這就是華為SDSec(Software-defined Security, 軟件定義安全)的網(wǎng)絡(luò )安全防御思路,解決安全產(chǎn)品和解決方案方案可用、威脅可被主動(dòng)發(fā)現和預測、工程上可快速自動(dòng)處置、管理上可自動(dòng)運維的難題。讓企業(yè)網(wǎng)絡(luò )在攻防較量中占據主動(dòng),具備自學(xué)習自適應的安全防御能力。
檢測智能提升全網(wǎng)威脅檢測能力
被動(dòng)防御變?yōu)橹鲃?dòng)防御
一個(gè)武裝完備的企業(yè)通常部署了從網(wǎng)絡(luò )邊界到終端的所有安全產(chǎn)品,但是彼此孤立的單點(diǎn)防御產(chǎn)品既沒(méi)有形成一個(gè)防御體系聯(lián)合作戰,威脅事件仍無(wú)法被準確判斷,未知威脅不能被有效監測,單點(diǎn)檢測效果也不盡人意。在全網(wǎng)多點(diǎn)異常分析上,企業(yè)還在依賴(lài)SIEMs產(chǎn)品從全網(wǎng)日志監控上來(lái)掌控整網(wǎng)威脅。市面上優(yōu)秀的SIEMs產(chǎn)品擅長(cháng)的是日志采集、廣覆蓋、適配和解析能力,但日志分析能力很弱。且這些日志都是基于單點(diǎn)事件的告警,對入侵和攻擊鏈的全局缺乏多點(diǎn)異常關(guān)聯(lián)。
為單點(diǎn)檢測的有效性和多點(diǎn)分析的準確性,均迫切需要幫助管理員降低“噪聲”,過(guò)濾檢測輸入和輸出,保證單點(diǎn)檢測的有效;同時(shí)基于威脅場(chǎng)景制作“劇本”,研究黑客入侵的意圖來(lái)構建威脅檢測模型和規則,依托大數據分析工具完成海量信息的多維威脅綜合分析,幫助管理員收斂海量的原始事件日志,在大海中自動(dòng)準確發(fā)現威脅,甚至預測威脅。
檢測智能首先確保單點(diǎn)檢測有效,從源頭過(guò)濾“噪聲”,基于全球實(shí)時(shí)威脅情報、關(guān)鍵資產(chǎn)信息、動(dòng)態(tài)威脅變化和專(zhuān)家分析經(jīng)驗,生成有效過(guò)濾條件,做好一級收斂。結合AI機器學(xué)習算法實(shí)現多點(diǎn)分析的準確性,核心是構建針對“威脅場(chǎng)景”的高級規則,含單場(chǎng)景檢測模型,和含日志、情報、流量異常等的多維綜合判定算法,即二級收斂。
現階段黑客已經(jīng)利用機器學(xué)習生成智能的惡意軟件,可以預測未來(lái)攻與防的對抗必定是人與機器的對抗,需要以更聰明的大數據安全分析大腦,結合海量黑白樣本的學(xué)習訓練,研究黑客入侵意圖和攻擊手法,來(lái)最終做出預測和判定。
單場(chǎng)景分析模型
惡意軟件動(dòng)態(tài)行為機器學(xué)習,通過(guò)將海量的黑白樣本行為送入神經(jīng)網(wǎng)絡(luò )做深度學(xué)習,提煉出歷史上出現的惡意和非惡意行為的通用特征模型,而不再是固定的全局行為權重打分機制,提高對未知威脅的檢出率,降低誤報。
全網(wǎng)多場(chǎng)景多維綜合分析模型
將魚(yú)叉釣魚(yú)、Web滲透、黑客遠控C&C、賬號異常、內部流量異常、數據竊取等子場(chǎng)景串起來(lái)進(jìn)行綜合分析,利用攻擊圖中每個(gè)攻擊行為的威脅類(lèi)型、級別、可信度進(jìn)行綜合計算,理解黑客的攻擊意圖,然后跟專(zhuān)家系統輸出的組合式攻擊行為模式庫進(jìn)行匹配,根據黑客入侵行為動(dòng)態(tài)調整模型,識別和預測組合式攻擊類(lèi)型和可信度,把單點(diǎn)原始事件收斂到千萬(wàn)分之一內,減少管理員繁重的篩日志、鉆取、分析和溯源的時(shí)間,提升檢測智能,減少對專(zhuān)業(yè)安全分析人力的投入。
處置智能全面快速消除網(wǎng)絡(luò )威脅
單點(diǎn)防御變?yōu)槿W(wǎng)協(xié)防
威脅和安全響應就是一場(chǎng)時(shí)間賽跑,42%的新漏洞在紕漏30天內被黑客利用,企業(yè)響應的時(shí)間遠大于30天,打的就是時(shí)間差。縮短安全事件破壞和響應修復間的時(shí)間差,是減少經(jīng)濟和數據損失的關(guān)鍵。曾“名聲大振”的勒索軟件WannaCry讓超過(guò)24萬(wàn)受害者遭受損失,而相比于“震網(wǎng)”這類(lèi)高度復雜的攻擊,WannaCry本身的技術(shù)性不強,但傳播快感染范圍廣。盡管所有廠(chǎng)商都紛紛宣稱(chēng)可以檢測到WannaCry,但客戶(hù)最關(guān)注的不是你能否“檢測”到,而是第一時(shí)間定位被感染計算機,及時(shí)攔截防止內部橫向擴散,對并已感染終端快速進(jìn)行修復。這是夯實(shí)組織對抗威脅的基礎工程能力,提升自動(dòng)化響應和修復能力是客戶(hù)關(guān)注的焦點(diǎn)。
