合肥網安大會|中新網安: 數據分析在安全體系中的應用

 

12月8日,由合肥市政府與中國電子信息行業聯合會、新華三集團聯合主辦,合肥高新區管委會、新華三信息安全技術有限公司承辦的“2017合肥網絡安全大會”在合肥召開。省委常委、合肥市委書記宋國權,中央網絡安全和信息化領導小組辦公室副主任楊小偉等先后致辭,工信部、中國科學院等有關負責人和專家學者,網絡安全“政策、產業、學術、調研、應用”等領域約2000多名業界人士參加大會。

大會以“感知安全·智御未來”為主題,IT廠商和政府、金融等行業市場的企業高層人士出席了大會,針對網絡安全相關的國家法規與政策、安全威脅挑戰、產業創新方向和生態體系建設等方面,進行了全面、深入的交流與研討。

 

中新網絡信息安全股份有限公司(簡稱:中新網安)作為本次特邀單位出席本次大會?;嶂?,中新網安副總裁沈傳寶在本屆產業創新技術論壇中發表了關于《數據分析在安全體系中的應用》為主題進行演講。

 

 

演講的主要內容

 

網絡安全的變與不變

 

 網絡環境發生著巨大的變化,萬物互聯網、云大物移、人工智能、機器學習等新技術。改變了生產和工作方式,而萬物互聯讓這個網際空間下,黑客等網上犯罪的能力更強了,網絡空間安全成為國家戰略的重要組成。

 

 

這里面有一個非常重要的變化是網絡安全市場不再像過去那樣,純粹的合規驅動了。我們知道安全的驅動力有幾種:一種是合規驅動、一種是風險驅動、還有一種是業務驅動。你的業務發展了,安全要求也就高了。隨著技術和業務的發展,“合規”已經不再是安全的目標,而是安全線上的一條基礎線。風險驅動、業務驅動才是我們說的“剛需”,“剛需”已經不再是合規,而是源于業務本身的基本需求。

 

現在越來越多的人認同 “安全的本質就是對抗”,在這個攻與防的拉鋸中,漏洞永遠是核心。這兩年關于漏洞的重要性得到了充分的理解,漏洞已經成為網絡對抗的武器。今年的WannaCry大家應該記憶猶新?;舊夏羌柑煺靄踩馱宋Χ紀度氳秸飧鍪慮櫚撓敝?,但WannaCry勒索軟件利用的漏洞卻是公開了很久,連POC也公開了很久,仍然會有如此大的影響力。

 

 

而我們的防御能力是怎么樣呢?我們知道軟件能力也好、安全工程能力也好、都有一個能力成熟度模型(CMM, Capability Maturity Model),我們把安全防御能力也套用這個能力成熟度模型,從一級到五級。一級最低,初始狀態,只有基本的邊界防御,比如防火墻。二級有了一定的基礎,可以按點防御,有了安全管理的概念。三級,就是充分定義的安全,有了體系化的概念,安全管理體系、安全技術體系、安全運維體系、整個防御體系能達到合規要求了。

 

實際上在過去,能做到這樣已經很不錯了,但是僅僅做到這樣還是不夠的。安全能力進一步提升要具備量化控制的能力和主動防御的能力,再進一步發展要具備持續改進的能力,就能達到自適應安全的水平。所以說安全防御有很長的路要走。

 

二 平臺化的必然趨勢

 

 

剛才我們說到安全能力的最高階段就是要具備自適應安全的能力。Gartner給了我們定義,這個圖是Gartner在前幾年提出的自適應安全的思想。安全圈的都知道PDR模型,就是防御時間>檢測時間+響應時間,我們的體系就是安全的。Gartner在PDR基礎上,增加了一個Predict,預防、預測的能力。從總體上變成了四個方面12項防護能力。

 

這個是我們中新網安金盾云基于剛才我講的平臺化安全解決方案示意圖。

 

 

下層是大數據接入和處理,這個是標準的大數據架構。在這個大數據架構之上是插件化平臺,這是我們能力的核心。

 

包括安全能力,比如漏洞挖掘能力、未知威脅檢測能力、安全分析能力、攻擊防御能力、威脅溯源能力等等。通過這些架構在統一安全平臺上的安全能力,實現根據用戶的業務需求而定制的安全應用能力,或者我們稱之為業務場景。

 

