【牛人访谈】主动安全的“核”动力:用户体验
作者:星期五, 七月 3, 20200

在“新基建”的建设背景下,企业传统的生产体系、业务环境逐渐由封闭转向开放,其业务呈现出泛在移动、云化部署、弹性扩展等趋势。随着企业信息化需求不断升级、网络接入方式更加多元,以“被动防御”为主要特征的传统网络安全防护模式面临着巨大挑战,业界对主动性防御体系的期望不断增长。

安全性和可用性就像是一个天平的两端,目前主动安全解决方案最常见的问题是误报率高、实施难度大、可管理性差,导致主动安全技术概念火热,但真正落地的项目寥寥。究竟什么是主动安全,如何在企业中落地,主动安全和现有的传统安全有什么不一样,现在的网络环境下怎么构建主动安全防护?

带着以上问题,安全牛日前采访到新华三集团副总裁、安全产品线总裁、新华三信息安全技术有限公司总裁孙松儿,从技术、管理和应用等方面,对主动安全体系未来发展进行了探讨。

孙松儿,20年网络安全产品研发经验,长期从事网络安全产品研发、管理及安全技术研究工作;负责新华三集团安全业务的技术战略规划与开发落地,带领团队在国内较早开展主动安全体系的构建与关键技术攻关,对企业信息化安全建设的顶层设计、云安全、安全运维管理等有深刻理解。

安全牛:在新冠疫情和企业数字化转型的影响下,现代企业面临的安全威胁发生了哪些变化?主要挑战是什么?

孙松儿:我们看到,很多企业受到疫情影响,无法及时、全面地恢复生产经营,从而面临生产经营压力,所以一些企业选择了远程线上办公模式来应对疫情期间的生产需求,这也开启了数字时代最大规模的一次远程办公迁徙。

在这个过程中,企业开始关心如何保障安全接入,包括接入方式、接入后的权限管理及数据安全问题。突然爆发的企业全员远程办公,意味着大量企业内部人员,需要从企业安全边界外部(包括家中或者不安全的公共热点)访问任意能够维持正常工作的账户、文档或数据。若相关网络安全措施、规则和培训没有随之调整,将产生巨大的安全隐患,比如说:

1)接入内网后权限过度开放问题:在远程共享访问中权限过度开放被不法分子利用;

2)数据泄露风险:在当下针对疫情、诊疗、远程教学等业务所需的大规模数据采集、处理、传递和分享中,数据泄露的风险加大,侵犯数据隐私的问题已经开始暴露出来;

3)自动化攻击/爬虫威胁:一些企业提供有限期的免费服务,如:免费的正版电子书阅读、优惠报名的线上学习和考试等。这些免费服务和应用也会被大量自动化攻击工具和爬虫所利用,给企业安全和IT运维带来巨大的困扰。

安全牛: 企业应该如何应对这些新的安全挑战?对主动安全的应用有哪些机会?

孙松儿:新的网络安全形势对企业信息安全管理人员提出新的要求:第一,在数字经济时代,要充分认识到安全是生产力的一部分,而不是以前的纯 “成本部门”。如果没有安全保障,很多业务系统就不可能持续运行;第二,目前整个信息基础设施都在联动协同,安全也不可能是孤点,一定要考虑整体协同。因此在建设安全防护体系的时候,应该有整体的考量;第三,安全部署会涉及基础技术应用,尤其是在 AI、大数据技术盛行、IT基础设施和业务上云的新经济与新技术时代的形势下,一定要考虑到安全部署的前瞻性。

此外,需要新的解决方案去帮助企业应对挑战,而这就与传统提供“单一盒子”的产品模式产生了矛盾。我们认为,未来安全一定是要走向场景化和智能化。现在已经过了单产品去拼指标的时代,我们更强调一个集成的、综合的技术服务能力。要实现安全的智能化和场景化,需要将传统防火墙、IPS、VPN等技术进行整合,整合成一个满足用户需求的完整解决方案。

我们认为企业用户对安全技术的应用,会有以下趋势:第一,会走向场景化和智能化;第二,会走向解决方案化,第三,要和新技术充分融合,比如AI、大数据、云计算等。目前,网络安全技术正面临着一个转折点,基于边界的安全模型不再成立,围绕传统技术的安全工程也不再适用。未来的安全不能再像修“城墙”一样,通过传统特征库比对等方式在网络边界处进行被动防护,而是需要一个自适应的安全体系,借助人工智能和大数据分析等技术手段,持续、实时的进行分析,实现未知威胁的主动防护。

安全牛:主动安全体系的核心理念是什么?分别对应了哪些安全问题或者场景?

