合肥网安大会|中新网安: 数据分析在安全体系中的应用

 

12月8日,由合肥市政府与中国电子信息行业联合会、新华三集团联合主办,合肥高新区管委会、新华三信息安全技术有限公司承办的“2017合肥网络安全大会”在合肥召开。省委常委、合肥市委书记宋国权,中央网络安全和信息化领导小组办公室副主任杨小伟等先后致辞,工信部、中国科学院等有关负责人和专家学者,网络安全“政策、产业、学术、调研、应用”等领域约2000多名业界人士参加大会。

大会以“感知安全·智御未来”为主题,IT厂商和政府、金融等行业市场的企业高层人士出席了大会,针对网络安全相关的国家法规与政策、安全威胁挑战、产业创新方向和生态体系建设等方面,进行了全面、深入的交流与研讨。

 

中新网络信息安全股份有限公司(简称:中新网安)作为本次特邀单位出席本次大会。会中,中新网安副总裁沈传宝在本届产业创新技术论坛中发表了关于《数据分析在安全体系中的应用》为主题进行演讲。

 

 

演讲的主要内容

 

网络安全的变与不变

 

 网络环境发生着巨大的变化,万物互联网、云大物移、人工智能、机器学习等新技术。改变了生产和工作方式,而万物互联让这个网际空间下,黑客等网上犯罪的能力更强了,网络空间安全成为国家战略的重要组成。

 

 

这里面有一个非常重要的变化是网络安全市场不再像过去那样,纯粹的合规驱动了。我们知道安全的驱动力有几种:一种是合规驱动、一种是风险驱动、还有一种是业务驱动。你的业务发展了,安全要求也就高了。随着技术和业务的发展,“合规”已经不再是安全的目标,而是安全线上的一条基础线。风险驱动、业务驱动才是我们说的“刚需”,“刚需”已经不再是合规,而是源于业务本身的基本需求。

 

现在越来越多的人认同 “安全的本质就是对抗”,在这个攻与防的拉锯中,漏洞永远是核心。这两年关于漏洞的重要性得到了充分的理解,漏洞已经成为网络对抗的武器。今年的WannaCry大家应该记忆犹新。基本上那几天整个安全圈和运维圈都投入到这个事情的应急中,但WannaCry勒索软件利用的漏洞却是公开了很久,连POC也公开了很久,仍然会有如此大的影响力。

 

 

而我们的防御能力是怎么样呢?我们知道软件能力也好、安全工程能力也好、都有一个能力成熟度模型(CMM, Capability Maturity Model),我们把安全防御能力也套用这个能力成熟度模型,从一级到五级。一级最低,初始状态,只有基本的边界防御,比如防火墙。二级有了一定的基础,可以按点防御,有了安全管理的概念。三级,就是充分定义的安全,有了体系化的概念,安全管理体系、安全技术体系、安全运维体系、整个防御体系能达到合规要求了。

 

实际上在过去,能做到这样已经很不错了,但是仅仅做到这样还是不够的。安全能力进一步提升要具备量化控制的能力和主动防御的能力,再进一步发展要具备持续改进的能力,就能达到自适应安全的水平。所以说安全防御有很长的路要走。

 

二 平台化的必然趋势

 

 

刚才我们说到安全能力的最高阶段就是要具备自适应安全的能力。Gartner给了我们定义,这个图是Gartner在前几年提出的自适应安全的思想。安全圈的都知道PDR模型,就是防御时间>检测时间+响应时间,我们的体系就是安全的。Gartner在PDR基础上,增加了一个Predict,预防、预测的能力。从总体上变成了四个方面12项防护能力。

 

这个是我们中新网安金盾云基于刚才我讲的平台化安全解决方案示意图。

 

 

下层是大数据接入和处理,这个是标准的大数据架构。在这个大数据架构之上是插件化平台,这是我们能力的核心。

 

包括安全能力,比如漏洞挖掘能力、未知威胁检测能力、安全分析能力、攻击防御能力、威胁溯源能力等等。通过这些架构在统一安全平台上的安全能力,实现根据用户的业务需求而定制的安全应用能力,或者我们称之为业务场景。

 

