8月4日,绿盟科技举办了一年一度的TechWorld 2017技术大会。历来以技术创新及智慧交流而享有盛誉的TechWorld技术大会,这次也不负众望的带来了异彩纷呈的思想碰撞,不仅有围棋世界冠军古力跨界安全圈激发的创新火花,还有云计算、机器学习、物联网和网络安全的新兴合作,以及滴滴安全、美团点评、安天移动等互联网公司带来的前沿安全理念。
没到现场感到遗憾?不要担心,大会的热点我们已经为您一一记录与总结,尽在绿盟科技博客。近两周内我们会陆续发放相关内容,记得随时关注哟!
今天的内容是绿盟科技高级副总裁叶晓虎博士带来的《从安全运维到智慧安全2.0的技术创新》。
作为绿盟科技的开场演讲,叶晓虎博士从宏观层面为我们阐述了绿盟科技的战略转型之路:从安全运维到智慧安全2.0的技术创新。随着网络威胁日益复杂,安全设备的单一能力已经无法应对新兴网络威胁。因此,绿盟科技在2015年提出了P2SO的战略转型,并且在2015年的时候发布了《智慧安全2.0战略蓝图》。
下面跟着叶晓虎博士一起深入了解绿盟科技的智慧安全2.0转型之路吧!
2017上半年回顾
《2017年上半年网络安全观察报告》
在7月的国际金融展上,绿盟科技发布了2017年上半年网络安全观察的报告,这份报告的数据来源于绿盟威胁情报中心对互联网流量的监控,以及绿盟科技为企业进行安全服务的数据的总结。从报告中我们可以发现:
- 从工具的角度来看,全球有60%的恶意IP集中在GDP排名前十的国家。
- 从攻击所利用的漏洞来看,被大规模利用的漏洞数量有限,而且大多数的漏洞都有了正式的官方的补丁。
- 从网站安全角度来看,针对网站的攻击非常的活跃,SQL注入仍然是目前最常见的攻击的手段。
- 勒索软件产业日益成熟,勒索事件的数量增长迅猛,另外出现了趋向于利用系统漏洞自动传播的技术的趋势。
《2017上半年DDoS攻击态势报告》
DDoS攻击是大家耳熟能详,是最简单、最粗暴、最有效的攻击方法。绿盟科技在研究DDoS攻击防护领域有了十几年的积累,我们每半年都会发布一份关于DDoS攻击态势的报告。从2017上半年DDoS攻击报告中可以看出今年发生的一些新变化:
- 攻击流量和攻击的次数仍然在持续的上升。
- 从攻击手段来讲,SYN Flood攻击仍然是目前最主要的攻击方法之一。
- 随着这几年各行各业对网络安全的重视,对脆弱性的治理有所成效,前两年所有的DDoS报告里面占主要成分的反射攻击的数量在今年上半我们观测的情况来看有所下降。
WannaCry:考验
今年上半年的WannaCry事件对所有做企业安全的同行来讲都是一个非常大的考验。在5月12日晚间,绿盟科技就监测到相应的可疑行为,同时现场的工程师进行了对应的通报并截取了恶意样本,后端的产品团队、研究团队和服务团队,启动了最高等级的应急流程,进行了一系列的分析工作。在13日下午的时候,安全服务团队发布了一键加固的脚本,同时本地的安全服务工程师到客户的现场为客户进行了系统的加固、打补丁。
实际上Wannacry所利用的漏洞在4月份就已经有了微软发布的对应的操作系统的补丁。但是在绿盟科技所服务的客户里面,有近半数的客户直到Wannacry这个事件发生的时候,才去做对应的更新的工作,没有事先采取对应的措施来消除漏洞和威胁带来的风险。这也是我们在进行企业安全管理研究需要深刻思考的一个方面。
企业安全管理的日常工作并没有发生颠覆性的变化,还是围绕着资产进行漏洞的监测、威胁的防护、事件的响应、取证、溯源以及评估和持续的改进。但是这几年,新的技术和新的理念、新的架构不断地出现,比如大数据、机器学习、UEBA、威胁情报、NGFW、纵深防御等大家耳熟能详的技术名词。而这些名词和技术背后的核心是围绕着建设企业安全管理的数据体系,并且围绕着安全数据,构建持续监控和持续分析的运营的过程。越来越多的企业意识到企业自身的安全不是孤岛,需要和企业所处的行业、跟安全行业、监管机构紧密的协作才能更好的开展企业安全管理的工作。
智慧安全2.0
从前面的三份报告,大家可以深刻的体会到绿盟科技近几年的转变。过去十多年我们开发了非常多的安全的产品,从IPS、防火墙等等十几类,但是我们意识到仅仅有安全设备单点的能力,不能为用户提供更好的服务。所以绿盟科技在2015年提出了P2SO的战略转型,并且在2015年的时候发布了《智慧安全2.0战略蓝图》。
什么是智慧安全2.0
首先在云端积累对应的安全能力。其次围绕着企业安全管理平台,应用在云端所积累的相关的技术,使得本地的工程师团队和企业的安全管理团队能够通过企业安全管理平台,进行紧密的协作、联动。这就是我们所设想的智慧安全2.0未来如何更好的抵御威胁对企业业务所带来的影响。
云端能力建设
