RSAC一直被喻为安全行业的风向标。世界各地的安全厂商齐聚一堂就云计算、大数据、应用安全、安全管理等热门话题进行交流。本文是绿盟科技对本次大会焦点的简要梳理,供各位参考。
从创新沙盒看终端安全
绿盟科技发现本届RSAC的议题有了一些明显的变化,营销性的概念少了,安全回归其本质,关注解决实际存在的安全问题,这从大会上最受关注的创新沙盒比赛也可见一斑。
本届被冠以“最具创新性”公司头衔的AXONIUS主要是对用户的设备进行管理,包括资产管理、应用管理和补丁管理等。资产管理虽然不是属于明天的fancy技术,但却是实实在在的让安全团队构建完整防守体系的第一步,也是最重要的一步。有时候,“知己”比“知彼”更难。
Top10厂商涉及资产管理、DevOps、云安全、数据安全和固件安全等多种强化终端安全的技术。从攻击者的角度来说,无论发起多么复杂的攻击,在网络中经历了多少环节,采用了多少高级的技术,这些攻击动作必须通过某一个或多个终端才能完成。终端正是大多数安全事件发生过程的跳板、目标或者发生地,终端成为了安全的主战场。尽管终端上运行着账户管理、杀毒软件等基础防护,但仍存在安装效率低、盲区大的问题。此外,对越发复杂的APT攻击,仅依靠单一终端信息难以察觉。这些问题需要联合众多终端的数据与安全能力,进行统一平台安全分析与管理,以提供全面、精细的事件检测与安全响应。
为应对终端安全威胁,绿盟科技于2018年推出了一款终端安全防护产品——绿盟终端检测与响应系统(绿盟EDR:NSFOCUS Endpoint Detection and Response),该系统采用了主动防御和横向对比模式,使企业的防御模式转变为主动、动态、自适应的弹性防御,降低企业安全风险、溯源安全事件、提高IT运维效率,全面提升企业的安全防御能力。
未来的终端安全体系,必须具备至少3种能力:对平台和终端知识的全面理解和灵活掌控、对已知威胁的精确感知和敏捷响应、对未知可疑活动的及时发现与主动拦截。多(全)维度属性的资产管理贯穿于其中,提供坚实的数据支撑;自动化资产发现、主机风险态势识别、多维度的可视化,帮助客户快速精准定级风险,降低运维成本;全面事件活动轨迹记录,用户可迅速还原事件发生过程,形成完整事件证据链,确认相关责任人;综合多源数据的精确检测和供应多种策略的灵活响应,提升防护的精准度,降低企业安全风险。
通过自动化响应发现安全威胁
在本届RSAC创新沙盒大赛入围的厂商中,其产品、解决方案有相当比例与网络安全管理领域相关。另外从议程安排中,我们看到了安全行业对于若干信息安全管理领域,以及对于网络安全中人的因素的特别关注:
- 安全治理/风险/合规管理GRC领域;
- 人员安全管理领域;
- 信息系统生命周期管理领域。
期望通过安全管理来达成四个目的:减少来自SIEM告警的干扰,避免人工关联,提供对威胁的洞察力,简化incident响应流程。
绿盟科技最新的两项研究发现大部分互联网的业务系统在上线后半小时内会被攻击者探测发现并开始遭受攻击;系统的最新漏洞在信息公开后 10 小时~13 小时,攻击者会采用最新的攻击代码对开放在互联网系统进行攻击。
以上研究展现了攻防演进速度惊人的形势,为更好的应对高速的网络威胁,绿盟科技推出了一款集安全威胁检测设备、安全威胁分析平台、安全专家服务于一体的一站式安全运营支撑服务——可管理的威胁检测与响应服务(NSFOCUS Managed Detection and Response Service,以下简称绿盟 MDR 服务)。
与单一的安全防护设备相比,MDR服务可以在设备提供的威胁预防能力的基础之上,进一步提供威胁源及安全事故的检测与处置能力,形成事前主动预防、事中积极对抗、事后及时响应的一体化威胁管理解决方案,避免安全建设项目的风险,绿盟MDR还进一步融合业界最先进的大数据分析技术、机器学习技术、智能决策技术为客户有效精准地识别安全威胁和事件。
AI本身的安全问题值得关注