最上面,是中新网安的核心能力输出部分,市场上可能都知道的几款产品,比如抗D产品和云服务,这个我们做了15年了,在IDC领域具有绝对的领导地位;第二个就是APT高级威胁防御系统,或者称为为深度用户异常行为分析系统,以及安全态势感知系统等等。

 

三数据分析是安全的基础

 

 随着技术的发展,数据分析已经成为安全产品发展不可或缺的基础,主要原因一方面计算能力大幅提升,另一方面开源技术的发展,包括数据存储、分析平台等成熟度达到可用级别,技术壁垒大大降低了,包括机器学习、深度学习等也逐步在漏洞挖掘、安全分析方面起到了实际的作用。

 

 

今年Alpha Go的大热让人们刷新的对人工智能的认知。特别是Alpha Go Zero能够按照规则自我学习对弈,北邮的杨老师在朋友圈里发:人类智能和机器智能从此分道扬镳,不在互相约束,这是一个很恐怖的现实。

 

中科院的外籍院士和美国国家科学院院士丘成桐教授认为,人工智能并没有提出一个新的可以被证明的理论作为基础,目前是以神经网络为代表的统计及其学习在工程实践中取得了很大的成功。

 

在我们信息安全领域,无论是机器学习还是深度学习,都有着很成功的应用。我在这里简单列举一些,在漏洞挖掘领域、安全防御领域、APT检测领域、社会工程学领域等,机器学习都有非常成功的应用。

 

中新网安是一家以攻防能力为核心的公司。我们的安全研究院长期从事国际与国内一流的攻防技术研究,把人工智能用在漏洞挖掘和人机对抗中,在攻防实战中将漏洞挖掘、人工智能和人机对抗进行有机的结合。我们是国家漏洞库的一级技术支撑单位,最近一段时间里我们一直是国家漏洞库原创通用型漏洞的主要贡献方。如果我们没有用一些自动化的工具,这个成绩基本是不可能的。

 

 

漏洞挖掘是从攻的角度,而我们的“猎潜者”则是从防的角度。“猎潜者”是一款面向高级持续性威胁防御的产品,也就是APT检测和防御。

 

搞安全研究的人都应该知道,安全分析被认为是一种艺术,而不是科学。因为攻防对抗最终是人的对抗、情报能力的对抗,所有的知识快速变化,从其中要总结过程方法或者基本原则,几乎是不可能的。钻石模型(The Diamond Model)是针对以上挑战提出的一个分析模型,钻石模型的目标降低防卫者的付出,而增加攻击者的成本。

 

猎潜者将钻石模型定位 APT 检测的理论体系。用机器学习将钻石模型应用于 APT 检测,该模型建立了入侵活动基本要素有四个核心特征:攻击方、基础设施、能力以及受害者。(基本关系的连通图形构成一个菱形钻石形状)

 

“猎潜者”沙箱在做未知威胁检测的实现,也通过总结大量的漏洞和木马的规律,进行了大量的样本训练,通过机器学习的方法,提高未知威胁的检测能力。

 

 

对比传统依靠启发式和特征匹配进行检测的方法,“猎潜者”在4个月无更新情况下,恶意软件检测能力仅下降0.5%~1%。如果是传统基于启发式和特征的沙箱,在没有更新的情况下,查杀能力是以几何倍的递减。

 

而中新金盾的拳头产品自然是我们的抗拒绝服务攻击产品。与传统仅依赖端设备进行流量清洗和防御相比,我们在今年正式发布了中新金盾“云+端”抗拒绝攻击智能防御平台。采用云、端联动的方法,常态情况下,流量并不牵引到云端。如果防护对象本地遭受到大流量的攻击,端防护设备自动会将流量牵引到云端进行清洗,完成后再回注回来。这既解决了大流量的云端清洗问题,又解决了本地可以进行细粒度如针对CC攻击优化的防护服务。

 

 

同时新一代的“云+端”系统实现了全球数据互通、威胁情报共享、攻击智能分析和溯源等功能。

 

最后,简单总结一下,即是通过统一的安全平台,采用数据分析的方法,实现威胁从预测、到检测、到防御、到响应的的一个完整的闭环。借用我们态势感知常用的一个说法:知彼、知己、百战、不殆。