孙松儿:主动安全需要尽可能地帮助用户提前发现安全风险,然后实现快速响应。因此,在新华三的方案体系中,主动安全包括三个核心理念:全栈、意图和使能。

首先是全栈。要做一个全栈的数据感知,也就是在数据采集上做得更加全面,实现从L1到L7层的全面覆盖,包括安全事件的信息、安全分析的日志、安全的流量,以及服务器的一些异常状态报告等,只有把信息搜集得足够全,才能为后面的分析打下基础。这就需要提升数据的抓取能力,除了正常的安全设备的日志以外,我们还要从原始的流量中精确挑出一些关键流量,所以要有很好的流量探针,还要有用户的行为画像。

其次是意图。我们为什么要搜集数据?因为要做意图的分析。过去,运维人员拿到一些安全设备、安全设施的告警信息之后,仅仅做一些数据学的统计分析;但这样做是不够的,会遗漏很多潜在的风险,所以我们需要做用户的行为画像,把各种行为关联起来之后,再来判断它是不是存在风险。不管是利用AI的模型也好,还是利用一些图谱手段也好,这样做的意图就是要尽可能把安全的风险、以及潜在的安全风险发现出来。传统的手段是看不见的,但通过意图分析把这些信息关联起来之后是可以看到的。

最后是使能。发现了问题之后需要怎么办?需要做协同、联动、响应,比如可以设置很多预定义的规则,如果发现用户不合身份地进行一些文档下载,超过阈值的时候,安全系统就会把这个用户踢下线,同时给这个用户发出警告,还可以把这个用户的端口关闭,甚至可以提醒管理员注意,这就是使能。

针对安全事件,我们尽可能地收集数据,通过AI的模型,通过意图的分析,能够发现潜在的风险,然后对风险进行响应和处置,这是我们看到的一整套的流程,也是我们看到的主动安全的三个要素间的关联。

安全牛:对企业用户而言,以AI为基础的主动安全具体应用场景会有哪些?

孙松儿:主动安全防御体系涵盖从网络安全场景、云安全场景、大数据安全场景,到移动IT安全场景、工控安全场景和物联网安全场景等多个领域,需要具备风险评估、威胁分析、协同响应、先知预警等能力,通过“云-网-端”立体防护,将云端分析和边界防御相结合,才能洞察各种攻击威胁,从而有效阻断或大幅消减网络中的各类风险威胁,真正实现针对安全风险威胁的“预知未来、主动发现、协同防御、智能进化”。

从目前来看,国内很多的AI安全企业,包括安全AI都还停留在一些看不见、摸不着的算法优化和改进上,在这方面,新华三已经先行一步,提供了针对场景化的AI模块。比如说,利用AI进行异常流量的判断和流量模型的建模,针对最常见的DGA域名、恶意URL等。

安全牛:目前,主动安全、智能安全这样的新安全技术在应用落地时会面临很多困难,新华三集团以自身作为“试验田”,在集团内部已经开始应用主动安全相关的解决方案,在这个过程中,您觉得主要的挑战是哪些?

孙松儿:新华三是在2017年正式提出了主动防御的理念,并在技术、产品、应用层面持续推动主动安全技术体系的发展和落地。为了构建”以人为本、数据为先”的主动安全世界,我们从2019年开始,将主动安全体系应用在集团的云环境安全资源管理、全集团安全态势分析、数据中心未知威胁发现以及研发人员远程办公管理等四大业务场景,对整套体系的架构与技术能力进行了实际验证与打磨。

在主动安全的理念落实过程中,我们主要遇到了以下问题和挑战:

第一个问题是,数据采集不全。很多部门表示需要做终端的用户画像和用户管理,但有的部门内部还没有装桌面终端,有的没有统一的企业级杀毒软件,有的则没有关键区域的数据防泄露及相关的设备。这种情况下,就要尽可能地放大条件,补充一些探针设备、数据采集设备;

第二个问题是,在不同的设备上收集的信息,由于厂商不一样,格式比较难统一,五花八门。要做意图分析,大数据分析平台需要具备对多种数据格式的统一管理;

第三个问题是,分析出来的漏洞和风险需要做协同响应,但策略该如何配置与下发?主动安全体系的落地其实不单单是体系的问题,还涉及现阶段国内IT信息安全建设的通病,比如日志和格式都不统一,互相之间难以联动。

主动安全的理念是先进的,应用效果也很好,但对传统网络的改造不能一蹴而就,企业需要结合自身的实际情况去规划,可以分阶段、有选择地进阶和改善,采用循序渐进的方式达到更好的应用效果。

安全牛:构建一个能够有效运行的主动安全体系,需要哪些安全技术手段进行保障和支撑?

