杨大路:安全智能连接传统安全措施

杨大路:很高兴今天能在这里与大家分享工作中的一些想法和观点。前面的嘉宾更多讲的是云上的安全,我这个议题和大家分享一些,因为在很长一段时间内,企业客户更多的自查和安全还会依赖于传统的安全措施和安全服务来解决。传统安全措施和服务,随着技术和黑产攻击的深入升级,我们如何把传统安全措施用好,可能需要云上新兴出现的技术、服务和能力连接起来,更好保护企业安全,能够持续、运营、工作。

安全智能。

安全智能如何在传统安全中发挥作用?安全智能包括一些方向,包括现在热门的资产和漏洞,这两年最热门的威胁情报以及传统事件情报,并且可能还有一些安全措施。因为我们只告诉你有问题。

如何解决问题是传统企业中比较头疼的,因为新的问题,新的漏洞情况层出不穷,管理人员、安全运维人员如何解决新出现的问题和新出现的事情呢?情报措施也是很关键的,我们需要指导或者闭环处理一些问题,包括更高级一些的业务战略情报或安全需求情报会更多指导我们企业做安全方向决策和方针制定、规划制定。

安全智能(安全情报)从理念走向落地。

随着这两年,安全智能或安全情报概念,逐渐从全球范围内逐步落地,国外厂商和用户把理念、概念会更多落实到具体的工作当中。FireEye今年上半年收购了iSIGHT做情报收集的公司,整合完以后,它向全球用户提供了全方位的安全智能解决方案,包括融合上述运营相融合的情报,把情报和安全智能、安全情报、自动化响应做了整合,更好支撑分析师和安全运营人员做更好的分析工作。

IBM目前在安全智能方面做得非常好,不仅把X-Force安全措施做了整合,今年很大程度上挖掘了人工智能Warching(音),试图用人工智能和安全情报解决安全运维、安全分析、安全响应等工作。国内也有一个情报联盟,我们也把相关安全智能数据、服务整合到一块儿。

通过智能化分发给更多传统安全设备,包括高级威胁检测、WAF、终端安全检测,传统的SOC平台,IBM Rredar和启明的漏洞管理平台,我们把情报和安全智能服务整合到更多的产品当中,可以为企业的安全措施做升级,云地协同,通过安全情报把这些技术连接了起来。

安全智能(安全情报)落地困境。

这一年工作中很多用户想用安全协同的理念解决问题,但遇到了一些问题。传统来讲,影响企业客户做技术升级或更新换代几个主要的问题:

一是现有的,游戏是国内的安全设备对新技术、新方案的支持,现在还在逐步上线和开发阶段,市面上很少有设备能找到支持的方法。

二是国内安全运营中心(SOC)建设不是特别理想,真正在国内成功运营的SOC安全运营中心ARME(音)屈指可数,不是特别乐观。

三是美国和国际标准化组织对统一威胁格式的标准推进的还是比较快的,国内因为追随国际说的步伐,现在还没有正式出台统一的国家标准来支持不同卡厂商之间的威胁信息或安全信息协同的标准。

四是企业安全管理者也对使用这个技术的设备,因为目前案例比较少,目前刚刚在国内落地阶段,上了新的设备和技术以后效果会不会比原来有很大的提升,信心也还是不足的。

五是国内因为厂商很多,厂商之间的竞争导致跨厂商之间的生态协同做得不是特别好,我也很高兴地看到包括腾讯在内的很多大企业也认识到这个问题,也逐步地想办法解决跨厂商生态协作、生态合作的问题。相信在未来一两年当中会得到很有效的推进和解决这些问题。

安全智能(安全情报)实施三步走。

遇到问题,我们还得解决,很多用户和传统企业和我交流时就会有个疑问,我们如何把这些新的技术与传统措施结合起来,该怎么做呢?我大概总结了一下三步走。

第一步:快速部署、体验成效。

很多企业安全管理人员对这个新技术是缺乏信心的,要建立信心最好的方法是让他用。我们找到一个案例、领域、方向或设备在他的企业里部署,能让他看到传统的,和没有释永信技术的设备和手段效果有区别。国外的设备或新兴防火墙或安全设备已经大面积地支持了新的安全智能技术。国内也逐步有一些厂家设备开始小范围地在各用户那边部署和应用案例。所以,快速的部署是我认为最先应该尝试的,这样可以建立一些信心。

第二步:深入改造、全面使用。

建立信心以后,我们会寻找权威的或者有比较多案例的安全情报服务,采购一些安全情报服务,因为安全情报是个知识,它不能直接发挥作用,所以,要更多地和现有设备、系统平台做打通。最好的方法是改造或升级我们已经建好了SOC平台和运营中心整个业务流程,把外部云上情报服务、数据服务和本地化,通过SOC进行深入连接。如果有条件,已经建了大数据安全分析平台等等,更强分析能力或运营能力的企业可以尝试地把这些外部安全能力或数据服务,与我们大数据分析结合起来,效果应该会更佳。

