很容易被归入次要特性。此外,快速上线的压力导致测试阶段被压缩,安全测试也往往成为牺牲品。以上这些因素导致了应用上线前的漏洞远比以前更多。

那么,应用上线之后,这些漏洞是否真的会被攻击者发现和利用?能否由安全团队逐步发现和修复呢?不幸的是,这些漏洞会被攻击者利用。如果一个应用有成为非法盈利渠道的潜在可能,攻击者在利益驱动下,就会寻找其漏洞。而他们所拥有的经验和投入的资源在单点上会远超一般的安全团队。这使得企业自身早于攻击者发现并弥补漏洞的可能性非常之低。

这是一个最好的时代,也是一个最坏的时代;这是明智的时代,这是愚昧的时代;这是信任的纪元,这是怀疑的纪元;这是光明的季节,这是黑暗的季节;这是希望的春日,这是失望的冬日;我们面前应有尽有,我们面前一无所有;我们都将直上天堂,我们都将直下地狱。

——查尔斯·狄更斯

困境篇:信息安全是一场战争!

信息安全和信息化存在根本性的不同。信息化的重点在于初期建设,就像是建筑师盖一座大楼;后期的维护工作则相对简单,就像是公寓的物业管理。而信息安全则不同,初期建设只是一个开始,真正的考验在运维阶段。信息安全是一场战争,它是一个持续的过程,只要信息系统存在一天,战争就不会停止。信息安全是一场战争,需要一群勇敢的武士面对敌人,但是更需要战友间的信任和军事化的组织。敌人不只是阴影中的黑客,队友间的怀疑才是最可怕的敌人。这是信任的纪元,这是怀疑的纪元。可惜的是,在这场战争中,我们并非优势的一方,诸多困境正横梗于面。

检测能力的困境

在战场上,最令人恐怖的不是强大的敌人,而是未知的敌人。网络中的攻防也是如此,企业如果无法发现入侵,就无法有效地防护和响应。使用传统技术的入侵检测系统和防病毒软件正面临越来越多的诟病。主要的问题有两种:一种是新型攻击无法被发现,另一种是大量误报信息淹没了真实报警。

从攻击者一方来看,攻击脚本和恶意程序的增长速度太过迅速,例如360积累的恶意样本库已经达到百亿规模。从检测方法来看,如果没有创新的技术,传统的特征库已经无法保证恶意代码的检出率。在这种情况下,新型攻击难以被发现也是必然的结果。

对于从大量报警中发现真实攻击的线索的问题,传统SIEM和SOC产品通常宣称提供各种关联算法和定制规则来解决,但长期以来实用性并不好。现在看来,这个问题的本质是“从稻草堆中寻找一根针”。所以,只有两类相关技术成熟起来,才有可能真正解决这个问题。第一项技术是大数据分析技术,为海量报警和相关信息的复杂分析提供基础支持,第二项技术是威胁情报,能够从外部提供准确的威胁信息,与内部疑点进行对比分析。

响应能力的困境

对一个企业来说,安全事件的响应能力是安全团队最重要的能力之一。但是近年来,这项工作的难度越来越大了。一方面,企业的IT规模在不断扩大,业务种类也在不断增加。而云计算、虚拟化、SDN等新兴技术的采用,也给IT架构带来了变革期的阵痛。这些因素都导致了安全边界的扩大。另一方面,攻击者使用的手法种类越来越多,也越来越复杂,往往需要多个安全产品的配合才能发现和处置,企业部署的安全产品种类和复杂程度也在增加。

其结果是,安全团队的工作量越来越大,需要的专业化程度也越来越高。有的安全团队会长期超负荷运转,应付各种重复工作;也有的安全团队采购了先进设备之后,由于使用太复杂而难以发挥其效果。所以对用户来说,最有效的网络安全设备,应该是能减少运维工作的产品。整个信息化工作正从劳动密集型向技术密集型转变,用自动化工作代替重复、简单、枯燥的工作,才是理想的安全解决方案。

应用安全的困境

漏洞管理是安全团队的另一项重要能力。然而近年来这一任务变得越来越艰巨,漏洞数量越来越多,影响范围也越来越大。从SandWorm到WireLurker,从HeartBlood到ImageMagick,基础组件和平台的漏洞影响不断引发关注。然而,这些威胁影响虽广,却只是冰山一角。因为备受关注,其补救措施也会快速出现。对单个企业而言,造成严重损失的,往往是大量已知漏洞没有及时修复,以及业务应用开发中产生的应用层漏洞。这些漏洞很难被发现,又和直接业务相关,最有可能被攻击者长期利用来获利。

应用层漏洞的数量在快速增加,这一现象背后的原因是IT环境和开发模式的变化。云计算、虚拟化、SDN、移动设备等技术的兴起,导致应用程序需要适应多样化的环境,应用本身也越来越复杂。与此同时,当前业务上线和更新的速度也远远超过以前,大部分开发团队都采用敏捷开发模式,需求和实现在一轮轮迭代中快速改变,安全很容易被归入次要特性。此外,快速上线的压力导致测试阶段被压缩,安全测试也往往成为牺牲品。以上这些因素导致了应用上线前的漏洞远比以前更多。

那么,应用上线之后,这些漏洞是否真的会被攻击者发现和利用?能否由安全团队逐步发现和修复呢?不幸的是,这些漏洞会被攻击者利用。如果一个应用有成为非法盈利渠道的潜在可能,攻击者在利益驱动下,就会寻找其漏洞。而他们所拥有的经验和投入的资源在单点上会远超一般的安全团队。这使得企业自身早于攻击者发现并弥补漏洞的可能性非常之低。