孙松儿:我们认为,一个有效运转的主动安全防御体系,需要对能够引起网络安全态势发生变化的要素进行获取、理解、评估、呈现以及对未来趋势进行预测,从全局视角提升对安全威胁的发现识别、理解分析、响应处置的能力,涉及的核心技术包括:

1)基于机器学习的深度威胁分析技术:利用机器学习技术,结合威胁情报,对成千上万的网络日志、安全日志等信息进行自动分析处理与深度挖掘,从海量数据中甄别出潜在的安全威胁并提取关键特征,检测出未知威胁,提前预警安全风险。

2)基于行为画像的异常用户/行为检测技术:利用网络流量、用户行为、外部情报等数据,建立用户行为模型和用户行为基线,为每个用户行为进行精确画像,对异常用户和异常行为进行挖掘,结合情境分析和机器学习算法实现对用户/业务的异常检测。

3)基于时间序列模型的风险预测技术:基于时间序列模型对网络流量进行建模,根据实时和历史的网络流量及行为数据对未来的流量和行为的风险进行预测。

4)基于知识库的协同响应技术:构建以“知识”为中心的协同响应框架,通过引入上下文管理思想,用于加强控制策略的更新和自学习,当网络态势及业务目标等发生变化时,可利用基于案例的推理方法自适应生成和调整控制策略。

当然,除了以上所提到的技术外,未来像加密流量分析技术、零信任技术等也都会在主动安全体系中发挥重要的作用,这种趋势目前已经可以看到。

安全牛:目前影响主动安全技术应用的技术瓶颈有哪些?会如何发展完善?

孙松儿:根据新华三的实践经验看,目前很大的技术挑战在于AI模型的搭建,这其中不仅需要强大的硬件平台,还需要非常好的学习算法,以及大量的学习样本。未来对于AI安全的演进趋势,我们认为安全的AI落地会成为一个常态。在这种情况下,线上的训练结合线下设备的本地化匹配,这个模式会成为主流。另外从业务的角度来看,安全的AI更多是业务上的安全检测,在AI的智能运维未来会有更多的表现。

对于安全来说,访问控制矩阵、安全的策略相对来说比较复杂。在这种情况下,未来的安全AI的落地,会在一些策略自学习推荐的系统,甚至一些冗余智能策略的推荐,包括自学习策略模型有更多的动作。这样可以更好的简化整体安全运维,提升它的智能化。

安全牛:主动安全的应用,是否会对企业现有的安全管理模式带来改变?企业应该进行哪些部署准备?

孙松儿:企业网络安全防护三分靠技术、产品,七分靠管理,现有的产品和解决方案可以说主要是为管理提供落地执行的工具,是企业落地安全管理的最小执行单元;有了主动安全应用的加入,从运维角度,企业运维将变得更加自然和简便;从业务防护角度,AI的模型能够画出更精准的用户画像,从而发现潜在的异常;从管理的角度,一定会提供给管理者更直接的决策依据,管理者可以更迅速的做出处置决策,也因此会给企业带来更稳健的经营环境

为实现主动安全,企业需要做好两方面的准备:一是重视安全投入,确保安全设备资源到位;二是要加强主动安全理念建设,拉通业务流程,营造被动变主动的安全氛围。

随着信息化和数字化的进步与转型,安全会越来越重要,尤其是在越来越依赖于IT业务流程的时候;一旦受到攻击,造成访问的中断,会加剧对企业业务的影响,所以从这个角度来讲,随着数字化转型和IT基础设施的演进,ICT会越来越重要,企业也会越来越意识到安全的价值。

在这种情况下,企业信息安全管理者(CSO),首先应当从业务的角度,看在整个公司业务中安全在里面所承担的价值——倘若出现安全事故,公司的损失会有多少,需要让企业管理者清楚安全的价值点在哪里。

在这个过程中需要做什么?需要主动去提升公司关于安全的感知和安全的体验。很多的公司IT及安全运维人手有限,所以要借助智能化的工具。例如,可以做一些关于安全攻击拦截数据的可视化报告、定期发送安全主题的周报、或者借助新的技术手段把攻击事件、业务漏洞、风险提示等网络风险进行呈现,并且给管理员发报告。从这个角度看,用户体验是推动主动安全技术发展的核心驱动力之一。

对于有抱负的、积极创新的CSO要怎么办?他们需要给企业管理者提出一些主动性的信息安全的加固和加强建设性意见。例如提出从终端的管控、业务的包含等多种维度提出信息安全的加固意见。再者当企业业务上云后,也容易出现信息泄露的风险,需要企业加强数据泄露的防护,加强终端用户的管控行为审计等。目前,很多安全事件的应对都需要与时俱进。通过主动安全体系,是能够帮助CSO快速完善很多方面的安全防护工作。

相关阅读

这就是新华三的主动安全:全栈、意图、使能

详解主动安全防御体系架构:三个安全点、四个行为与六大能力

 

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章