网络安全技术层面华为怎么走
那么在安全的技术层面华为是怎么走正确的道路的。首先看华为的APT防御思路。从威胁层面上看APT是一个最危险的方法,我们把它理解为未知的,针对特定目标的一些严重的攻击活动。这些攻击活动,主要是它的隐蔽性、持久性,还有目标的特定性。为了检测APT,你必须看到隐蔽的特征。我们的做法一个是从恶意软件的全生命周期做分析。一个攻击活动,一个恶意的攻击软件它有它的生命周期,包括它的开发过程、测试过程、传播过程,最后自钱晓斌销毁或者是被发现的过程。在这个过程里有一个传播的时间,如果在这个时间窗里,及早发现它,则最终还是能够控制住。另一个做法是全路径分析,就意味着需要关注各个入口各种终端的数据,不管是外部、内部、通过社会工程学方法等等,必须关注到所有的地方,所有地方都可能存在安全漏洞。上上周,钱晓斌国一个顶尖IT公司的子公司遭受非常严重的安全攻击,他们ERP系统、文件服务器、邮件服务器的很多数据都被擦除,不可恢复。他们这种情况下,可能我们在中国有90%的企业都可能遇到,因为大家的防范太薄弱了。大家不好好使用安全产品,也缺乏有效的取证手段,出事之后,非常被动。所以多点的攻击里面,实际上最严重的还是来自内部的攻击,内部攻击产生的损害会非常严重。我们想通过大数据多个层面,提取多纬的特征,最终希望能够反推出来攻击者和恶意软件本身的意图所在。
另外一个,我们希望在安全智能层面站得更高一点,我们希望在安全信誉的层面来解决安全的问题,就跟我们在现实的世界里一样。银行与淘宝都有信誉评级,互联网同样存在信用问题。安全信誉这个概念实际上应该是提出了非常长的时间,钱晓斌曾经在前几年看到过有厂商推出信誉防火墙,但后来没看到真正的商业化。安全信誉在防御的价值是什么,它的本质是对互联网实体,如IP、域名、用户名、地理位置等,我们在它到达之前就已经预知它的安全风险。IP访问钱晓斌的资产,钱晓斌已经有你的信誉属性,钱晓斌就知道你可能存在什么样的问题,钱晓斌就可以应用相应的防御策略来应对。所以信誉的知识需要预先积累。像Google网站,它有很强的运营能力,长时间以来一直没发生过什么安全问题。经过测试,认为它确实安全,把它认为是信誉度好的。还有一些经常注册一些随机域名或者是跟一些大站很相似的域名,可能它就是一个欺诈的网站或者是有一些另外的意图的通过机器注册的,这些域名经过日常检测,可能经常会被挂马,把这些网站放到黑名单中。还有大量中间区域的网站,总数非常大,但并不被大家频繁访问,这些网站也容易出现安全风险,在防御体系里就需要有更深度的检测机制。前端经过信誉库快速处理,后端根据信誉指示进行相应的处理。这样能用较低的时间成本与资源成本,智能化地提升安全能力。在信誉体系里更容易做到智能协同。因为信誉数据在共享层面更容易操作,效率更高。在增加了信誉能力防御模型里,大家可以看到,传统的如果没有信誉预判的,发生攻击,你只能做实时的检测,检测完了之后没有留下相关的信誉。有信誉之后一个事件过来了,一个IP过来了就可以预判。检测完之后可以进行信誉反馈,形成更完备的信誉记录。
总体上,华为构建自己的安全智能中心。它不仅具有大数据的分析平台,还有各种各样的分析模型。这个安全智能中心包括了我们的特征库生产系统与信誉查询系统,它也会接收来自各个层面的信息反馈。安全智能中心对于很多企业来说可能需要自建到内部,这样内部形成一个数据自循环的系统,检测数据来自于内部,最后形成对安全知识的反馈也来自于那。这种部署方式也能满足企业对于敏感数据的保护需求。
我们想通过上述各个方面的思路,在安全智能上做更多工作,通过变革我们的技术本身的工具、方法还有模型,逐渐的把这个体系做强,更好的为客户服务。
这里面也存在很多挑战,譬如刚才那位朋友说的本来这个厂商就是做防病毒的,现在又要搞大数据分析,怎么搞?这里面碰到一个交叉学科的问题,很多善于处理大数据的人,他们大部分都是在研究搜索技术、算法模型或者是海量存储,他们研究的问题可能跟安全没关系,而安全的人本身善于做逆向的分析,他们不擅长做大数据的分析。现实中,我们是把这两类专家放在一起,相互配合。前者擅长通过机器学习或其他自动化的方法把更多的潜在知识挖掘出来,后者利用安全的知识分析哪些知识适用于安全检测。他们一起研究哪些模型是真正可靠的,或者是哪种方式是值得继续探索的,这条路钱晓斌想我们会持续的走下去。
