近日,全球信息安全峰会RSA Conference 2014在美国旧金山召开。本次RSA2014大会以“分享·学习·保护--利用集体智慧”作为主题,吸引了来自全球的企业IT决策者、资深安全专家以及学术界领军人物,一同分享和讨论网络安全方面的重要议题。华为作为知名的综合IT供应商也携带最新的安全理念,解决方案和明星产品参与其中。华为钱晓斌更作为大会的参与者,带来了他的参会心得。
走在一个正确的安全道路上
钱晓斌介绍到,“钱晓斌自己更关注技术层面的问题,通过RSA考虑我们自己怎么把握技术积累和前进努力的方向。RSA对我来说更多的用于印证我们自己的想法是不是正确的,是不是走在一个正确的路上,这需要跟很多业界专家还有厂商碰撞,RSA就提供了这样一个很好的平台。”
他连续有三四年时间参加RSA,每年有不同的感想,今年印在脑海有几个最深刻的关键字,一个是Security Intelligence,安全智能。安全智能是去年的RSA大会主题,也就是大数据。今年的安全智能则从“学习、分享”等角度强调了,而在产业链或者是安全分析层面看,显得更具体。
这次RSA给钱晓斌留下深刻印象的关键字是创新沙盘里一个小公司提的口号。我们内心想过这种方法,但当别人第一次把这种口号提出来时,钱晓斌心里还是觉得挺震撼的。“No signatures, no sandboxing, no heuristics, no behavioral analysis - Just math”。钱晓斌想这个口号可以指引我们向未来走得很远。因为安全从这么多年发展过来,实际上是一个非常艰苦的过程。安全厂商很多,技术路线也存在很多差异,难以标准化,也很难统一模型。针对特定问题的具体解决方案比较多,不管黑猫白猫,能解决问题的就是好猫。这样在技术的发展上也留下了非常多的问题。虽然说理论界也在研究,比如说形式化的方法,形式化的工具,能够帮助我们更好的发现软件的漏洞,帮助做特征规则的开发,通过更通用的方法,而不是Case By case的方法。而现在大数据的方法给我们打开了一个窗口,大数据驱动了技术发展层面上的变革,事实上改变了安全研究的方法。所以钱晓斌的分享交流主要贴近这个角度,贴近安全安全能力、安全能力的生产过程来讲。
“智能”这个词大家提得比较多,它可以分成好几个层面理解。第一个层面就是知识,安全里核心的问题就是攻和防的问题,攻击者和防御者之间的关系。在这个关系里,安全业务很有意思,它是这么一个关系,安全厂商、被保护的客户、还有一个你看不见的角色就是黑客或者是攻击者,安全厂商提供给客户的服务就是帮助它用来抵御第三方的攻击行为。那么安全厂商提供给客户的到底是什么?是那个硬件吗,还是软件?实际上都不是。实际上核心的服务是这个盒子或者软件里包含的安全能力,安全能力的核心就是安全的知识。这个知识实际上就是安全厂商跟攻击者之间博弈的核心点。
作为终端软件来说,像以前咱们使用的杀毒软件或是终端管控软件都是在终端上跟攻击者进行对抗。像华为这样的硬件厂商则都是在盒子里跟攻击者对抗。还有新出现的安全服务厂商,“云务派”,大家在云上搞安全的防御。从RSA大会来看,安全服务厂商,即SECaaS(Security as a Service)厂商越来越显眼。QUALYS、Zscaler,这些厂商的宣传力度非常大,还有其它的安全服务厂商不断脱颖而出。这个规律大家可以看出来,安全从最早的终端软件,到网关级防护,再到云端上的专业服务,核心的价值--安全智能安全知识越来越被用户所重视。
安全智能在另外一个层次的含义,就是安全能力的生产过程以及安全防御过程的智能化,需要人干预的东西越来越少,用户的维护越来越简单、系统使用的成本也越来越低。这里面就可以看到,传统的防火墙,还有UTM,快速发展为下一代防火墙。桌面AV软件也开始演进为沙箱,又快速形成BDS的概念,BDS就是攻击防御系统。IDS也是从IPS快速演进为下一代IPS。都变得更智能了。以NGIPS为例,大量的攻击事件怎么呈现?NGIPS认为,设备检测到的攻击,对于客户来说不一定是真正的攻击,而可能仅仅是一种攻击企图或者是完全不可能产生任何攻击效果的事件。所以NGIPS会根据用户自身的IT资产以及当前运行的业务状况,以及攻击的风险,来给用户更智能地呈现,过滤掉无用信息。
