本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
如果您需要帮助,请点击这里
菜单

威胁防御,因“网”而变

华为慕尼黑安全技术研究负责人 谈晶

感情男声
  • 感情男声
  • 感情女声
  • 标准男声
  • 标准女声
倍速1.0X
  • 倍速0.5X
  • 倍速1.0X
  • 倍速1.5X

在过去的一年里,全球勒索软件的总量增长了56%,WannaCry、NotPetya等勒索软件借助新的技术手段大面积的扩散,肆无忌惮的毁坏着各类企业的信息资产,全球企业遭遇了前所未有的危机。传统安全防护手段,以及各种所谓的安全防御新技术,在新型威胁面前显得无能为力。

不可否认,当前,各类安全设备、威胁防护手段已经取得了长足的进步,比如基于应用的访问控制,传输加密,身份认证等,各类防控手段无所不用其极,并且很多厂家开始通过不断的创新提升威胁检测能力。但是,还从来没有一个企业能够成功跳出纯安全领域去建立威胁防御体系。

我们可能忽略了这样是事实,信息数据传输的载体,就是通信网络,而大量的网络设备资源似乎在这场安全的攻与防中,处于旁观者。这就好比城市治安,为了减少和杜绝治安事件,我们通常考虑的是不断增加警力,却往往忽略了群众的力量。显而易见,无论我们加多少警察也无法杜绝违法事件的发生,只有依靠群众的力量,依靠更可能多的辅助手段,才能真正让违法事件无所遁形。如果把警察比作安全设备,那么群众就可以比作网络设备,网络设备就是我们的大杀器,我们一旦调动了网络设备的能力,实现全面的协同联动,所起到的作用是无法想象,否则将是空守宝山而不得。

华为SDSec解决方案——因“网”而生,构建网络安全协同防御体系

从威胁对抗的角度,学习和理解黑客入侵意图,可以让我们对症下药,事半功倍,防患于未然。借助网络设备资源,从采集和检测源头协同网络自动化筛选可疑目标,帮助管理员降低“噪声”;结合机器学习分析“场景化”异常,协同网络,对威胁进行快速响应和遏制。

——这就是华为SDSec(Software-defined Security, 软件定义安全)解决方的网络安全防御思路,因“网”而生,随“网”而建,解决安全产品和解决方案可用、威胁可被主动发现和预测、工程上可快速自动处置、管理上可自动运维的难题。让企业网络在攻防较量中占据主动,具备主动安全防御能力。

依托网络的威胁精准识别——被动防御变为主动防御

一个武装完备的企业通常部署了从网络边界到终端的所有安全产品,但是彼此孤立的单点防御产品既没有形成一个防御体系联合作战,威胁事件仍无法被准确判断,未知威胁不能被有效监测,单点检测效果也不尽人意。在全网多点异常分析上,企业还在依赖SIEMs产品从全网日志监控上来掌控整网威胁。市面上优秀的SIEMs产品擅长的是日志采集、广覆盖、适配和解析能力,但日志分析能力很弱。且这些日志都是基于单点事件的告警,对入侵和攻击链的全局缺乏多点异常关联。

华为SDSec解决方案,建立基于AI和大数据的安全分析器,并把网络基础设施转化为安全检测的传感器。作为传感器,交换机、路由器、防火墙等网络设备为分析器提供流量、Netflow、Metadata、日志、文件等信息输入。同时基于网络拓扑和威胁场景制作“剧本”,研究黑客入侵的意图和传播路径来构建威胁检测模型和规则,依托大数据分析工具完成海量信息的多维威胁综合分析,帮助管理员收敛海量的原始事件日志,自动准确发现威胁,甚至预测威胁。华为SDSec解决方案,依靠全网多场景多维综合分析模型:将鱼叉钓鱼、Web渗透、黑客远控C&C、账号异常、内部流量异常、数据窃取等子场景串起来进行综合分析,利用攻击图中每个攻击行为的威胁类型、级别、可信度进行综合计算,理解黑客的攻击意图,然后跟专家系统输出的攻击行为模式库进行匹配,根据黑客入侵行为动态调整模型,识别和预测攻击类型和可信度,把单点原始事件收敛到万分之1以内,减少管理员繁重的日志分析和溯源的时间,从而减少对专业安全分析人力的投入。

