何为“智慧防火墙”:访360企业安全集团总裁吴云坤

作者:星期三, 八月 31, 20160
分享:

8月中旬召开的中国互联网安全大会(ISC)上,360发布了新一代智慧防火墙和协同联动的安全理念。本周一下午,360企业安全集团总裁吴云坤接受媒体采访,阐述了智慧防火墙如何将改变当前的企业网络安全防御体系。

72dpi82

安全牛记者到场,并将访谈的主要内容记录如下:

一、从ISC大会谈起

吴云坤认为,今年的ISC大会是主题最为清晰的一次,概括起来就是“协同”两个字。

数据协同

数据协同有三个方面,一是由量变到质变,大家都把数据分享出来这个量就够了。二是异构协同,彼此的数据维度不一样,凑在一起才能发挥更大的作用。三是云地协同,即云上的数据和本地的数据。

智能协同

智能协同包括机器与机器、机器与人和人与人之间的协同,解决的智能不足问题。大数据平台、机器学习都差不多,但机器为什么要加人呢?因为人在做协同分析的时候非常有价值,人与人之间的协同更是如此。总得说来,智能协同,是为了提升分析和响应能力。

产业协同

产业协同是最难的,因为这是一个典型的数据开放问题。要把自己搜集来自用的数据,不包是SOC还是大数据平台,要放到客户的系统中,开放给其他厂商去做应用。因为不管是BAT3还是启明、绿盟,互联网公司也好,安全公司也好,都只是熟悉自己的应用,因此不熟悉的应用是否能允许别人来开发?前提是要把数据和平台都开放给别人。

二、何为智慧防火墙

ISC大会上,360还发布了新一代智慧防火墙和协同联动的安全理念。

对数据协同和产业协同的体现

企业里的数据是各种各样的,有网关数据、终端数据,还有移动数据和无线数据。以前这些数据散落在各个地方,现在360的系统要把它收集起来,放到企业私有云当中的大数据处理平台,然后再结合外部的威胁情报对这些数据进行分析处理,并将得到的策略下发到防火墙当中去,这就是智慧防火墙的核心理念。同样,这也是对数据协同理念的体现。

这些通过360的系统收集过来的数据,甚至包括360云端的数据,还有更多的不仅仅是威胁情报层面的一些数据将会开放给其他厂商或应用开发商,使得这些厂商可以基于360收集的数据和大数据平台能力,去做一些自己擅长的应用,体现了产业协同,共同防御的理念。

智慧防火墙的三个层面

“智慧”体现在三个方面,第一把全量数据采集回来,以前的防火墙从来不采集全量数据,仅仅是检查数据包。这种采集数据的防火墙,可视之为人体的皮肤。

第二是在收集完数据之后,跟其他数据联合在一起产生智能分析,而分析能力的强弱取决于大数据平台的能力,可看做是人体的大脑。但这个大脑绝对不是单个盒子里面的大脑,而是指大数据平台。

决战是在盒子之外,而不是在盒子之内。

第三就是云端数据,即360威胁情报的下发。因为在云端能看见的数据上足够多,包括Whois、IP、DNS、样本、黑名单,甚至可以追根溯源某些信息的前世今生,就像长了眼睛。

把这种眼睛的能力,跟本地的大脑的能力,再跟皮肤的能力整合在一起,形成防火墙的所谓智慧。这个概念已经非常清晰了,安全产品未来的智能,一定不是在盒子里面,也不是在终端软件的PC上、手机上,而是在云端的大数据平台上,不管是私有云还是公有云,利用它所产生的智能和看见的能力,然后再回到盒子中去做响应。

从某种角度上说,安全的本质就是用显微镜看个体,用望远镜看全体。

新概念产品的三年成熟期

实际上从最初的大概念到协同或联动防御,再到具体的智慧防火墙的这样一个逻辑,在2015年就已经完成。但在企业客户中,任何一款新概念产品的提出,一般都会经历三年左右的成熟期。

比如第一年发布产品,到下半年10月份客户做预算的时候,可能最多有30%的用户敢尝试,这些都是一些愿意并敢于追求新技术的用户。到第二年的10月份,就会有60%的用户开始参与进来,因为他们觉得这种产品已经比较常见,谈它不上是很新的了。再到第三年,大规模的使用就会到来。

第一年是怀疑,第二年是应用,第三年就会进入流行状态。

协同防御整个网络安全行业的一个大趋势,如同之前的UTM(统一威胁管理)、NGFW(下一代防火墙)一样,已经已经得到广大厂商、合作伙伴的认可和行业客户的认可。因此360实际希望看到更多的厂商参与进来,否则市场很难做大。并且,360不只是为了单纯的商业利益来推广这个概念,而是认为它真的可以帮助企业解决问题。

是改造不是颠覆

谈到360做企业安全是要颠覆安全行业的说法,吴云坤表示这完全是一个误解。他认为在2B,尤其是B2B领域,第一需要伙伴,第二个则需要生态。这个领域最常见的是改造而不是颠覆。

以智慧防火墙为例,企业以前的防火墙和终端原有的作用还会继续起作用,只需要做个系统升级来采集数据,不能说把防火墙扔了再去换一个设备。不管是谁的防火墙,只要支持全量数据采集,就可以接入到360的平台中去。对于客户来说,原来的投入是可以保留的。

三、安全管理中心(SOC)的问题

许多大型企业都建立了SOC,与360的产品类似,SOC的主要功能之一也是采集数据,那么两者之间是怎样一种关系呢?

