X

新闻动态

News

从RSAC2019看未来安全建设:面向未来,有效保护

/ 2019-05-09
RSA大会是信息安全界最有影响力的业界盛会之一。它于1991年由RSA公司发起,得到了业界的广泛支持。RSA大会一年一度分别在美国、欧洲和日本举办,其议程设计由信息安全从业者及其它相关专业人士评判和制定。2019年美国当地时间3月4日,全球网络安全领域的顶级盛会RSA Conference 2019正式拉开帷幕,来自世界各地的顶级信息安全企业、各行业 IT 决策者、资深安全专家以及学术界的领军人物齐聚美国旧金山,共同探讨安全产业发展趋势与前沿技术。

从1991年RSAC创办年到2019年,安全已经发生了巨大变化。深信服通过对比往届RSAC的关键内容与RSAC2019的参会见闻,发现,由于黑客的技术和势力的不断增加,以及企业业务的不断转型,新的脆弱性不断被引入、攻击面不断增加、威胁也越来越大,过去的安全建设思路和技术不断被淘汰。由此总结出当前的安全建设应当做到“面向未来、有效保护”。

从企业外部的视角看,黑客的攻击技术在不断演进。例如,过去信息安全专家在识别黑客入侵时往往参考用洛克希德-马丁公司的七步攻击链,而RSAC19上广受关注的ATT&CK模型提供了一个信息更丰富的描述攻击者的“语言”,越来越受到信息安全专家的认可。ATT&CK是在公共和私营公司、学术机构和政府机构的帮助下建立的一个全球性网络对手战术和技术知识库,邀请来自在运营、产品和服务中使用ATT&CK模型的专家,讨论哪些有效、哪些无效、以及如何通过使用攻击者的知识来改进安全状况。该知识库提供了一套对安全违规事件进行定义和评估的通用框架。从ATT&CK模型也进一步验证了攻击技术的不断丰富。



从企业内部的视角看,随着企业数字化转型进程的加快,企业面临着新的安全挑战,数据安全就是最重要的挑战之一。在本次RSA大会的最火热的创新沙盒环节,有三家参赛厂商都提到了GDPR(《通用数据保护条例》)这个关键词,并从各个维度阐述了方案。不少展商也展示了基于GDRP、CCPA(加州隐私法案)的数据安全保护解决方案。可以看到,企业对于数据安全的需求越来越迫切:一方面是合规性需求的外需,一方面是企业隐私保护的内需。如果企业出现了信息泄露,把别人个人信息泄露了,将面临商业信誉的影响,这可能是灾难性的影响;第二是直接经济损失;第三是个人影响。这三方面促成了数据安全保护必须要去做。



综上,从企业外部的视角看,威胁越来越大、黑客技术日新月异;从企业内部的视角看,企业自身数字化转型的脚步往往缺少安全的保障。由此,深信服认为,安全建设应当面向未来,才能做到有效保护。首先,企业的数字资产越来越多,而大多数企业尚未适应如此庞大的资产管理负担,在未来资产管理必须简单有效;其次,黑客不断利用变种技术、自动化技术、智能技术等技术来绕过防御、躲避检测、麻痹响应,企业应当对安全技术进行升级,合理运用人工智能等技术,通过智能化、自动化的手段对最新病毒、变种进行有效识别;第三,攻防的本质是人的对抗,企业部署了安全产品,但如果缺少运营,产品的效果发挥不出来,也无法有效的安全体系。



让资产管理简单有效

在资产管理方面,今年RSA大会最火爆的信息莫过于在有着“全球网络安全风向标”之称的创新沙盒环节,Axonius斩获该项目的冠军。据了解,Axonius其主打产品是网络安全资产管理平台,为资产管理提供有效的可视性和策略执行能力。该平台主要帮助用户梳理工作网络中存在哪些资产和设备,确认是否符合该单位的安全保护要求。深信服一直认为,安全建设必须在安全可视的基础上。一方面,任何人都无法保护“不知道所拥有”的资产的安全性。因此,如果没有完整的、详细的主机资产清单,安全运维人员就无法确保组织的安全。且资产的所有者与资产的关联关系不够清晰,安全责任难以落地。另一方面,资产的策略管理与安全防护应当做到简单有效易操作,理想状况是通过统一的管理界面对所有资产进行统一管理而非各自为战。