网络设备作为传感器,威胁的检测动作还可以做到随心所欲的调度。当网络某处发生异常,我们可以调度网络设备将可疑流量引入分析平台,做进一步分析,从而做出更为准确的判断。总之,有了网络设备的配合,威胁的检测和识别就像为深海探测的潜水器加上了大量的探头,暗流、浅滩一览无余。

协同网络的威胁快速处置——单点防御变为全网协防

威胁入侵和安全响应就是一场时间赛跑,42%的新漏洞在纰漏30天内被黑客利用,企业响应的时间远大于30天,打的就是时间差。缩短安全事件破坏和响应修复间的时间差,是减少经济和数据损失的关键。曾“名声大振”的勒索软件WannaCry让超过24万受害者遭受损失,而相比于“震网”这类高度复杂的攻击,WannaCry本身的技术性不强,但传播快感染范围广。尽管所有厂商都纷纷宣称可以检测到WannaCry,但客户最关注的不是你能否“检测”到,而是第一时间定位被感染计算机,及时拦截防止内部横向扩散,对并已感染终端快速进行修复。这是夯实组织对抗威胁的基础工程能力,提升自动化响应和修复能力是客户关注的焦点。

华为SDSec解决方案,专设安全控制器,并通过网络控制器协同网络设备实现威胁快速处置,首先通过基于AI的威胁分析能力快速检测未知蠕虫病毒,并快速响应,比如,在出口防火墙和路由器封堵445端口,升级IPS特征库等,更关键的是,将网络设备作为执行器,通过安全控制器联动接入层交换机及时隔离已经被感染的计算机,利用网络的各个神经末梢采集流量,定位感染路径,并联动终端软件自动化清除蠕虫病毒,批量推送补丁辅助员工配合来修复漏洞,自动化发布工具恢复加密文件。 

为网络服务的策略自动化运维——人工运维变为智能运维

企业的规模越大,网络越复杂,为了保障企业的安全,扼守在网络中关键节点的安全设备,往往累积了海量的安全策略,这一直是中大型组织和企业的头号难题。以某金融客户网络为例,仅数据中心防火墙策略就有几万条,全网防火墙数量大于500台,策略基于IP语言和业务的每次更新都需要调整防火墙策略,每天的策略更新量达到上千,运维不堪重负;业务下线、IP地址回收等均不会被及时通知到网络安全维护部门,策略提交者不会亲自撤销策略也很难被管理员发现,由此导致大量过期的安全策略堆积没人“敢动”;另外,数据中心搬迁时,安全策略的迁移也是一个“老大难”, 策略需要重新生成配置,手工操作花费数周时间才能完成。最后是重复策略的问题,同一应用多人申请可能会造成策略重复、策略总数膨胀;南北向访问,不同二级分行配置了访问控制,在数据中心防火墙上还会做重复的策略;东西向访问,流量会跨双层防火墙,策略配置又会翻一倍。

华为SDSec解决方案实现“以业务驱动的安全策略”,从IP机器语言升级到基于应用的高级语言,建立应用到IP的自动映射,通过安全控制器将安全策略与业务的生命周期紧密捆绑,在业务上线、变更和下线时,实时感知变化,自动翻译“业务的策略“到最终设备可执行的IP策略,省去人工干预。

更重要的是,通过安全控制器分析对应用互访关系进行可视分析,在机房搬迁场景自动生成策略白名单,免去繁重的人工重新配置;通过观察分析应用互访流、策略命中率等,对全网策略进行动态的调整和优化,及时删除重复策略、下线过期策略;通过动态流量分析,验证预上线策略的有效性,确保策略定义和实际执行保持一致。

华为SDSec解决方案,将网络的能力用到极致,从软件定义网络延伸至软件定义安全,。以安全控制器和安全分析器为核心,横向使能“一整张网络”,南向使能全网网络、安全设备和软件,北向开放对接主流云平台,实现以业务驱动的云、网络和安全的上下协同,并以“威胁入侵意图”学习为核心,动态定制采集和检测,使能全网自动快速遏制威胁,帮助客户提升安全分析和运维的智能化、自动化程度,保护客户关键基础设施稳固,业务永续。

从此,威胁防御,因“网”而变。

扫描体验移动阅读
enterprise network special issue cover

企业网络专刊(5月刊)

企业网络专刊(2018年5月)

当前相关内容

刊首语

视野

特别报道

焦点

生态