微软的资深专家Bugra Karabey在RSAC 2019上分享了如何把机器学习作为分析工具在安全攻击分析中的应用,他们提出的一个场景“如何使用主成分分析聚类识别安全事件模式”引起了绿盟科技的关注。他们针对大规模的安全事件库,构造了一个采用PCA聚类分析进行降维分析模型,形成安全事件数据集并识别潜在威胁,其workflow如下图所示。
和微软安全分析思路不谋而合的是,绿盟科技在过去的一段时间里,也是在摸索中形成了特有的机器学习+规则关联分析构建安全威胁分析解决思路。构建出机器学习分析引擎-TURING引擎,并提出了将关联分析框架构建于TURING引擎之上,通过机器学习+规则关联分析,实现安全威胁智能推理分析,逐步搭建出我们的安全分析从“know-knows”到“know unknows”的分析平台。
当今AI成为各个安全公司驱动安全能力提升的新“引擎”,很多产品在利用AI最大程度上提升安全检测和防护能力。同时,AI本身的安全问题也浮出水面,对网络安全行业来说,“AI是手段,安全是目标”,用AI做安全检测和防护同时,也要考虑构建安全的AI。绿盟科技天机实验室发现利用TensorFlow本身的系统漏洞,黑客可以很容易的制造恶意模型,从而控制、篡改使用恶意文件的AI应用。面对更多未知的漏洞和危险,AI开发者近乎是束手无策。
绿盟科技通过在RSAC2019上针对AI本身的安全问题的讨论总结出了部分解决方案:
1) 区块链的引入
区块链是安全、分布式、恒定的数据库,由分布式网络的各方所共享,这个数据库可以记录交易数据,审计起来也很容易。
2) 提高可解释性
目前由于AI算法内部的运作往往是不透明的,AI的黑箱问题和可解释性问题越来越受到关注。深度学习方面的最大挑战之一是向客户和监管机构解释模型是如何得到答案的,但根本不知道模型是如何得到答案的。
3) 基于AI的安全系统的安全性评估系统
设计新的安全框架来衡量和量化基于AI的安全系统。在该安全系统中需要能够解决:评估数据是否被有意污染,引入第三方数据时是否会导致无意的数据污染,AI给出不可靠信息如何评估,是否自动化回应AI推荐的决策并采取行动等。
基于零信任制定访问控制
混合环境的云安全主要包括身份认证和访问控制,如何一次验证身份就可能按照给定的访问控制策略访问不同环境中的各种资源,又能抵御攻击者的恶意访问,一个比较好的模型是零信任模型。本届RSAC上,绿盟科技通过云安全方面的交流发现了一些变化趋势——提到零信任的厂商明显增多,与往年提概念不同,2019年各家都拿出了产品,例如Duo的零信任身份认证访问,Zscalar、Cyxtera、Meta Network等的SDP访问控制方案。即便是标准化的SDP,各家厂商也有所不同,例如Cyxtera的方案是将数据传输到自己云端,然后分发到客户侧;而Zscalar和Meta Network则是直接打通,前者是通过代理方式,除了访问控制外,还增加了如DLP、WAF等功能;后者通过路由的方式,且聚焦于流量调度,加细粒度的访问控制,自称下一代的SDWAN。
Meta Network的网络结构
总体而言,各种零信任机制能在复杂环境中提供灵活的访问控制机制,避免因粗粒度的策略造成系统被入侵,同时将传统面向网络的访问控制转变为面向用户资产的访问控制机制,更加准确有效。
本届RSAC上中国安全企业军团已成为仅次于美国的第二大参展团,绿盟科技一直在紧紧跟随全球安全的大趋势,这已经是绿盟科技第12次参加RSAC。包括绿盟科技在内的国内企业参展的产品类型已经从单一产品,发展到复杂方案以及综合性安全能力输出。
中国安全企业的被关注度在逐年提高,中国安全企业自身的实力也有了很大提升。但是我们也不得不正视,与美国、以色列这两个网络安全产业强国相比,国内安全企业在国际影响力还有差距。但我们相信,只要继续潜心专注于设计优秀的安全产品,专注于创新的安全技术研究,中国安全产业的发展一定会越来越好。