这家公司专注防火墙OS和可视安全
作者: 日期:2016年07月28日 阅:2,455

对于行业内许多朋友来说,安博通这家早在2007年就成立的公司并不是一个十分熟悉的名字。它是一家位于产业链上游颇有实力的安全企业,年均复合增长率达到80%,定位是“嵌入式网络安全专用系统与特征库安全”服务提供商,在防火墙或网关类产品的圈子中很有名气。依托于自身的技术优势,安博通开始推出“可视安全”的概念。

看透安全

2014年安博通提出“看透安全、体验价值”的理念后,在去年发布了其面向业务的“可视化”V-BOC&G平台架构,并在本周一,联合中国科学院信息工程研究所共同发布了“深度安全网关”。

安博通CEO苏长君认为,网络安全是一套内外循环的“平衡”系统,需要我们将“内观”和“外察”有机的结合。他将”安全策略基线”的可视,分解为“网络、流量、业务域和身份”这四方面,并主张通过“行为可视、异常可视以及路径可视”,实现对网络安全状况的“侧写”。

“通过自适应的安全架构,即使用可视化的手段,在预测、防御、检测和响应这四个阶段的闭环过程中进行持续地监控与分析,以应对诸如APT等高级定向攻击。”

640-32

苏长君

传统的网络安全一般是基于策略或者是特征,然而特征并不等于行为,用户可以使用合法的账户通过合法的行为而做一些非法的事情,例如已辞职员工使用其原来的账户通过VPN远程登录进公司内部的系统并盗取企业的业务敏感数据。

下一代防火墙并不一定能防住下一代的威胁,只有通过对用户行为的学习,并利用动态的策略来匹配用户的行为,进行细粒度的响应,才能保证用户业务的连续性。所以现在安博通要做的,正是通过策略、行为和流量的可视,利用动态的策略配置、用户行为的分析和深度识别,以及敏捷响应来做到真正的‘看’透安全。

太极股份信息安全事业部总经理郭峰也在发布会中的主题分享中表示,在企业面临“业务安全状态不可视”、“安全策略不落地不持续”、“安全运维效率低”和“管理技术运行体制矛盾”这四大痛点的情况下,提高自身可视、可管、可控、可持续、可落地能力,建立IT免疫系统的自适应安全体系,提高应对新型威胁时的防御自适应能力,是下一代信息安全保障体系的核心。

640-33

太极股份信息安全事业部总经理郭峰

而与业务结合的“安全策略可视化”,则是提升业务系统自身安全免疫力的重中之重;而业务系统的IT免疫力和自适应能力,又决定着业务系统自身的安全防御能力。

可视(visibility)与可视化(visualization)

说了安博通“看透安全”的理念,现在谈谈可视与可视化的区别。可视与可视化区别的讨论在这一年可以说是一个非常热的话题。为什么这么说?因为大家都在讲我们可以真正的做到“看得见的安全”,但是真正做到不只是“地图炮”的又有几家?

小编私以为,可视化作为一种更加友好直观的呈现手法与真正的可视或说可见性有着本质上的区别。所谓外行看热闹,内行看门道,“可视”的价值不在于华丽的“可视化”的外表,而在于其真正对整体网络安全态势的认知和理解能力,能直观的让技术人员获得怎样的信息,只是单纯的数据流向以及攻击ip等数据的可视,不能就将其完全等价为“安全的可视”

前不久乌云白帽大会的报道中曾提到了一家名为Nominum的公司,致力于全球范围的“DNS数据”的应用,如何利用高维度空间(DNS数据、域名,域名间的关联、IP)实现“降维打击”,并通过异常检测、历史数据搜集、关联检测实现全自动地侦查威胁。对于海量的DNS数据,Nominum帮安全工作者在一定程度上做到了可视。

同样,在安全牛对360网络安全研究院宫一鸣院长的专访(《访威胁情报技术尝试者宫一鸣》),文中提到,通过常见的IP、DNS、MD5样本文件、网络数据、BGP信息、交易数据、各种常见的系统和设备日志,地理位置甚至人的数据等等,将这些基础元素重新组合并形成新的应用——威胁情报,并站在主干网的高度做一些事情,这也是一种“可视”。

回到安博通的可视化网络安全技术架构,其通过公网和内网部署的具有应用识别能力的探针,实现对数据中内容的提取;将端的数据通过安全通道传到“云”之后,在云端从用户的维度对诸如“行为、虚拟身份和访问网站”等有价值信息进行整合,并面对用户的业务进行可视化的呈现;最终通过策略、流量、用户和业务四个方面的可视,实现“可视”的安全。

“之前的可视,更多的是基于80、443、1812等端口号和诸如DPI、post、0xe3、$search等特征码,但如果是加密流量呢?如果没有特征码呢?所以我们更多的是基于用户的行为,比如时间分布、报文长度、到达次序等,再通过贝叶斯、决策树、支持向量机、K-means和DFA等分类算法进行分类,从而实现对用户行为的分析以及学习。”

可视化网络安全技术联盟

发布会上,安博通联合中科院信工所、太极股份、烽火科技成立了,致力于推进“可视化网络安全”技术发展的“可视化网络安全技术联盟”,希望可以号召更多的网络安全企业参与进来,并贯穿“产学研”整个过程,甚至联合安全产品的销售机构一起来推动网络安全可视化技术的发展,打造可视化信息安全的防御体系。

640-34

中科院信息工程研究所林东岱主任介绍,与企业更多的是技术层面的合作。因为中科院还只是科研部门,所以其本身不做产品和市场的推广,但是在相关的技术上却有一定程度的积累。所以也是基于此,中科院信工所和安博通达成在“深度安全网关”研发和推广上的合作,中科院信工所提供“多媒体视觉与模式识别技术”,而安博通则提供操作系统和硬件产品的生产能力。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章