這就是華為SDSec(Software-defined Security, 軟件定義安全)的網(wǎng)絡(luò)安全防御思路,解決安全產(chǎn)品和解決方案方案可用、威脅可被主動發(fā)現(xiàn)和預測、工程上可快速自動處置、管理上可自動運維的難題。讓企業(yè)網(wǎng)絡(luò)在攻防較量中占據(jù)主動,具備自學習自適應的安全防御能力。
檢測智能提升全網(wǎng)威脅檢測能力
被動防御變?yōu)橹鲃臃烙?/strong>
一個武裝完備的企業(yè)通常部署了從網(wǎng)絡(luò)邊界到終端的所有安全產(chǎn)品,但是彼此孤立的單點防御產(chǎn)品既沒有形成一個防御體系聯(lián)合作戰(zhàn),威脅事件仍無法被準確判斷,未知威脅不能被有效監(jiān)測,單點檢測效果也不盡人意。在全網(wǎng)多點異常分析上,企業(yè)還在依賴SIEMs產(chǎn)品從全網(wǎng)日志監(jiān)控上來掌控整網(wǎng)威脅。市面上優(yōu)秀的SIEMs產(chǎn)品擅長的是日志采集、廣覆蓋、適配和解析能力,但日志分析能力很弱。且這些日志都是基于單點事件的告警,對入侵和攻擊鏈的全局缺乏多點異常關(guān)聯(lián)。
為單點檢測的有效性和多點分析的準確性,均迫切需要幫助管理員降低“噪聲”,過濾檢測輸入和輸出,保證單點檢測的有效;同時基于威脅場景制作“劇本”,研究黑客入侵的意圖來構(gòu)建威脅檢測模型和規(guī)則,依托大數(shù)據(jù)分析工具完成海量信息的多維威脅綜合分析,幫助管理員收斂海量的原始事件日志,在大海中自動準確發(fā)現(xiàn)威脅,甚至預測威脅。
檢測智能首先確保單點檢測有效,從源頭過濾“噪聲”,基于全球?qū)崟r威脅情報、關(guān)鍵資產(chǎn)信息、動態(tài)威脅變化和專家分析經(jīng)驗,生成有效過濾條件,做好一級收斂。結(jié)合AI機器學習算法實現(xiàn)多點分析的準確性,核心是構(gòu)建針對“威脅場景”的高級規(guī)則,含單場景檢測模型,和含日志、情報、流量異常等的多維綜合判定算法,即二級收斂。
現(xiàn)階段黑客已經(jīng)利用機器學習生成智能的惡意軟件,可以預測未來攻與防的對抗必定是人與機器的對抗,需要以更聰明的大數(shù)據(jù)安全分析大腦,結(jié)合海量黑白樣本的學習訓練,研究黑客入侵意圖和攻擊手法,來最終做出預測和判定。
單場景分析模型
惡意軟件動態(tài)行為機器學習,通過將海量的黑白樣本行為送入神經(jīng)網(wǎng)絡(luò)做深度學習,提煉出歷史上出現(xiàn)的惡意和非惡意行為的通用特征模型,而不再是固定的全局行為權(quán)重打分機制,提高對未知威脅的檢出率,降低誤報。
全網(wǎng)多場景多維綜合分析模型
將魚叉釣魚、Web滲透、黑客遠控C&C、賬號異常、內(nèi)部流量異常、數(shù)據(jù)竊取等子場景串起來進行綜合分析,利用攻擊圖中每個攻擊行為的威脅類型、級別、可信度進行綜合計算,理解黑客的攻擊意圖,然后跟專家系統(tǒng)輸出的組合式攻擊行為模式庫進行匹配,根據(jù)黑客入侵行為動態(tài)調(diào)整模型,識別和預測組合式攻擊類型和可信度,把單點原始事件收斂到千萬分之一內(nèi),減少管理員繁重的篩日志、鉆取、分析和溯源的時間,提升檢測智能,減少對專業(yè)安全分析人力的投入。
處置智能全面快速消除網(wǎng)絡(luò)威脅
單點防御變?yōu)槿W(wǎng)協(xié)防
