近日,全球信息安全峰会RSA Conference 2014在美国旧金山召开。本次RSA2014大会以“分享·学习·保护--利用集体智慧”作为主题,吸引了来自全球的企业IT决策者、资深安全专家以及学术界领军人物,一同分享和讨论网络安全方面的重要议题。华为作为知名的综合IT供应商也携带最新的安全理念,解决方案和明星产品参与其中。华为钱晓斌更作为大会的参与者,带来了他的参会心得。
走在一个正确的安全道路上
钱晓斌介绍到,“钱晓斌自己更关注技术层面的问题,通过RSA考虑我们自己怎么把握技术积累和前进努力的方向。RSA对我来说更多的用于印证我们自己的想法是不是正确的,是不是走在一个正确的路上,这需要跟很多业界专家还有厂商碰撞,RSA就提供了这样一个很好的平台。”
他连续有三四年时间参加RSA,每年有不同的感想,今年印在脑海有几个最深刻的关键字,一个是Security Intelligence,安全智能。安全智能是去年的RSA大会主题,也就是大数据。今年的安全智能则从“学习、分享”等角度强调了,而在产业链或者是安全分析层面看,显得更具体。
这次RSA给钱晓斌留下深刻印象的关键字是创新沙盘里一个小公司提的口号。我们内心想过这种方法,但当别人第一次把这种口号提出来时,钱晓斌心里还是觉得挺震撼的。“No signatures, no sandboxing, no heuristics, no behavioral analysis - Just math”。钱晓斌想这个口号可以指引我们向未来走得很远。因为安全从这么多年发展过来,实际上是一个非常艰苦的过程。安全厂商很多,技术路线也存在很多差异,难以标准化,也很难统一模型。针对特定问题的具体解决方案比较多,不管黑猫白猫,能解决问题的就是好猫。这样在技术的发展上也留下了非常多的问题。虽然说理论界也在研究,比如说形式化的方法,形式化的工具,能够帮助我们更好的发现软件的漏洞,帮助做特征规则的开发,通过更通用的方法,而不是Case By case的方法。而现在大数据的方法给我们打开了一个窗口,大数据驱动了技术发展层面上的变革,事实上改变了安全研究的方法。所以钱晓斌的分享交流主要贴近这个角度,贴近安全安全能力、安全能力的生产过程来讲。
“智能”这个词大家提得比较多,它可以分成好几个层面理解。第一个层面就是知识,安全里核心的问题就是攻和防的问题,攻击者和防御者之间的关系。在这个关系里,安全业务很有意思,它是这么一个关系,安全厂商、被保护的客户、还有一个你看不见的角色就是黑客或者是攻击者,安全厂商提供给客户的服务就是帮助它用来抵御第三方的攻击行为。那么安全厂商提供给客户的到底是什么?是那个硬件吗,还是软件?实际上都不是。实际上核心的服务是这个盒子或者软件里包含的安全能力,安全能力的核心就是安全的知识。这个知识实际上就是安全厂商跟攻击者之间博弈的核心点。
作为终端软件来说,像以前咱们使用的杀毒软件或是终端管控软件都是在终端上跟攻击者进行对抗。像华为这样的硬件厂商则都是在盒子里跟攻击者对抗。还有新出现的安全服务厂商,“云务派”,大家在云上搞安全的防御。从RSA大会来看,安全服务厂商,即SECaaS(Security as a Service)厂商越来越显眼。QUALYS、Zscaler,这些厂商的宣传力度非常大,还有其它的安全服务厂商不断脱颖而出。这个规律大家可以看出来,安全从最早的终端软件,到网关级防护,再到云端上的专业服务,核心的价值--安全智能安全知识越来越被用户所重视。
安全智能在另外一个层次的含义,就是安全能力的生产过程以及安全防御过程的智能化,需要人干预的东西越来越少,用户的维护越来越简单、系统使用的成本也越来越低。这里面就可以看到,传统的防火墙,还有UTM,快速发展为下一代防火墙。桌面AV软件也开始演进为沙箱,又快速形成BDS的概念,BDS就是攻击防御系统。IDS也是从IPS快速演进为下一代IPS。都变得更智能了。以NGIPS为例,大量的攻击事件怎么呈现?NGIPS认为,设备检测到的攻击,对于客户来说不一定是真正的攻击,而可能仅仅是一种攻击企图或者是完全不可能产生任何攻击效果的事件。所以NGIPS会根据用户自身的IT资产以及当前运行的业务状况,以及攻击的风险,来给用户更智能地呈现,过滤掉无用信息。
