2019年,第二届中华为网络安全中国行依旧以北京为起始站。内容上,此次巡展不仅在SDSec架构方面带来了更多的能力提升(如引入基于身份的信任体系),同时还增加了对特定行业和场景有更强适配性的HiSec安全解决方案,并以此为华为网络安全的重要品牌。
华为安全产品领域总裁宋端智
华为安全产品领域总裁宋端智在会上向媒体介绍,华为作为全球领先的ICT基础设施和智能终端供应商,十分看重ICT基础设施的安全性,希望叠加华为网络安全自身技术能力和联盟合作伙伴的优势,用HiSec安全解决方案为各行业ICT基础设施提供更为完整的保护。
1. SDSec架构能力升级
今年,华为网络安全在SDSec架构本身也做了很多能力升级。有三点十分突出,一是通过引入支持自定义的编排引擎,实现更为全面的编排响应。这包括诸如取证、特征同步、隔离等更为复杂的响应逻辑和阻断动作。同时,随着第三方编排逻辑接口的开放,网络、终端、云、威胁情报、以及客户的业务系统,将实现更为高效的协同。(注:这也是SOAR理念的一种体现,即减少分析和响应的人力投入,同时还要做到快速响应,提高安全运营的效率。)
二是加入了信任体系,将信任评估和风险评估结合,实现对访问行为的动态安全策略调整。基于IAM的信任体系,可以对用户身份、API和数据实现动态授权;而自动化编排和响应,则可以实现对威胁的动态应对。两者结合,可以强化整个架构对风险持续检测和可信评估的能力。
三是华为基于人工智能的分析和威胁检测能力。基于虚拟化层的行为检测能力(此次还在华为FireHunter沙箱中加入了基于CPU指令集的安全监控能力),AI对抗样本的检测,以及华为自研的昇腾310AI芯片,都成为了这一能力的重要加持。
如何理解这种更全面的编排响应的价值?以发现可疑扫描行为为例,通过网络流量终端可以获取可疑文件并提取文件特征,通过威胁情情报的查询和沙箱对行为的判断,如果认定是威胁就会联合终端清除并向管理员告警,同时策略更新会同步各设备和管控台,遏制扩散。其他需要对此事件了解的人,也会收到处理的相关邮件。
——华为安全产品领域副总裁 吴刚
随着SDSec架构的能力升级,结合华为安全商业联盟合作伙伴的能力,此次的HiSec智能安全解决方案,分别针对高端制造、政府和科研企业、产业园区、和区县级的智慧政务,提出了4套场景化安全方案。
- 高端制造:
这套方案针对的是类似台积电这样的高端制造业。机台的特殊性在于安全软件和补丁难以及时安装,同时为了考虑兼容性风险,停机测试会带来大量损失。所以华为的思路是通过设立安全隔离区,基于网络诱捕(注:和默安科技的合作)和沙箱,当引入新的机台时,会先在相对独立而且严密监控的隔离区运行一段时间。同时,在不同生产区,以及生产环境与IT/OT网络间,建设边界保护能力,从而避免恶意软件感染后的快速扩散。
- 科研企业及政府部门:
无论是科研企业,还是政府机构,高价值数据的安全都是他们关注的一个重点。能力侧重于数据防泄漏。传统的思路,是进行分区,对应不同等级的防护措施。同时,在权限控制方面,又显示出明显的管理困难。针对科研型企业和政府部门对数据防泄漏和IAM(注:合作伙伴为竹云)的需求,方案基于数据的授权,构建软件定义的安全访问控制体系。通过对身份的和权限的统一管理,包括用户和应用的认证与授权,降低泄漏风险。对保密性要求高的部门,也适用这套方案。
- 产业园区:
产业园区的方案主要是针对哑终端的安全准入,所以公共安全视频监控的场景也适用。方案的思路是通过流量进行资产识别,以白名单的形式限制协议和流量,同时通过UEBA分析发现受控终端,结合SDSec架构自身在编排响应的强大能力,快速处置——自动化海量哑终端的隔离动作,避免恶意软件的扩散。检测效率也会因人工智能的引入而大大提高,甚至到小时级。