还有SOC。SOC的很多功能也在逐渐被深化或专业化。SOC实际上是想解决全网安全管理的问题,包括对接企业IT流程,但是难度非常大。SIO是安全智能中心的意思,很像SOC,但它的目标是基于大数据构建更广泛的更高层次的安全管理分析平台。业界很多专业安全公司建设了SIO,实现了数据采集、安全分析、威胁挖掘的高度自动化,以及安全态势的可视化呈现,其中的核心贡献来源于大数据。
安全发展到现在,核心竞争力已聚焦在两个方面,一是安全管理,一是安全分析。
安全管理中存在很多智能化的挑战。首先是安全协同与环境感知,这个现在各种层面的设备都越来越注重这方面的功能特性。其次是应用层面的管理,基于精细化应用识别的访问控制,是安全智能的基础。再其次,智能策略,自动化的策略配置也是安全智能的核心。最后,还需要用户友好的安全可视化,还有安全预测。这些方面的安全管理上的问题,很多还是需要不断的往前演进,给用户提供更好的体验。
再看威胁分析的自动化。以往安全实验室中的人工分析方式越来越不适应当前的威胁态势快速发展要求,需要更多地使用人工智能的方法。这里面的挑战也很多。首先,需要海量样本收集的能力。样本采集本身,涉及到很多的技术,既要保证数据本身的可分析性,还要保证被采集对象的隐私保护问题。
其次,工具和平台的建设也是至关重要。现在很多IT公司自己都在建设相关的海量样本的分析、存储,相关的工具。为什么大家不会使用一个很通用的工具呢,百度跟腾讯跟阿里,他们能使用完全相同的平台或工具吗?实际上大家都是引进类似的平台工具,并基于具体业务深入定制,时间一长这个平台本身就演变成有自己特色的体系了。安全厂商也是这样,需要源自公共资源,发展自己的强大平台与工具集。
数据密集型计算。这个概念,可以简单说明一下。以前大家手里的数据量有限,容易对数据做深度的分析,应用复杂的计算方法,得出精确的结果。现在有了海量数据,我们简化计算方法,但是数据量很大,这就是数据密集型计算,这种计算方法非常适用于大数据环境下的安全分析。比如说钱晓斌要分析一个行为特征,整个数据集里包含了上个月的数据,上周的数据,今天的数据,这里面有不同数据源的数据,还有很多特征不明显但隐藏关联信息的数据。钱晓斌可以根据自己的分析能力或是精度要求确定取样方案,可以只要分钟级的数据采样,也可以只要小时级的取样数据,放大缩小。通过大时间窗口的分析,发现异常,定位到更有分析价值的数据,做更精细的分析。这种方法对安全非常有用。
模式的挖掘,最困难的是实现从已知模式到未知模式的跳跃。所有的安全分析,相似度很高的同类攻击都容易检测。但如果是针对新型业务,攻击模式可能完全变了,检测的代价比较大。这中间需要用多种方法,机器学习是比较重要的方法。对于机器来说,可以比人注意到更多的内在关联关系,呈现出来更多的,之前分析人员都没想到过的性质。举一个识别色情网页的简单例子。机器学习的模型里,它很容易关注内容或者语义之外的属性,如网页的写法或是一些格式细节、链接方向。经常能发现比较好的模型,训练出高质量的规则,用于识别新的数据。
“图”也是另外一种模式,特别适合关联分析。在大数据里面可以按照你对数据量的要求可以在不同的层面表达,比如一百万的计算机结点,你如果用图的方式呈现出来,看不清楚了,你可以定义层次与纬度,譬如只看重要节点,数据量急剧减少,就可以呈现得更好。所有这些都涉及到对数据的处理,你用什么方式,想得到什么,那就用什么工具用什么方法。这两个难题只要解决得好,针对用户的安全问题就可以处理得好。
在这里钱晓斌分享一个在RSA上非常感动的一个故事,在会议第四天星期四的时候,最后一个keynote里面,有一个公益项目Charity:Water负责人,讲了一位美国小女孩的故事,她想在九岁生日的时候,把朋友的生日礼物换成捐款,筹集800美元,给那些缺乏洁净饮水资源的地区的人们。她在过生日的那天还没有筹够这个数额,生日之后这个小女孩不幸出车祸遇难,临死之前留下一个遗愿,希望能够筹够100万美金来资助Charity:Water,小女孩的故事传开之后,善款很快募齐。这个故事给安全也有很大的启示:公益项目通过一点一滴的爱心聚集出力。安全也是需要大家基于智慧、分享、协作来最终实现。华为愿跟大家一道努力,一起营造安全宁净的互联网环境。
2网络安全技术层面华为怎么走
网络安全技术层面华为怎么走