最上面,是中新網安的核心能力輸出部分,市場上可能都知道的幾款產品,比如抗D產品和云服務,這個我們做了15年了,在IDC領域具有絕對的領導地位;第二個就是APT高級威脅防御系統,或者稱為為深度用戶異常行為分析系統,以及安全態勢感知系統等等。

 

三數據分析是安全的基礎

 

 隨著技術的發展,數據分析已經成為安全產品發展不可或缺的基礎,主要原因一方面計算能力大幅提升,另一方面開源技術的發展,包括數據存儲、分析平臺等成熟度達到可用級別,技術壁壘大大降低了,包括機器學習、深度學習等也逐步在漏洞挖掘、安全分析方面起到了實際的作用。

 

 

今年Alpha Go的大熱讓人們刷新的對人工智能的認知。特別是Alpha Go Zero能夠按照規則自我學習對弈,北郵的楊老師在朋友圈里發:人類智能和機器智能從此分道揚鑣,不在互相約束,這是一個很恐怖的現實。

 

中科院的外籍院士和美國國家科學院院士丘成桐教授認為,人工智能并沒有提出一個新的可以被證明的理論作為基礎,目前是以神經網絡為代表的統計及其學習在工程實踐中取得了很大的成功。

 

在我們信息安全領域,無論是機器學習還是深度學習,都有著很成功的應用。我在這里簡單列舉一些,在漏洞挖掘領域、安全防御領域、APT檢測領域、社會工程學領域等,機器學習都有非常成功的應用。

 

中新網安是一家以攻防能力為核心的公司。我們的安全研究院長期從事國際與國內一流的攻防技術研究,把人工智能用在漏洞挖掘和人機對抗中,在攻防實戰中將漏洞挖掘、人工智能和人機對抗進行有機的結合。我們是國家漏洞庫的一級技術支撐單位,最近一段時間里我們一直是國家漏洞庫原創通用型漏洞的主要貢獻方。如果我們沒有用一些自動化的工具,這個成績基本是不可能的。

 

 

漏洞挖掘是從攻的角度,而我們的“獵潛者”則是從防的角度?!傲鄖閉摺筆且豢蠲嫦蚋嘸凍中醞卜烙牟?,也就是APT檢測和防御。

 

搞安全研究的人都應該知道,安全分析被認為是一種藝術,而不是科學。因為攻防對抗最終是人的對抗、情報能力的對抗,所有的知識快速變化,從其中要總結過程方法或者基本原則,幾乎是不可能的。鉆石模型(The Diamond Model)是針對以上挑戰提出的一個分析模型,鉆石模型的目標降低防衛者的付出,而增加攻擊者的成本。

 

獵潛者將鉆石模型定位 APT 檢測的理論體系。用機器學習將鉆石模型應用于 APT 檢測,該模型建立了入侵活動基本要素有四個核心特征:攻擊方、基礎設施、能力以及受害者。(基本關系的連通圖形構成一個菱形鉆石形狀)

 

“獵潛者”沙箱在做未知威脅檢測的實現,也通過總結大量的漏洞和木馬的規律,進行了大量的樣本訓練,通過機器學習的方法,提高未知威脅的檢測能力。

 

 

對比傳統依靠啟發式和特征匹配進行檢測的方法,“獵潛者”在4個月無更新情況下,惡意軟件檢測能力僅下降0.5%~1%。如果是傳統基于啟發式和特征的沙箱,在沒有更新的情況下,查殺能力是以幾何倍的遞減。

 

而中新金盾的拳頭產品自然是我們的抗拒絕服務攻擊產品。與傳統僅依賴端設備進行流量清洗和防御相比,我們在今年正式發布了中新金盾“云+端”抗拒絕攻擊智能防御平臺。采用云、端聯動的方法,常態情況下,流量并不牽引到云端。如果防護對象本地遭受到大流量的攻擊,端防護設備自動會將流量牽引到云端進行清洗,完成后再回注回來。這既解決了大流量的云端清洗問題,又解決了本地可以進行細粒度如針對CC攻擊優化的防護服務。

 

 

同時新一代的“云+端”系統實現了全球數據互通、威脅情報共享、攻擊智能分析和溯源等功能。

 

最后,簡單總結一下,即是通過統一的安全平臺,采用數據分析的方法,實現威脅從預測、到檢測、到防御、到響應的的一個完整的閉環。借用我們態勢感知常用的一個說法:知彼、知己、百戰、不殆。