- 智慧政务:
智慧政务这套方案解决的痛点,是区县级政府在安全事件集中管理和运维能力的缺乏。不仅缺乏合适的工具,还受限于运维人员的技术能力,无法有效的利用。方案的思路是构建7个平台和系统,包括漏扫、网络控制、安全管理控制、安全大数据、安全大数据分析、安全态势感知、以及通报预警,再结合自动化编排的能力,从上(地市)到下(区县),实现运维与管理分离的安全职能体系,提升整体的安全管理能力。这部分方案的合作伙伴,是专精于网络安全运营和管理的安信天行。
从上面这四个方案整体来看,结合华为安全商业联盟成员的突出能力,HiSec确实作为一个开放架构,将架构的能力加持到他们的强项上,帮助这些合作伙伴在适合的行业和场景深耕细做。而不是将伙伴的能力都吸纳到这个架构中,形成一个大一统的方案。
2932、48.6亿与2500
华为在网络安全领域不是“初入战场”,从时间维度就有近18年的历史。做安全的目的,自然也包括保护华为自身在全球的业务,但同时也在进行许多基础研究的投入。
对于成果与投入,华为安全产品领域总裁宋端智给出的数字是,目前在全球有8个研发团队,2个实验室,超过2500名研发从事着和网络安全相关的工作,2018年在研发上的总投入达48.6亿元,所获得安全专利2932件。这可能是国内任何一家安全企业都无法企及的。虽然对于华为自身的体量,这可能并不算什么,但是对网络安全这个行业的影响,其实力难以小觑。
会上还有两个值得关注的点。
我们谈到华为,总会与芯片分不开。
国内,无论是自主可控,还是可信体系,都需要硬件的支持,芯片就是其中的关键。此次宋端智还介绍了华为自研,基于SoC架构,对应4核和48核不同性能用于网络安全场景的CPU。性能肯定是最为突出的点,很多软件层面的能力,受限于芯片,客户几乎无法使用。对比Intel、Cavium两家厂商,单以IPSec加解密能力来看,宋端智认为达到了对手3-5倍。而让华为自傲的昇腾310AI芯片,也成为了华为AI防火墙的重要分析能力加持。
另一个和芯片相关的场景是SSL加解密。对于https的威胁检测,虽然华为有在和清华大学网络与信息安全实验室进行在不解密流量的前提下进行威胁分析的研究,但就目前的成果来看,相较于先解密进行安全分析后再加密的方案,不解密的方案还是有明显的局限性,特别是对于流量内含恶意代码的情况。但是,安全分析和业务体验不应做取舍,所以SSL加解密的性能至关重要。这点,华为网络安全在自研TCP卸载引擎TOE和专用加速芯片的支持下,宋端智表示理论可以达到5倍于业界平均水准的SSL检测性能。
第二个关注点在此次的华为安全商业联盟。
今年3月,又有两个新成员,绿盟科技和默安科技,加入了华为安全商业联盟。其他成员宋端智在会上也有展示,包括和微步在线在威胁情报方面的合作,上文有介绍,默安科技的威胁诱捕,竹云的IAM,安信天行的安服,以及安恒信息、盛邦安全、江民科技、奇安信(原360企业安全)、山石网科、亚信安全等厂商。不同于之前专注抗D,目的是更好的服务客户的云清联盟(注:华为发起,内部成员互相协助实现近源清洗),此次华为安全商业联盟的意义在于HiSec架构在编排、自动化响应和威胁检测等方面的优势,与联盟成员进行能力互补,提供细分领域的场景化安全方案。这不是所有的A都附属在B的方案里的关系,而是A1+B、A2+B……是种共赢。
客户一直在抱怨太多,太多的产品,太多的告警,安全产品和能力间没有相互的关系。同时,客户也不希望被一家绑定,但是希望安全投资更合理和轻松些。这需要一个生态,而生态需要一个支撑。我们只做这个支撑的事情,不觊觎你的技术。所以也不会和联盟的成员在技术投入和业务上有冲突。反而,双方可以更聚焦在自己擅长的部分。客户、整个产业,都会从中受益。
