前言
网络信息安全被称为“没有硝烟的战场”,网络上的攻防较量,一刻也没有停止过,而且战况之惨烈,常常超出我们的想象。比如去年5月,WannaCry勒索软件病毒爆发,波及全球150个国家,造成了80多亿美元的经济损失。就连安全体系比较完善的高校、医院、科研机构等,也有很多单位不幸中招。
大家不禁要问:我们天天在强调网络安全,并且部署了大量的IDS、IPS、防火墙、杀毒软件等安全基础设施,为什么在新型威胁到来的时候,依然感到无可奈何呢?今天的安全威胁有那些新的特点?传统的安全防护体系到底出了什么问题?
什么是“安全态势感知”?
为什么说“安全的未来就是态势感知”?
安全态势感知能为企业带来怎样的价值?
李维良:安全是永不停歇的战场。近年来,针对企业的安全威胁和恶意攻击又出现了哪些新的变化?
王金红:近年来的安全威胁,有两个非常明显的趋势:一是攻击技术专业化。今天的攻击,已从过去的个人炫技,变成了分工明确的黑客团伙作案,其技术更加先进、手段更加高明、方法更加多样。二是攻击目的商业化,出现了Hacking as a Service这样的服务,敏感信息、渗透服务等,都被明码标价。
就拿最近医疗行业爆发勒索病毒这个事件来说吧,黑客的攻击越来越高级,连医院这种内外网隔离的环境也会中招。同时,攻击的影响面越来越大,湖南某三甲医院的业务系统瘫痪,整个医院工作停滞。我们分布在全国的几乎所有省份的办事处,都接到了当地医院的邀请,让我们过去帮助他们做检测。可以断定,未来类似这样大规模的高级攻击还会越来越多。
李维良:在今天的新形势下,传统的安全技术和防御体系面临着哪些新的挑战?
王金红:我们认为有三个方面的挑战:一个是“看不见”。攻击越来越高级,越来越难以发现和检测,传统静态检测的方式无法应对高级攻击。二个是“看不懂”。一个客户的安全日志每天就有上万条,而且大多是以安全事件的角度堆叠,客户根本看不懂。三个是“响应慢”。安全设备多,一出问题全靠人力解决,精通各种攻击原理,又精通各种安全设备的人才,又贵又难找,大部分客户又没有这种高级人才。所以处理问题就非常慢。
李维良:在安全威胁日益严峻,合规性要求日益提高的背景下,我们该如何更新安全理念和安全工具?
王金红:首先,传统的安全体系以防御为核心,当新型威胁到来时,就显得捉襟见肘、力不从心。未来的安全,必然要在检测、响应两方面进行提升。道理很简单,高级攻击靠静态检测防不住,那我们就在威胁潜伏进来之后、爆发之前检测出来,并快速地响应并处置它。基于此,相关工具就需要加强在网络内部东西向流量上进行持续检测的能力。
李维良:“安全态势感知”是怎样的一种理念和方法?它具备的核心能力有哪些?
王金红:业内对态势感知有个通用的理解,那就是:感知、理解和预测。
感知:包括状态识别与确认,以及对各种状态信息的来源和素材的质量评价;
理解:了解攻击的影响、攻击者的行为和当前态势发生的原因及方式;
预测:对态势发展情况的预测评估,主要包括态势演化、影响评估。
我们认为,安全态势感知至少它应该具备4个核心能力:
第一、收集有效的海量信息的能力;
第二、基于海量数据的智能分析能力;
第三、基于宏观和微观的安全可视能力;
第四、应对安全威胁的协同响应能力。
李维良:哪些企业需要安全感知系统?
王金红:我们认为,网路安全的发展,必然是从割裂到集中,从局部到整体,因此,安全的未来,必然就是“态势感知”。所以说,态势感知应该是全行业的一个通用方案。
李维良:安全态势感知解决方案能为用户带来哪些价值?
王金红:安全态势感知的价值,我们总结为四点-
看清业务:发现资产和资产的脆弱性;
看到威胁:能够检测潜伏到网络内部的高级威胁;
看懂风险:以简单易用的方式,让非专业人士看懂安全现状;
辅助决策:能够提供有效的决策信息,帮助决策者做出正确决策。
如何选择合适的安全态势感知产品?
怎样让安全态势感知在企业快速落地?
李维良:关于“安全态势感知”产品的选型,您有哪些建议?对企业来说,怎么才能让安全感知平台快速、有效落地?
王金红:安全态势感知属于方案性的产品,选型可能会比较复杂。因为要收集全网的流量,因此需要弄清楚全网流量的走向,哪里是安全重点(比如关键业务)、哪里适合镜像流量、流量大概有多大等等问题。只有充分了解自身的网络情况和安全现状,才能选到适合自己的产品和解决方案。
态势感知类型的产品很多,但是侧重点各有不同,有的侧重设备日志收集,有的侧重杀毒、沙箱类的检测,而深信服则侧重全流量检测和智能分析。对企业来说,有效是关键,因此,一定要选择适合自己的产品和解决方案。为此,前期要做好充分的调研、沟通和对比。