威脅和安全響應就是一場時間賽跑,42%的新漏洞在紕漏30天內(nèi)被黑客利用,企業(yè)響應的時間遠大于30天,打的就是時間差。縮短安全事件破壞和響應修復間的時間差,是減少經(jīng)濟和數(shù)據(jù)損失的關(guān)鍵。曾“名聲大振”的勒索軟件WannaCry讓超過24萬受害者遭受損失,而相比于“震網(wǎng)”這類高度復雜的攻擊,WannaCry本身的技術(shù)性不強,但傳播快感染范圍廣。盡管所有廠商都紛紛宣稱可以檢測到WannaCry,但客戶最關(guān)注的不是你能否“檢測”到,而是第一時間定位被感染計算機,及時攔截防止內(nèi)部橫向擴散,對并已感染終端快速進行修復。這是夯實組織對抗威脅的基礎(chǔ)工程能力,提升自動化響應和修復能力是客戶關(guān)注的焦點。
處置智能是協(xié)同全網(wǎng)遏制威脅,結(jié)合云端或本地沙箱分析能力快速檢測未知蠕蟲病毒。比如,在出口防火墻封堵445端口,升級IPS特征庫等,更關(guān)鍵的是可以通過安全控制器聯(lián)動接入層交換機及時隔離已經(jīng)被感染的計算機,利用網(wǎng)絡(luò)的各個神經(jīng)末梢采集流量,定位感染路徑,并聯(lián)動終端軟件自動化清除蠕蟲病毒,批量推送補丁輔助員工配合來修復漏洞,自動化發(fā)布工具恢復加密文件。
運維智能自動基于業(yè)務生成并部署策略
人工運維變?yōu)橹悄苓\維
海量安全策略運維一直是中大型組織和企業(yè)的頭號難題。以某金融客戶網(wǎng)絡(luò)為例,僅數(shù)據(jù)中心防火墻策略就有幾萬條,全網(wǎng)防火墻數(shù)量大于500臺,策略基于IP語言和業(yè)務的每次更新都需要調(diào)整防火墻策略,每天的策略更新量達到上千,運維不堪重負;業(yè)務下線、IP地址回收等均不會被及時通知到網(wǎng)絡(luò)安全維護部門,策略提交者不會親自撤銷策略也很難被管理員發(fā)現(xiàn),由此導致大量過期的安全策略堆積沒人“敢動”;另外,數(shù)據(jù)中心搬遷時,安全策略的遷移也是一個“老大難”, 策略需要重新生成配置,手工操作花費數(shù)周時間才能完成。最后是重復策略的問題,同一應用多人申請可能會造成策略重復、策略總數(shù)膨脹;南北向訪問,不同二級分行配置了訪問控制,在數(shù)據(jù)中心防火墻上還會做重復的策略;東西向訪問,流量會跨雙層防火墻,策略配置又會翻一倍。
運維智能的核心是“以業(yè)務驅(qū)動的安全策略”,從IP機器語言升級到基于應用的高級語言,建立應用到IP的自動映射,通過安全控制器將安全策略與業(yè)務的生命周期緊密捆綁,在業(yè)務上線、變更和下線時,實時感知變化,自動翻譯“業(yè)務的策略“到最終設(shè)備可執(zhí)行的IP策略,省去人工干預。
更重要的是,通過安全控制器分析對應用互訪關(guān)系進行可視分析,在機房搬遷場景自動生成策略白名單,免去繁重的人工重新配置;通過觀察分析應用互訪流、策略命中率等,對全網(wǎng)策略進行動態(tài)的調(diào)整和優(yōu)化,及時刪除重復策略、下線過期策略;通過動態(tài)流量分析,驗證預上線策略的有效性,確保策略定義和實際執(zhí)行保持一致。
華為SDSec解決方案致力于從軟件定義防御,到軟件定義檢測、軟件定義響應和智能運維的升級。以安全控制器和安全分析器為核心,橫向使能“一整張網(wǎng)絡(luò)”,南向使能全網(wǎng)多廠商安全設(shè)備和軟件,北向開放對接主流云平臺,實現(xiàn)以業(yè)務驅(qū)動的云、網(wǎng)絡(luò)和安全的上下協(xié)同,并以“威脅入侵意圖”學習為核心,動態(tài)定制采集和檢測,基于AI機器學習創(chuàng)新對惡意文件、C&C、內(nèi)部流量異常的主動分析,使能全網(wǎng)神經(jīng)末梢節(jié)點自動快速遏制威脅,幫助客戶提升安全分析和運維的智能化、自動化程度,簡化安全運維,減少專業(yè)安全人力投入,保護客戶關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)固,業(yè)務永續(xù)。