绿盟科技在威胁情报中心为主的情况下,建立了互联网流量体系的收集和监控的一些系统,以及跟合作伙伴之间的数据交换和客户之间的合作,由此所得到的关于攻击的告警、日志和恶意样本的信息,也包括一些开源情报。在这些数据的基础之上,绿盟也进行了一些技术上的实践,包括利用机器学习的方法,构建了新的Web攻击的检测引擎,以及绿盟开发研究的态势感知的引擎、机器学习的框架,从而输出得到一些关于攻防规则、攻防模型方面的智能引擎。同时利用积累的这些能力,绿盟在云端为客户提供SaaS化的服务,包括像威胁情报,为客户提供攻防对抗相关的服务。
企业安全管理平台
在智慧安全2.0的蓝图里面,核心的落地元素是企业安全管理平台,我们参考自适应安全架构,实现了我们叫做ESP的企业安全管理平台,包括也对应了一些新的技术,包括机器学习、UEBA相关的一些分析的攻防模型,同时基于ESP的平台,我们开发了两个主要的解决方案,其中一个是态势感知。我们希望通过态势感知以及我们所研究的态势理解的引擎能够让企业安全管理团队很清楚的了解到当前企业安全的状态,以及对攻击事件进行历史的溯源和还原,同时根据当前的状态来判断目前企业安全所处的水平和状态,以及存在的风险。
漏洞管理
漏洞管理是企业安全管理当中的基础工作,大家知道绿盟的扫描器应该是国内做得不错的产品,但是有限的安全企业管理团队在漏洞数量快速增长以及企业资产快速增长的今天,怎么有效的进行工作,跟我们以往站在技术维度角度来看漏洞的优先等级进行处置,已经无法适应对应的工作要求。因此我们推出了基于威胁的漏洞生命周期的管理方案,实现了对漏洞全过程的管控以及基于威胁的漏洞处治,这样可以使企业安全管理团队专注在对自己高价值业务资产产生威胁的漏洞的处置,提高整个团队的工作效能。
安全新理念:云计算&工业4.0下的安全
企业安全是为业务服务的。最近几年IT环境的变化,安全界涌现了许多新技术和新方案。
云计算
越来越多的企业在采用云计算的服务,包括采购公有云提供的服务,在自己的企业数据中心当中构建私有云,以及混合云的使用。越来越多的企业向绿盟咨询在云计算安全环境下面怎么解决安全问题。在云计算安全环境下面,南北向流量的检测和防护跟传统没有什么区别,但是东西向流量的检测和防护,没有比较成功的案例。
公有云的服务提供商和运营商,希望在云计算环境里面为用户和租户提供安全增值服务。绿盟科技作为国内最早投入云计算安全的厂家,建立了独立的云计算安全解决方案的开发团队,提出了安全控制器和安全资源池的概念,并且在实际环境中进行落地。绿盟所提出的云计算安全的资源池的解决方案,目前在企业、政府、运营商这些行业都已经得到了相应的应用。
工业4.0下的安全
绿盟科技这几年一直非常关注工业控制系统安全的问题。今天在工业领域,工业云、工业大数据、工业物联网的边缘计算已经形成了今天所说的工业4.0、智能制造等等新型的工业支持的技术。绿盟科技有一个在北京、西安对应的研究团队和产品团队,一直在持续的研究工业控制系统的安全问题,并且开发相应的产品和方案。
链接协同的探索
除了技术和解决方案之外,大家知道在攻防的过程之中,攻击方有着很精细的分工。漏洞挖掘者在交易平台上出售漏洞,攻击工具开发者在交易平台上出售他利用漏洞所开发出的攻击工具,而一个攻击者可以以很低的成本在交易平台上获得发起一次低成本有效的攻击。而我们作为防御方企业,需要和安全厂家、监管机构构建紧密的分工和协作,才能保持相对较高水平的安全状态。本地的绿盟安全运营工程师团队,可以和企业的安全团队,利用绿盟科技云端的专家团队和安全能力的紧密协作,通过信息的共享、样本的共享来完成风险预警规则的推送和应急相应的过程。
连接协同面临的挑战
企业面临的挑战
- 大量的客户、大量的企业需要改变对服务的观念,需要改变预算决策的机制和预算的结构。
- 企业需要将安全运营的能力、工具和结合到整个的业务体系里面中,从而实现高效的自动化的安全开发和运维。
- 来自于监管合规的限制。
安全厂家面临的挑战
- 需要从开发单点的技术产品转化为客户提供解决方案,需要从产品的交付转变到安全能力的交付。
- 攻防对抗的本事是攻防两端能力的对抗,作为安全厂家需要快速的积累更多的、更高水平的安全能力来提升对抗水平和速度,这样才能更好的为企业提供服务。
- 厂家和企业之间如何在监管机构的监视下,一齐建设有效的协同运营体系。
应对新挑战
我们今天面临着诸多的挑战,个人的连接、企业的连接会变得越来越复杂,在万物互联的时代,个人不仅仅是工作,家庭生活、出行等等相关的方面未来都将连接起来。而作为企业,它的安全环境不再仅仅局限于它的IT队伍,它还包括云服务提供商、上下游供应链、用户、员工以及企业业务当中所使用的对应的物联网相关的技术。
对于安全行业来讲,现今面临着诸多的环境、技术、需求方面的挑战。绿盟科技希望能够和更多的客户展开更紧密的合作,大家一起来研究如何应对新形势下所产生的挑战,希望能够产生更多、更好的想法、技术和方法,只有这样才能够更好的为客户提供更好的服务。
查看原文:http://blog.nsfocus.net/techworld2017-smart-security/