裘波 深信服安全业务副总裁
摘要: 安全建设的核心就是要做到有效保护。今年,医疗、法院、高校、国土等多个行业用户受到了恶意攻击的侵袭,深信服认为可以从网端、终端和云端多个维度,为用户快速检测出潜伏威胁,并通过专杀工具进行快速的处置。在实践中证明网端云能够真正的发现威胁和解决问题。
现阶段怎么看待网络安全的发展和变革以及深信服准备采取什么样的理念,什么样的方法,做什么样的产品来应对现在的网络安全挑战。
网络安全目前来说有三个层面的变化,第一个就是网络安全威胁在不断的升级,发生变化,从2000年手法初级防病毒,到2005年黑客开始成为产业,再到2019年左右我们看到了网络的防社工,放定向渗透,再往后的发展,随着暗网,货币不断的增加,可以看到网络安全的病毒越来越多的爆发。
第二个由业务发展带来的挑战,目前大量的企业做数字化转型带来的三大变化主要是开放、连接、云化,以这三个点作为最主要的业务驱动力,意味着目前网络安全的攻击面才会变的越大,利用面变的越多,云化导致边界模糊,不可见。
第三个层面在于法律法规持续的增强和要求,2017年6月份网络安全法正式发布,今年5月13日等级保护2.0正式发布都体现了这一点,从这三个层面可以看到攻击的不断进化带来的威胁会不断的增强,数字化的转型意味着我们面临风险的机会是不断的增多,法律法规不断的强化我们用户在做网络安全建设的时候,忽视风险的容忍降低,都可以把它聚焦为风险层,我们有一个观点,目前我们网络安全的建设很多的甲方比较关注漏洞、攻击,我们看到的是攻击不等于防御,会攻不一定会防,我们的理念更多的是倾向于安全建设,我们希望能够回归到持续有效的抵御风险这个维度,基于这样的理念提出了面向未来有效保护的方法。
这个方法主要是用于我们的甲方建设网络安全,分为三个阶段,第一个阶段一共有16个字,风险驱动,立体协同,面向未来,有效保护,其中风险驱动和立体协同是过程,面向未来、有效保护是我们希望达到的结果,基于这样的指导思想我们希望做到的模型是通过智能化的工具,防御、检测、响应的闭环以及持续的运营这样五个步骤,形成一套模型,基于这个模型的指导再完善框架,技术、管理、运营的框架最后得到安全方法论。
为什么我们要提风险驱动,立体协同这八个字,主要的原因我们看到了原来网络安全方面的建设原来更多的是依赖于边界防御的防护思路,不论是防火墙都可以归为边界防御,都可以把它扛住放在交换机上,这个防护的思路目前来说可以把它归为边界防御,我们希望它能转变为风险驱动,立体协同的安全建设思路,由多个面组成,第一个是望断云服务,从终端,从云,从服务,网端云服务,假设我有一个风险过来有网络可以防护最好,如果防护不住通过公安一层一层,我们以勒索病毒风险来做一个具体的例子,这个病毒可以分为传播行为,入侵行为和感染行为,在网这一端可以通过网络防御来做基于漏洞特征的具体识别,通过端来做微隔离,做事件处置,通过云来做实时监测,检测赋能做持续的运营,还可以引入服务,态势通告,加固建议,应急处置,这样可以形成整个纵深的防护体系,通过这个例子,在勒索病毒还没有爆发的阶段,可以看到每一个具体的阶段,是从传播阶段,还是利用阶段,扩散阶段,每一个环节都能够对他进行有效的识别。
第二个维度,我们说做好了网络的立体协同防护以后,希望通过PDRO来构建模型,PDR是防御决策到响应不断的闭环和增强,网络安全企业大力的投入人工智能,主要的目的是通过自动化工具来应对大量的未知威胁,因为这个工作量特别大,通过人工智能可以有效提升工作的效率,原来处理的是几千万日志的量,现在可以处理几亿条的工作量。
第三个维度一定要通过运营让我们的安全产品用起来,让我们的制度落地,这是整个过程,基于能力模型,通过技术管理和运营三个维度构建去完善我们安全的框架,等级保护一直在提技术和管理两个部分,都是并重的,美国IFTA也一直在说,这也是对标的,他讲的是技术和操作,殊途同归,总结一下我们安全架构是从思路、风险驱动,立体防护,面向未来,有效防护,框架,从技术到管理到运营,最后构建能力模型。
在落地的环节,深信服目前在产品端也是基于这样的思路不断完善我们的产品,在网这一端构建的是很多安全网络设备,不一一具体说了,说一下在端,在终端环节上原来我们看到的网络安全企业很少在端做投入,目前加大了这一端的投入力度,现在很多的网络安全企业,2B端的企业都在投入端的建设,对于终端的检测与响应将是未来的趋势,我们怎么理解这个事情,原来我们说的2C端用户,大家对于终端的安全停留在PC端的漏洞这一方面,尤其是近一两年终端威胁逐步变大,最重要的有一种防不住的感觉,勒索病毒大幅的爆发,我们分析云是因为大量的未知危险,很难应对危险,我们在终端目前基于两点来做,第一个一定是在里面加入大量的人工智能杀毒引擎,通过行为去判断它到底有没有问题。