SOC主要的功能是告警

吴云坤认为,SOC一定是围绕着告警来做事。但谁能整天盯着告警呢?要么告警太多,要么告警不准。真实的需求场景在安全分析(SA),真实的场景对调查分析的需求往往要高于告警检测需求。

比如当告警出现,接下来要知道这个告警是如何产生的,是谁的攻击造成的,攻击的又是谁的机器,什么时候攻击成功的,然后又偷走了哪些数据,这全都是调查分析类的需求。退一步来讲,即使没有SOC告警,也会需要做很多的分析。比如企业内部发现异常,原代码漏等等。企业的SOC其真实应用是告警,与调查分析是并重的关系。

被忽略的处置需求

企业安全还有一个被忽略的需求,即处置类需求,而这种需求在缺少调查分析的时候几乎是空白。处置可以是阻断也可以是隔离。

比如,终端被种木马,想保留现场的话,最常见的处置就是锁屏,让别人登不上电脑,或者从网络上隔离后,再去做调查分析。还有一种处置方法就是蜜罐。这些处置手段都不是简单的去杀掉这个木马,而是去分析中招之后,对企业内部带来的影响是什么。但以前评价SOC的主要关注点,仅仅是在于有没有发现攻击。

所以调查分析需求和处置类需求往往比检测类需求的使用频率更高,而且还是主动的。告警是被逼的,必须要处理一下,这是被动类需求。

调查分析和处置需要数据做支撑

没有数据就没有办法进行调查分析,这也是之前为什么没有做调查分析的原因。因为当告警出来以后,没有终端、、网络、无线等方面的数据,即便想做调查分析也无能为力。

拿摄像头数据来说,谁在什么时候进过大楼,哪层楼哪个房间,用了哪台电脑,发了什么文件,发给了谁等等。这是一个标准的调查链条,包括了物理安全、网络安全、终端安全等数据,但这也正是调查分析的基础。

处置也同样如此。你不能说SOC前脚告警,后脚就把出问题的电脑格式化了。这是一个真实的案例,原因就是相关人员害怕担责任。于是,我们连举证都不可能做了,这件事情只好不了了之。但是如果有数据的话,就可以追溯过去的事情,谁登录过,发过什么文件,外传过什么资料,对企业用户来说,这是一个典型的调查分析加处置手段的场景。

“海莲花”事件就是这样,实际上这个木马早在几个月之前就被发现,但是客户无从得各有它从哪里来的,只好一杀了之。但如果客户知道它的背景是越南的话,就一定会检查它偷了哪些资料,还在哪些机器上出现过,他的处置手段就会立即发生变化。所以任何调查分析和处置都是基于数据分析的结果,它会直接影响到企业的安全策略。

四、安全咨询的四个层级

销售设备已经不是主流,通过设备去做服务是未来的趋势,360企业安全如何看待安全咨询?

吴云坤表示,他们把咨询分为四个层面。第一个层面是规划,这是一个对新的防御观念接受的过程,客户需要这个过程来改变过去基于等保来做的围墙式的防御观念。新的思路全是基于威胁情报和大数据来做的。

第二个层面就是传统的合规咨询,比如27001等对标性质的咨询。

第三层是围绕某一个特定领域问题来进行的,这是行业上的问题。比如公安的态势感知和银行的态势感知就是不一样的,这是两种不同的业务流程。而产品的交付过程肯定是需要咨询的,它是业务流程相结合的,这属于产品层面的咨询。

最后一层是对安全事件的解读分析。客户尤其需要这最后一层。因为产品是要发挥作用的,事件报告能够帮助管理层更好地理解发生了什么。这种咨询,更多是产品如何跟安全服务的结合,使产品价值得以体现的一个过程。

五、基于防火墙的生态开放

数据共享比设备联动的成本要低很多

智慧防火墙的一大主要特征就是支持全量的数据采集,比如网神的防火墙和网康的上网行为管理,现在已经全部支持全量数据采集。在这一点上,360鼓励更多的厂商去做。

支持全量数据采集对用户是有好处的,这个理念其实不是来自于传统企业安全,而是来自于国防安全。所以360希望所有的网关类厂商,如果有合作的话,都希望能够支持全量数据采集。360愿意把数据格式标准开放给大家,而且数据开放要比设备开放成本低很多。因为基于设备的联动要复杂的多,硬件改动起来非常麻烦。

生态是场盛宴

许多应用开发商收集数据很难,但网络设备会容易。因此把这些数据贡献出来,让应用开发商做他们该做的事,他们好,我们也好,我认为这就叫生态。

所以从商业上来讲,生态是一个盛宴,希望更多的人参与进来。而从用户角度上来说,解决用户需求不能只靠一家力量,要靠更多家的力量来去做。不能独霸大数据资源和大数据平台资源,唯一的目标就是服务好客户。所以我们要把数据开放出去,要把平台开放出去。我们要在明年4月份做生态大会,把我们的合作伙伴和客户,以及我们能做出的漂亮应用全部展现出来。

“做一个生态远远要把做一个只有一家独大的公司要重要的多,因为一家企业本身能做的事情非常有限。”

相关阅读

360网神新一代威胁情报产品发布

RSA 2016:访360企业安全集团总裁吴云坤

 

分享:

相关文章

写一条评论

 

 

0条评论