那么在安全的技术层面华为是怎么走正确的道路的。首先看华为的APT防御思路。从威胁层面上看APT是一个最危险的方法,我们把它理解为未知的,针对特定目标的一些严重的攻击活动。这些攻击活动,主要是它的隐蔽性、持久性,还有目标的特定性。为了检测APT,你必须看到隐蔽的特征。我们的做法一个是从恶意软件的全生命周期做分析。一个攻击活动,一个恶意的攻击软件它有它的生命周期,包括它的开发过程、测试过程、传播过程,最后自钱晓斌销毁或者是被发现的过程。在这个过程里有一个传播的时间,如果在这个时间窗里,及早发现它,则最终还是能够控制住。另一个做法是全路径分析,就意味着需要关注各个入口各种终端的数据,不管是外部、内部、通过社会工程学方法等等,必须关注到所有的地方,所有地方都可能存在安全漏洞。上上周,钱晓斌国一个顶尖IT公司的子公司遭受非常严重的安全攻击,他们ERP系统、文件服务器、邮件服务器的很多数据都被擦除,不可恢复。他们这种情况下,可能我们在中国有90%的企业都可能遇到,因为大家的防范太薄弱了。大家不好好使用安全产品,也缺乏有效的取证手段,出事之后,非常被动。所以多点的攻击里面,实际上最严重的还是来自内部的攻击,内部攻击产生的损害会非常严重。我们想通过大数据多个层面,提取多纬的特征,最终希望能够反推出来攻击者和恶意软件本身的意图所在。
另外一个,我们希望在安全智能层面站得更高一点,我们希望在安全信誉的层面来解决安全的问题,就跟我们在现实的世界里一样。银行与淘宝都有信誉评级,互联网同样存在信用问题。安全信誉这个概念实际上应该是提出了非常长的时间,钱晓斌曾经在前几年看到过有厂商推出信誉防火墙,但后来没看到真正的商业化。安全信誉在防御的价值是什么,它的本质是对互联网实体,如IP、域名、用户名、地理位置等,我们在它到达之前就已经预知它的安全风险。IP访问钱晓斌的资产,钱晓斌已经有你的信誉属性,钱晓斌就知道你可能存在什么样的问题,钱晓斌就可以应用相应的防御策略来应对。所以信誉的知识需要预先积累。像Google网站,它有很强的运营能力,长时间以来一直没发生过什么安全问题。经过测试,认为它确实安全,把它认为是信誉度好的。还有一些经常注册一些随机域名或者是跟一些大站很相似的域名,可能它就是一个欺诈的网站或者是有一些另外的意图的通过机器注册的,这些域名经过日常检测,可能经常会被挂马,把这些网站放到黑名单中。还有大量中间区域的网站,总数非常大,但并不被大家频繁访问,这些网站也容易出现安全风险,在防御体系里就需要有更深度的检测机制。前端经过信誉库快速处理,后端根据信誉指示进行相应的处理。这样能用较低的时间成本与资源成本,智能化地提升安全能力。在信誉体系里更容易做到智能协同。因为信誉数据在共享层面更容易操作,效率更高。在增加了信誉能力防御模型里,大家可以看到,传统的如果没有信誉预判的,发生攻击,你只能做实时的检测,检测完了之后没有留下相关的信誉。有信誉之后一个事件过来了,一个IP过来了就可以预判。检测完之后可以进行信誉反馈,形成更完备的信誉记录。
总体上,华为构建自己的安全智能中心。它不仅具有大数据的分析平台,还有各种各样的分析模型。这个安全智能中心包括了我们的特征库生产系统与信誉查询系统,它也会接收来自各个层面的信息反馈。安全智能中心对于很多企业来说可能需要自建到内部,这样内部形成一个数据自循环的系统,检测数据来自于内部,最后形成对安全知识的反馈也来自于那。这种部署方式也能满足企业对于敏感数据的保护需求。
我们想通过上述各个方面的思路,在安全智能上做更多工作,通过变革我们的技术本身的工具、方法还有模型,逐渐的把这个体系做强,更好的为客户服务。
这里面也存在很多挑战,譬如刚才那位朋友说的本来这个厂商就是做防病毒的,现在又要搞大数据分析,怎么搞?这里面碰到一个交叉学科的问题,很多善于处理大数据的人,他们大部分都是在研究搜索技术、算法模型或者是海量存储,他们研究的问题可能跟安全没关系,而安全的人本身善于做逆向的分析,他们不擅长做大数据的分析。现实中,我们是把这两类专家放在一起,相互配合。前者擅长通过机器学习或其他自动化的方法把更多的潜在知识挖掘出来,后者利用安全的知识分析哪些知识适用于安全检测。他们一起研究哪些模型是真正可靠的,或者是哪种方式是值得继续探索的,这条路钱晓斌想我们会持续的走下去。