第二个对于企业级的用户跟终端用户需求不太一样,企业级用户不能直接处理终端威胁,跟个人不一样,个人把操作系统处置一下,对于终端来说有很多的数据资产,不能随意处置,有一个很好的词叫做代替运行,中了病毒也没有太大的影响,这是端的第一个维度。第二个端的维度是我们的手机端,目前手机端的应用会导致大量泄密情况的存在,不仅仅要对终端做管控,还有一个很重要的我们要在终端做终端数据的(英)概念。
第三个就是手段,除了传统的做法现在更多的是采用数据不落地的方式做更还的防泄密,这是端。
在云端我们看到了很多新的技术应用,深信服目前在云端主要涉及三个方面,第一个方面我们希望所有的安全能力都集中起来,变成一个真正的数据中台,这个中台把它命名为云脑,目前每一个产品它的安全能力都会输入云脑,由它再跟外部进行联动,最后到用户端。
第三个层面是在安全实际应用过程中,根据用户的需求提出了不少的云化措施,包括云眼、云盾、云图,云抗D,针对于公有云,我们已经完成的所有的安全场景云化部署,能够部署到阿里,腾讯,华为,亚马逊等等的云平台上面能够直接的使用。
第二个维度基于私有云我们提出了云安全,通过虚拟化部署把整个虚拟化,做自动化部署,按需提供资源,按需提供服务。
第四个维度是服务,从服务的角度是非常重要的,大量的产品到用户端是没有把它用好,受限于很多的维度,包括用户,甲方,对产品的熟知程度,专业能力,精力等等的分配,我们在服务端的投入更希望的是通过智能化工具和云端专家协同,为我们用户能够持续的进行安全评估,咨询、运营、处置。
这是我们业务的部署,从业务端也看到了一个开放的需求,对我们所有的产品进行整个架构上比较重大的调整,增加了更多的API,更多开放的API接口,希望最后能够衔接一些生态。
这是我们的安全服务目录,不具体说。
落到具体用户常见的安全问题上,比如合规、风险、业务、安全规划,每一个具体的问题都希望给我们用户提供真正有效的方法、思路以及最佳实践,这是我们的电子政务云的安全防护体系,近一两年我们做的有14种省级政务云安全方案,举个例子,这个省级政务云平台做项目的时候有三个具体需求,第一个要满足等级保护三级要求,要求。第二个需要提升整体的安全防护能力,做到全局的安全治理和高效运维。第三个希望整个建设能够保证全面性、前瞻性和专业性。
右边这个图我们给用户提供的建设框架,建设的思路,具体的解决方案第一个协同用户梳理出清晰安全责任边界,包括云平台,租户,对云平台的运营方面来说更是一个小区的管理人,对小区外围责任是云平台本身的。对于里面的每一个租户,是选用防盗门还是选用玻璃门,房间里面是怎样的构造,我们认为云平台给他提供统一的建设需求,希望把权责分开,租户负责自己的数据安全,平台负责平台的安全,当你梳理出清晰的责任边界之后,接踵而来就是怎么实现,原来的部署模式原来一台车在最外面是没有办法实现的,对于用户来说外围是一个黑盒子,看不见,通过技术给用户提供不同的软件,让他自己控制自己的安全。
第二个面向合规的需求,提供更加全面的安全场景。
第三点要充分利用现有的安全措施以及SDN、VXLAN,能够给用户提供更加弹性的资源,更加充分的服务。
第四点着重解决云环境下特有安全问题。
第五个我们希望结合安全态势感知平台,形成防御、监测、响应、运营一体化的安全体系,客户达到的价值,将割裂的安全进行链接,原来用户的每一个安全设备都采用了,但是不成体系,没有进行有效的链接,这样我们为用户构建了一个可拓展的安全防御框架。
第二个基于AI、大数据安全检测,发现未知威胁。
第三个服务化的安全能力交付。
第四个全局风险可视与简化运维,通过这个能够真正的把云安全防护给用起来。
最后介绍一下深信服科技,深信服是2000年成立的一家公司,距今已经有18个年头了,年复合增长率超过60%,目前在国内的七家上市网络安全企业当中,目前我们的销售规模,营收规模和净利润都是排在第一个的,这个也离不开广大的用户和国内专家们的支持。
目前我们的业务秉持着全球化的状态,我们在美国,英国,新加坡,东南亚等等都有自己的办事处,收到了很多海外用户的认可,除了网络安全板块,还有云计算板块和新IT,云计算板块主要涉及的是云计算私有云的超融合,公有云的一些业务,新IT主要涉及的是无线,交换机,包括装配云等一系列的基础设施。
我们认为安全能够更好的保障云计算和基础设施平台,云计算和基础设施平台也具备相互的促进作用,有了这个平台以后,能够让我们的安全会变的更加有效,更加的契合用户的实际需求,能够帮助我们让用户IT变的更加简单,更加安全,更加有价值。
上一篇:尹浩:万物互联的安全问题
下一篇:杨建军:数据安全及其标准化