还有SOC。SOC的很多功能也在逐渐被深化或专业化。SOC实际上是想解决全网安全管理的问题,包括对接企业IT流程,但是难度非常大。SIO是安全智能中心的意思,很像SOC,但它的目标是基于大数据构建更广泛的更高层次的安全管理分析平台。业界很多专业安全公司建设了SIO,实现了数据采集、安全分析、威胁挖掘的高度自动化,以及安全态势的可视化呈现,其中的核心贡献来源于大数据。
安全发展到现在,核心竞争力已聚焦在两个方面,一是安全管理,一是安全分析。
安全管理中存在很多智能化的挑战。首先是安全协同与环境感知,这个现在各种层面的设备都越来越注重这方面的功能特性。其次是应用层面的管理,基于精细化应用识别的访问控制,是安全智能的基础。再其次,智能策略,自动化的策略配置也是安全智能的核心。最后,还需要用户友好的安全可视化,还有安全预测。这些方面的安全管理上的问题,很多还是需要不断的往前演进,给用户提供更好的体验。
再看威胁分析的自动化。以往安全实验室中的人工分析方式越来越不适应当前的威胁态势快速发展要求,需要更多地使用人工智能的方法。这里面的挑战也很多。首先,需要海量样本收集的能力。样本采集本身,涉及到很多的技术,既要保证数据本身的可分析性,还要保证被采集对象的隐私保护问题。
其次,工具和平台的建设也是至关重要。现在很多IT公司自己都在建设相关的海量样本的分析、存储,相关的工具。为什么大家不会使用一个很通用的工具呢,百度跟腾讯跟阿里,他们能使用完全相同的平台或工具吗?实际上大家都是引进类似的平台工具,并基于具体业务深入定制,时间一长这个平台本身就演变成有自己特色的体系了。安全厂商也是这样,需要源自公共资源,发展自己的强大平台与工具集。
数据密集型计算。这个概念,可以简单说明一下。以前大家手里的数据量有限,容易对数据做深度的分析,应用复杂的计算方法,得出精确的结果。现在有了海量数据,我们简化计算方法,但是数据量很大,这就是数据密集型计算,这种计算方法非常适用于大数据环境下的安全分析。比如说钱晓斌要分析一个行为特征,整个数据集里包含了上个月的数据,上周的数据,今天的数据,这里面有不同数据源的数据,还有很多特征不明显但隐藏关联信息的数据。钱晓斌可以根据自己的分析能力或是精度要求确定取样方案,可以只要分钟级的数据采样,也可以只要小时级的取样数据,放大缩小。通过大时间窗口的分析,发现异常,定位到更有分析价值的数据,做更精细的分析。这种方法对安全非常有用。
模式的挖掘,最困难的是实现从已知模式到未知模式的跳跃。所有的安全分析,相似度很高的同类攻击都容易检测。但如果是针对新型业务,攻击模式可能完全变了,检测的代价比较大。这中间需要用多种方法,机器学习是比较重要的方法。对于机器来说,可以比人注意到更多的内在关联关系,呈现出来更多的,之前分析人员都没想到过的性质。举一个识别色情网页的简单例子。机器学习的模型里,它很容易关注内容或者语义之外的属性,如网页的写法或是一些格式细节、链接方向。经常能发现比较好的模型,训练出高质量的规则,用于识别新的数据。
“图”也是另外一种模式,特别适合关联分析。在大数据里面可以按照你对数据量的要求可以在不同的层面表达,比如一百万的计算机结点,你如果用图的方式呈现出来,看不清楚了,你可以定义层次与纬度,譬如只看重要节点,数据量急剧减少,就可以呈现得更好。所有这些都涉及到对数据的处理,你用什么方式,想得到什么,那就用什么工具用什么方法。这两个难题只要解决得好,针对用户的安全问题就可以处理得好。
在这里钱晓斌分享一个在RSA上非常感动的一个故事,在会议第四天星期四的时候,最后一个keynote里面,有一个公益项目Charity:Water负责人,讲了一位美国小女孩的故事,她想在九岁生日的时候,把朋友的生日礼物换成捐款,筹集800美元,给那些缺乏洁净饮水资源的地区的人们。她在过生日的那天还没有筹够这个数额,生日之后这个小女孩不幸出车祸遇难,临死之前留下一个遗愿,希望能够筹够100万美金来资助Charity:Water,小女孩的故事传开之后,善款很快募齐。这个故事给安全也有很大的启示:公益项目通过一点一滴的爱心聚集出力。安全也是需要大家基于智慧、分享、协作来最终实现。华为愿跟大家一道努力,一起营造安全宁净的互联网环境。