第三步:体系转变、联动响应。

前面两步实施都比较完善时,我们就可以考虑是否转变我们运营安全体系的思想。我们原来讲到边界防御、纵深防御、自适应、塔式防御等,整个体系要重新思考一下,因为新的能力,云地协同技术、方案或新的形式发展,我们更多地考虑如何管理外部的情报或安全知识,可能需要做一些管理平台或升级整个运营模式,以情报或智能驱动整个安全运营机制。

我们最终目的,也是做安全的人想了很多年,做了很多年就是智能化设备的协同响应,让真正用机器带解决机器该解决的问题,而不是投入大量的人辅助机器,或者让机器辅助人,逐步会转变为机器做更多的事情。

安全智能(安全情报)应用典型场景。

最后介绍一下安全智能的应用场景,把传统的应用场景打通。

1、漏洞情报和资产管理进行打通,实现资产管理的自动化响应。

互联网、安全厂商经常会有一些新的漏洞通报,这些漏洞作为情报引入到企业当中后,它会和资产管理或SIEM联动,发现企业内部有多少设备,多少资产,会受到这个漏洞的影响,同时,可能情报里会告诉你,我们需要打补丁或什么样的处理方式,会自动化通过服务器把补丁提前下载到本地来。

同时,还会触发临时性的扫描任务,对内部资产进行更新扫描,和历史资产库做加和统计,看最终在企业里的影响范围,最后触发一个补丁任务,有可能是自动化的,有可能是人工的,把涉及到的资产漏洞打上补丁。

我们可能有些经验,下载文件或通知说去打补丁,补丁有没有打成功有没有生效还需要后面自动化的确认和修补跟踪。让总部或安全运营中心的人员看到整个漏洞修复态势,修复了多少,整个趋势是不是收敛的状态,这样就可以把我们每次发现漏洞然后不知所措的情况,通过自动化的方法把效果进行提升。

2、把威胁和个人办公上网行为进行自动化联动。

可以通过云端、情报或导入到上网行为管理或上网代理服务器,通过上网行为日志动作的触发对已经明确不允许访问或有风险的进行提示或直接阻断。当产生阻断或审计事件触发时,我们会通过触发的结果自动化地向终端管理服务器、病毒管理服务器下发策略去做检查。看这个终端为什么访问了不应该或者比较敏感的目标,把检查结果再反馈回来做人工或自动化处理。

病毒查杀或终端强制它下线动作,可以理解为,我们通过外部资产把上网行为管理,代理服务器,终端管理打通,做到设备间的自动化联动。这是把威胁情报和高级自动化检测响应打通,通过云端整合了多元数据服务,把这些威胁信息下发给流量检测设备、威胁检测设备。

比如IDS、APT检测设备,通过这些情报、行为、日志的比对、碰撞以及规则的升级可以发现一些异常,会产生一些告警。这些告警原来一般管理员很难看懂或天天有人有时间盯着他看,这时候会触发自动化的,在告警里有问题的时候会把问题传回云端,对云端进行关联分析和溯源,发现更多的问题以及和这个问题相关的历史上的问题。

历史上有没有更多的行为,把历史上的行为特征、问题指标取回本地设备里,再做检测,发现更多的问题,做问题的扩展,做高级威胁、持续性威胁的发现,通过一个线索能纠出更多企业内部的线索,也能解决企业比较难的溯源分析,调查取证里,因为我们没有这么多的专业人员通过自动化联动,有可能发现企业内部更多已经成功入侵的威胁或案例事件。

3、安全智能与大数据分析平台的自动化响应。

我认为安全智能与大数据分析相结合应该是最典型和最有可能出效果的使用方式,我们现在也能看到,不管国外的赛门铁克、FireEye、国内安全公司会定期发布比较全面的安全报告,包括“海莲花”等等,威胁报告或安全报告出来以后到企业除了呈给领导、安全管理员看,他怎么自动化响应呢?

报告有很多内容,每个内容有可能我们都可以通过自动化的方法解读它,比如它里面有一些ROC、攻击目标或影响范围,我们可以触发相应的大数据检测,去发现很多的告警。

比如它有什么进程,修改注册表等信息,把信息相关联的数据提取出来做预解,包括APT文件,以及资产信息、使用的漏洞等信息提取出来,把所有匹配过的数据做个告警。把这些告警组再进行关联可以看到事件的全局,安全威胁情报相关联的事件影响了多少资产。

有没有什么问题,哪些服务器、终端、人,他和这些相关联,脆弱性在哪儿。我们把所有的告警组合分析起来就能真正地升级为比较高级的安全事件,比较好的安全措施的情报也是很关键的。

安全里会带着响应规则,比如POC,防护建议措施,打补丁措施,缓解措施,需要有什么标准。大数据平台内部也有防火墙,什么品牌型号的漏洞扫描设备,企业内部有什么品牌型号的终端管理软件,它通过这些措施响应规则又会自动化地触发这些传统措施。

根据这些事件影响到的范围做提前的缓解或自动化缓解措施。比如他给有风险的三个终端在防火墙建立临时的阻断策略,不允许外部什么访问可达这个终端或者临时启动一个扫描方案,针对有特点的IP段或者针对有风险的资产进行全方位的漏扫。

今天我给大家分享的就是这些案例。谢谢大家!

上一篇:腾讯吴昊:移动安全威胁

下一篇:腾讯王永霞:腾讯云安全治理最佳实践