总22期
Solution    技术前沿
Solution    技术前沿
云、管、端协同构建智能立体的安全防护体系
文/周莹莹
分享

云计算、大数据、移动办公、物联网、工业控制等技术的发展,改变了网络安全的外延和内涵。同时,新型网络安全攻击技术和手段层出不穷,病毒变种增多,攻击智能化,过去对信息安全威胁和风险的认知已不再适用。

这种背景下,基于传统IT架构的信息安全体系出现明显不足:

既有安全策略及资源有限,难以应对各种变种攻击;

非实时更新的本地AI模型使AI攻防处于被动;

缺少联动,情报无法实时更新;

本地安全事件误报漏报,断档的攻击链给高级威胁分析造成困难;

依靠单一产品难以发现未知威胁。

因此,在风险不断泛化的严峻现状下,建立基于云、管、端的纵深协同防御体系成为趋势。

云安全能力中心是目前业界主推的一套云、管、端一体的联动防御体系。它通过海量数据汇聚、构建云端闭环结构、打造情报生态系统;结合大数据、人工智能、多引擎、云计算等核心技术,构建起全局的基于云的安全能力中心。

安全需要“云、管、端”协同

传统网络安全体系由防火墙、入侵防御、WAF等设施组成,往往是以边界防护为核心,各自为政、相互孤立。使相互孤立的网络安全设备联合起来,拥有全网态势感知能力、拥有未知威胁检测能力、拥有联动防御能力,同时提升检测效率、降低运维成本,这是云安全能力中心设计的初衷。

云安全能力中心基于下一代网络安全架构建设,而“云、管、端”联动是下一代网络安全架构区别于传统安全架构的核心能力。在新一代的网络安全架构中“云、管、端”三个环节彼此依赖、协同防御:

1.终端设备遇到未识别的灰度文件时,通过云查杀、云沙箱获得分析结果,第一时间更新本地防护策略。

2.边界设备实时把安全日志、异常行为日志、异常流量日志上传至云端。

3.云端除了提供实时云信誉查询服务,还利用外部威胁情报、终端和边界设备的异常日志,进行大数据分析,做出攻击预测报警,实现云管端智能协同、主动防御。

云安全能力中心的关键能力

云安全能力中心部署在云端,能充分利用云端的计算能力和整合能力。将涉及大量计算处理的网络病毒查杀、未知病毒沙箱分析、威胁情报处理等安全功能交由云端完成,在不需要企业增加太多安全资源投入的同时,就能为企业按需提供云查、云沙箱、威胁情报等安全能力,帮助用户发现已知与未知威胁。

现阶段国内外大多数安全厂商都推出了自己的云安全能力中心方案,其核心能力有以下几点:

1. 海量云查特征库,赋能本地设备

本地安全设备威胁检测能力需要依托本地化规则库,无法实时跟进最新的变化及时更新,因此通过大数据来加固本地化安全能力成为趋势。

一方面,依托海量的云端大数据识别本地无法有效识别的灰度威胁,当在本地设备查询不到网址、病毒等信息的时候,设备可以主动向云端查询,云端进行快速匹配,并将结果反馈给本地设备,这就形成了云端海量特征库向本地赋能的效果。另一方面,通过云端赋能持续升级安全设备的能力,从而打通本地化能力壁垒,构建可实时和外部安全资源互通的能力。

2. 云端沙箱阵列,检测未知文件

沙箱是一种检测病毒变种与未知病毒的有效手段,然而不少企业由于资源投入有限等问题,无法在本地实现沙箱部署。但是,在面对网络威胁时,又需要对未知威胁的检测能力。此时,云端沙箱成为一项很好的选择。与传统的反恶意软件检测不同,云沙箱可以提供完整的多维检测服务,通过模拟文件执行环境来分析和收集文件的静态和动态行为数据,在发现未知威胁的同时,又不会占用企业宝贵的计算资源。

当云安全能力中心融入了云端沙箱及动态威胁检测技术后,可以让安全设备通过网络接口与云安全能力中心交互,将拦截到的文件上传到云端。云端将待检测文件送到沙箱中进行检测,检测结束后,将检测结果反馈给安全设备,以便安全设备进行安全处置。同时,云沙箱对文件运行过程中的网络、主机行为进行智能化的威胁判定,产出可直接用于失陷检测和应急分析的IOC,还可以进行全局威胁情报共享,将一个接入点检测到的未知威胁情报信息共享到所有站点,将未知威胁变已知威胁,快速阻断。

