RSA 2016刚刚在美国旧金山莫斯康展览中心落下帷幕。作为整个信息安全行业的风向标,本届RSA大会以Connect to Protect为主题,探讨信息安全产业的发展大势。
解读今年RSA大会的主题词
如何解读这个翻译起来略有生涩的主题?或许我们可以从RSA大会主席阿米特·约伦(Amit Yoran)所发表的题为“睡者醒来”的主题演讲中一窥端倪。阿米特认为:“安全防御是个失败的战略,未来业界应该增加在安全检测技术上的投资。作为提升安全检测能力重要手段的威胁情报,其重要性自然更加凸显“。从参展厂商在介绍自己产品时所使用的频率最高的几个热词看,今年大家也似乎更愿意将“威胁情报”关联到“检测”(Detection)、“响应”(Response)上。
RSA大会主席阿米特·约伦(Amit Yoran)
就此,国内有安全业内人士将Connect解读为现在国内颇为流行的一个热词 — 互联互通。“云管端互联互通,安全保卫看得见”。具体来讲,就是利用云计算技术超强的数据挖掘和关联能力,对端(终端)和管(管道,或泛化的网络边界)上所部署设备上传的安全日志进行全局关联分析,实现对异常行为的建模分析,使安全防护体系具备了全局可视性。这里所说的可视性,指的是借助云端生成的海量威胁情报,看清网络威胁状态,尤其是传统安全防护体系架构下孤岛式设备上无法看清的高级安全威胁。将云端的威胁情报信息及大数据的高度智能用于判别日趋复杂的威胁,已成为业界公认的技术发展方向。
具体到NGFW这个细分产品品类上,威胁情报也并不是什么新鲜事物。早在2014年,知名市场调研机构IDC与网康联合发布的《中国下一代防火墙发展趋势研究》白皮书中就提出,当今NGFW必须备五大核心要素以对抗新型安全威胁,其中一条就是外部的安全智能:“防火墙本地的运算性能和检测能力始终是有限的,NGFW应当具有与外部云计算联动的能力,并且能够利用大数据分析技术应对威胁特征库中并未收录的未知威胁。”概念比较浅显易懂,但到了威胁情报真正在NGFW产品上落地,虽无需如西天取经般经历九九八十一难,也需要迈过不算容易的三道坎。
阻碍威胁情报在NGFW上落地的三道坎
1、情报来源坎
威胁情报的基础之一是大数据分析,而大数据,贵在一个“大”字,也就是要有足够丰富的原始数据做支撑。
在这方面,近年来新兴的互联网企业具有与生俱来的优势,因为大型互联网公司所拥有的动辄上亿的终端都可以用作采集大数据的探针设备,其数十亿级的病毒样本、DNS解析记录等数据源更是传统安全公司无法比拟的。
但传统安全企业在数据收集方面也并非无优势可言。传统安全企业的大数据收集主要依托于NGFW等安全设备,通过监测、防御、数据挖掘等手段,生成更准确、更及时、适用性更精准的威胁情报。
从长远看,厂商之间的合纵连横互相取长补短,是大势所趋;NGFW与云端威胁情报的联动也将成为传统安全厂商与互联网公司的一个契合点。例如,网康的NGFW就大量的引入了360的威胁情报,极大的提高了威胁检测的准确性和时效性;反过来,遍布在全国各地的数千台网康NGFW探针设备,也可以用收集到的安全日志数据反哺360威胁情报库。
2、数据整合坎
对于威胁情报的理解,不同厂商还存在众多不同意见,大家的理解可能又都存在不够完整不够准确的地方。譬如,有厂商认为IP地址黑名单、恶意网址列表、恶意软件哈希列表、病毒特征码、IPS签名规则等都属于威胁情报范畴,也有厂商认为只有符合一定标准、容易分享、容易被程序执行的信息才叫威胁情报。
这意味着任何厂商想要整合多平台来源的威胁情报都不会是易事;即使做到了情报整合,在相当长的一段时间内,数据源也将会不可避免的包含大量的数据噪音。
这就要求NGFW在引入外部威胁情报时,必须能够在大数据采集的基础上,从原始数据中进行二次提取,建立基础指标、应用层指标等多种类型指标,然后基于指标之间的关联分析、每个指标的变化状况,通过大数据分析建立信誉评估等机制,感知信息安全态势,否则数据只能是数据,永远成不了威胁情报。简而言之,源自大数据的威胁情报,看起来很美,在NGFW上用起来不容易。只有具备了数据二次加工和分析建模能力的厂商才能够将数据点石成金转化为对NGFW有价值的威胁情报。
3、变现坎
如何将威胁情报的分析结果转换为NGFW上可操作的安全实务,也就是上文中提到的“互联互通”。威胁情报对NGFW最实际的价值,就是可以形成行之有效的安全解决方案,实现对已有产品功能上的提升,否则无异于“空转”。目前,很多威胁情报还只是在云端或者服务器端进行应用,这对于帮助用户应对安全威胁是远远不够的。
威胁情报主要应用于快速发现问题,为用户提供进行快速响应的依据;与已有的NGFW防御体系进行联动,就可以实现快速发现、及时响应、联动防御的效果,这样才能将威胁情报的价值最大化 — 赋予NGFW设备应有的智能,可以实时感知网络威胁状态并做出调整,防御能力大幅度提升。
小结
威胁情报从前几年单纯的一个热词转换为今年RSA展会上越来越多的成熟产品和方案,这里折射出的是从传统的以“防范”为中心过渡到当前以“快速检测和响应”为中心的安全防御思维的转变。
NGFW结合威胁情报这个最强外脑,构建安全事件的快速识别、全网可视化和快速响应体系,形成安全事件处置和管理的闭环,这是威胁情报技术在NGFW产品上落地解决新兴安全威胁的成功实践,也是对Connect to Protect这个主题词的具体诠释。
本文转自d1net(转载)