以AI应对新威胁

在人工智能+网络安全方面,AI在网络安全中的应用在这几年一直热度不减。 在Gartner发布的“2019年十大数据与技术趋势”的文章中,预测增强型分析(Augmented analytics)、持续型智能(continuous intelligence)、可解释型人工智能(explainable AI)、数据与分析(data and analytics)等几项技术将在最近3~5年内发生重大改变,在十大技术中,至少有6项与人工智能、机器学习技术密不可分,不难发现安全行业即将进入人工智能与传统安全技术激烈融合、快速生长的新时代。往年AI在安全领域更多的是一种理论探讨,今年在RSA上看到的是大量人工智能在安全领域的落地实践,包括在文件、行为、流量等方面检测上的应用。例如,利用AI实现的用户行为分析应用技术(UEBA),能够快速帮忙组织发现诸如上班怠工、外泄数据等的异常用户行为;基于AI的网络分析(NTA)和高级持续攻击(APT)分析,建立基于数据驱动的流量分析模型,更精准识别恶意流量;基于AI的云管端一体的智能关联分析(Cortex XDR),从数据的关联分析到自适应响应提升安全的自动化水平;基于AI的加密流量智能分析,在不对加密流量进行卸载的前提下发现其中的恶意流量等等。

当然,AI并非万能,一方面应当拥抱AI,运用AI来解决过去解决不了的问题,并利用AI的泛化能力来对未知威胁进行有效防御;另一方面,应当对AI保持一种客观的认识。只有充分了解AI的利与弊,才能真正的让AI在安全领域落地开花。



提升安全运营能力,让安全建设更高效

安全运营方面,在此次大会上,基于托管的检测与响应方案也让人眼前一亮。比如创新沙盒参赛商Capsule8带来的混合环境中的实时0day攻击检测、溯源和响应平台,主要的技术创新就是结合了人工智能及类边缘计算的检测模型以提高检测速度。此外将专家知识与检测引擎结合,提高识别准确率,如果将专家支持包装为独立的服务,即为云中的MDR服务。传统安全服务最核心的要素是人,其最大的挑战也来自人员本身。一方面,一线人员流动频繁,导致服务人员能力参差不齐,服务效果难以保障;另一方面,人的精力有限,不可能不吃不喝时时盯着网络,这就导致服务不持续,无法应对随时发生的安全威胁,例如新漏洞不断曝光、黑客持续性攻击等。基于托管的检测与响应方案整合了安全专家的安全经验和机器学习进化以及永不休息的优势,很好地解决传统人工安全服务存在的问题。

在这几方面上,深信服都有相应的业务布局。资产管理上,深信服通过全面部署应用深信服终端检测与响应系统,实现全网终端资产的全面管理功能,管理对象包含业务服务器主机和用户PC终端。盘点每台终端设备的名称、IP地址、MAC地址、所属组织、责任人、资产编号、资产位置等信息。使每台终端资产信息清晰展示,每个安全事件责任到人,从而将安全管理工作落实到位。

人工智能与安全领域融合的应用中,深信服也取得不少前沿性的成果。例如,深信服研制了基于人工智能的SAVE文件检测引擎。它拥有强大的泛化能力,不再依赖静态特征库,甚至能够做到在不更新模型的情况下识别新出现的未知病毒。比如在勒索病毒的检测中,在千万级样本测试当中,SAVE的检出率达到了98.23%,达到业界领先水平。

安全运营上,深信服通过构建以人工智能为核心驱动的安全运营平台,再叠加三级安全专家服务体系,能够为用户提供从安全评估到持续运营的一站式安全服务,涵盖日常管理、隐患排查、应急响应等典型场景,7*24H守护用户的信息资产。

对行业趋势准确把握,才能更好地解决用户需求,提供更加简单有效的安全解决方案。从RSA大会的风向标上也进一步验证了深信服整体解决方案的前瞻性。深信服将始终走在行业趋势前沿,为用户提供面向未来,有效保护的安全!

©2000-2018    深信服科技股份有限公司    版权所有     粤ICP备08126214号-5

粤公网安备

粤公网安备44030502002384号