3. 云端情报利用,增加防护能力

威胁情报通过信誉机制提供了准确度很高的威胁信息,比如:恶意IP、URL、DNS、文件等。有些威胁情报服务还提供攻击过程说明和攻击目标,以及建议企业如何防御,可以帮助企业发现关键威胁,对已有报警进行误报筛除或分级,为事件响应提供决策、提供安全预警能力、提供自有情报运营能力等,为企业建设安全运营中心提供平台支撑。

云端情报依托云端大数据平台,可以进行多元情报融合,确保最终输出高准确度的判定结果,提供多方面线索协助客户对威胁事件进行排查确认,同时可以进行云端协同,快速同步新的情报。

智能、协同、联动的云安全能力中心

在一般云安全能力中心的核心能力上,新华三增加了智能、协同、联动的独特功能,把云安全能力中心推到了新的阶段。

1. 丰富的AI引擎

人工智能在网络安全领域的应用有非常突出的优势,利用人工智能能够对原本模糊、非线性的海量数据进行甄别,非常有效地提升了大数据的安全检测效率、准确度,并能够进行自动化的检测。面对未知威胁,采用云计算和大数据分析技术,可以在很大程度上解决数据来源广泛性、数据充分性、分析模型有效性的问题。其中建模分析尤为重要,毕竟数据不经有效的分析就永远是数据,甚至是垃圾数据。在这方面除了传统的统计、聚类、贝叶斯分析外,前沿厂商都在尝试全局关联分析、启发式机器学习等分析模型。在新华三的云安全能力中心中,AI的应用主要用在这些方面:

(1)利用AI进行未知威胁检测。通过AI技术对大量黑白样本进行训练,提炼文件多维特征,构建病毒画像,抵御勒索、挖矿及新型病毒变种,达到检测未知文件能力。另外,通过AI模型可以进行URL分类、DGA域名检测、恶意Webshell检测、恶意PE检测等。

(2)利用AI进行智能运维。通过终端和边界设备上传的异常日志进行全局关联分析、异常行为建模分析,新华三云安全能力中心可以使溯源取证与风险预测可视化。通过平台的AI分析能力,还原攻击链,对事件进行溯源分析,实现威胁检测、响应、溯源的自动化安全运营闭环,提升运维效率。

(3)利用AI进行情报生产。云安全能力中心依托云端数据,对安全日志中URL、域名等信息进行提炼,综合沙箱分析出的IOC生产新的情报,实现情报实时更新。

(4)利用AI进行数据隐私保护。云端作为各个态势感知局点的信息共享和计算协同中心,构成联邦学习架构;采用差分隐私等技术确保AI模型参数传输过程中不泄露用户的隐私。

2. 云管端协同联动

新华三云安全能力中心通过打通网络、端点、云端的安全资源,并基于算法、数据、联动机制,结合全球情报构建了整体的协同防御能力,将各维度能力进行深度聚合,实现情报共享、威胁互认,最终实现风险的自动化处置。

结合安全设备之间、态势感知和云端的智能联动,可构建安全事件快速响应机制,包括边界安全网关对可疑IP的一键封锁,终端安全软件对可疑文件的一键隔离/查杀等。与传统的应急响应流程相比,联动快速响应不仅能够缩短安全事件的处置时间,避免事件危害的进一步扩散,而且还能提升安全设备的利用效率。

图1 云安全能力中心协同联动

借助云安全能力中心立体安全防护解决方案的威胁情报功能,系统可第一时间获知全球最新发生的威胁事件,对于紧急严重的情报可以在云端用标准的格式化语言下发到终端,给出推荐处理方案。

图2 云安全能力中心策略更新

观点

传统的以边界防护为中心的安全体系存在固有缺陷,但并非毫无价值,它们能够很好地应对已知威胁,并发挥着重要作用。云安全中心解决了传统安全设备无法联动以及缺少全局视角问题,实现了“云网端立体防护”、“云端分析边界防护”、“态势感知主动防御”的安全防护能力。现阶段云安全中心技术更趋于成熟,使得防御从孤岛转向智能化协同联动,构建更有效的安全防护体系。

分享到
关闭