處置智能是協(xié)同全網(wǎng)遏制威脅,結合云端或本地沙箱分析能力快速檢測未知蠕蟲(chóng)病毒。比如,在出口防火墻封堵445端口,升級IPS特征庫等,更關(guān)鍵的是可以通過(guò)安全控制器聯(lián)動(dòng)接入層交換機及時(shí)隔離已經(jīng)被感染的計算機,利用網(wǎng)絡(luò )的各個(gè)神經(jīng)末梢采集流量,定位感染路徑,并聯(lián)動(dòng)終端軟件自動(dòng)化清除蠕蟲(chóng)病毒,批量推送補丁輔助員工配合來(lái)修復漏洞,自動(dòng)化發(fā)布工具恢復加密文件。
運維智能自動(dòng)基于業(yè)務(wù)生成并部署策略
人工運維變?yōu)橹悄苓\維
海量安全策略運維一直是中大型組織和企業(yè)的頭號難題。以某金融客戶(hù)網(wǎng)絡(luò )為例,僅數據中心防火墻策略就有幾萬(wàn)條,全網(wǎng)防火墻數量大于500臺,策略基于IP語(yǔ)言和業(yè)務(wù)的每次更新都需要調整防火墻策略,每天的策略更新量達到上千,運維不堪重負;業(yè)務(wù)下線(xiàn)、IP地址回收等均不會(huì )被及時(shí)通知到網(wǎng)絡(luò )安全維護部門(mén),策略提交者不會(huì )親自撤銷(xiāo)策略也很難被管理員發(fā)現,由此導致大量過(guò)期的安全策略堆積沒(méi)人“敢動(dòng)”;另外,數據中心搬遷時(shí),安全策略的遷移也是一個(gè)“老大難”, 策略需要重新生成配置,手工操作花費數周時(shí)間才能完成。最后是重復策略的問(wèn)題,同一應用多人申請可能會(huì )造成策略重復、策略總數膨脹;南北向訪(fǎng)問(wèn),不同二級分行配置了訪(fǎng)問(wèn)控制,在數據中心防火墻上還會(huì )做重復的策略;東西向訪(fǎng)問(wèn),流量會(huì )跨雙層防火墻,策略配置又會(huì )翻一倍。
運維智能的核心是“以業(yè)務(wù)驅動(dòng)的安全策略”,從IP機器語(yǔ)言升級到基于應用的高級語(yǔ)言,建立應用到IP的自動(dòng)映射,通過(guò)安全控制器將安全策略與業(yè)務(wù)的生命周期緊密捆綁,在業(yè)務(wù)上線(xiàn)、變更和下線(xiàn)時(shí),實(shí)時(shí)感知變化,自動(dòng)翻譯“業(yè)務(wù)的策略“到最終設備可執行的IP策略,省去人工干預。
更重要的是,通過(guò)安全控制器分析對應用互訪(fǎng)關(guān)系進(jìn)行可視分析,在機房搬遷場(chǎng)景自動(dòng)生成策略白名單,免去繁重的人工重新配置;通過(guò)觀(guān)察分析應用互訪(fǎng)流、策略命中率等,對全網(wǎng)策略進(jìn)行動(dòng)態(tài)的調整和優(yōu)化,及時(shí)刪除重復策略、下線(xiàn)過(guò)期策略;通過(guò)動(dòng)態(tài)流量分析,驗證預上線(xiàn)策略的有效性,確保策略定義和實(shí)際執行保持一致。
華為SDSec解決方案致力于從軟件定義防御,到軟件定義檢測、軟件定義響應和智能運維的升級。以安全控制器和安全分析器為核心,橫向使能“一整張網(wǎng)絡(luò )”,南向使能全網(wǎng)多廠(chǎng)商安全設備和軟件,北向開(kāi)放對接主流云平臺,實(shí)現以業(yè)務(wù)驅動(dòng)的云、網(wǎng)絡(luò )和安全的上下協(xié)同,并以“威脅入侵意圖”學(xué)習為核心,動(dòng)態(tài)定制采集和檢測,基于A(yíng)I機器學(xué)習創(chuàng )新對惡意文件、C&C、內部流量異常的主動(dòng)分析,使能全網(wǎng)神經(jīng)末梢節點(diǎn)自動(dòng)快速遏制威脅,幫助客戶(hù)提升安全分析和運維的智能化、自動(dòng)化程度,簡(jiǎn)化安全運維,減少專(zhuān)業(yè)安全人力投入,保護客戶(hù)關(guān)鍵基礎設施穩固,業(yè)務(wù)永續。
