英特尔安全事业部北亚区售前技术总监郑林从另一个独特的角度道出了英特尔的安全布局:首先,在开放架构的基础之上,接入互联网的设备与日俱增,而物联网的安全性则很少被提及。其次,从技术角度而言,仅仅依靠IP地址已经无法却分恶意行为。再者,典型的勒索软件依然让很多目标团体受害巨大。综合而言,在形式越来越复杂的今天,资源云化的趋势以及攻防时间的失衡已经让天平倾向于攻击方,而与安全相关的资源短缺又是大环境下的通病。安全从业者目前的主要的投入用于延长攻击者的时间和缩短发现和修复漏洞的时间。基于这些因素,英特尔提出了安全互联架构,旨在协调数据自动响应,实现实时自适应。郑林用通俗的方式解释了威胁情报-从黑客互动中获取实时洞察力。
从入侵杀伤链洞悉黑客行为
所谓入侵杀伤链是黑客采取攻击的基本步骤的归纳总结,按照时序可归纳为外围探测-构造攻击-交付攻击-漏洞利用-安装后门-远程控制-采取行动。郑林指出未来安全从业者防护攻击的关键在于提取威胁和共享威胁情报。然而其中的基础在于企业IT人员对自身的网络资产是否足够了解。如果某个单一的安全设备和技术能够发现某一环节中的活动并很快的将威胁情报提出来,那么杀伤链就成为了拆解黑客活动的工具,安全的互联架构则是基于这一方法论基础上的“实时洞察力。”
英特尔安全在去年发布了数据交换层(DXL)安全解决方案,其核心理念在于将传统防火墙、IPS等安全设备采集的信息综合归纳起来,传播给体系中的同类产品。基于这一理念,英特尔安全也在致力于创建标准。据郑林介绍,目前英特尔参与的主要有两个联盟SIA(Security Innovation Alliance)与CTA(Cyber Threat Alliance)。其中SIA是由Intel Security主导的安全联盟,联盟成员为Intel Security的业务比较互补的公司,产品可由 ePO统一管理。CTA主要由安全业务比较相近的厂商组成的联盟,以威胁情报交换为主题。由此可见,威胁情报已经成为安全业内打破技术壁垒的重要催化剂。
基于协作的安全架构
提取安全威胁情报并在网络中实现快速共享是当前安全厂商广泛采用的手段,郑林对此做出了进一步阐述:所谓互联是从黑客活动中获取一些实时洞察力,了解对从业者有价值的情报。无论黑客试图攻击哪一个点,一旦触发了安全防护机制,相应的软件会通过引擎发现可能的威胁并从中抽取威胁情报继而传递给端点。即使传统的防火墙、IPS并没有这一防护特征也可以从web安全网关得到相应的情报并更新到本地的知识库。以此案例而言,威胁情报实现的互补和联动即是安全互联架构的核心理念。
英特尔布局的是通过威胁情报快速联动去制定更适应当前节奏的协议,实现对威胁的快速遏制,打通新的安全互联生态系统。SIA与CTA两大联盟实则让整个行业受益匪浅。除去众多安全从业者的威胁情报之外,第三方威胁情报的收纳也将逐步成熟。郑林透露,开放会合作将是未来三倒五年的一个主要趋势。在基本的保护、检测、修复的基础之上,整个产业都在积极检测未知威胁,在修复环节上投入技术和资源住主要围绕检测和修复环节深入研究,业界也出现了诸如英特尔、思科、IBM等一系列威胁情报标准。
就目前而言,第三方厂商正在逐渐加入到这一联盟中,英特尔主要选取与自身比较互补的厂商进行合作,与飞塔的合作将对安全互联架构形成有效推动。从原有的第一代端点和产品的互联相比,技术正在不断演变。第二代安全互联强调技术和产品之间的互联。第三代架构则是全球威胁情报系统的建立,在安全事件本地化特征越来越明显的今天,当前的第四代架构是优化部署安全设备更好的进行威胁情报的交换和消耗。
计算、网络、存储的虚拟化是当前技术趋势,虚拟化安全技术的引入也毋庸置疑,英特尔安全在虚拟化平台和产品虚拟化上也做出了相应投入,虚拟化的主机安全软件将支持所有虚拟化平台,甚至已经深入支持华为、中兴等虚拟化平台。
写在后面:早在英特尔收购迈克菲团之前,安全的互联互通就已经是日趋成熟并衍生出新价值的核心理念。当前国内的安全厂商也在强调自主可控的基础上广泛实现安全技术的互联互通。威胁情报将进一步促成战略合作和安全联盟的建立。安全互联架构不失为其中的典型代表。
作者:李蓬阁
来源:it168网站
原文标题:访英特尔安全郑林:威胁情报衍生的价值