威胁情报技术(TI)自2015年引入中国以来,已经过了四个年头。从一开始的概念阶段,逐渐落地并形成了各种形态和商业模式。国内的360、微步在线、天际友盟,国外的IBM、Mcafee、思科、赛门铁克都有着各自的TI,Fortinet也不例外。后者在TI方面的积累和能力,更是有着自己的特点和优势。
近日,Fortinet全球首席安全战略官 Derek Manky来华出席 ISC 2018 互联网安全大会。期间,与几家国内知名IT与信息安全媒体沟通,介绍了Fortinet的威胁情报和其极具开放与整合能力的安全体系架构:Security Fabric。
Fortinet全球首席安全战略官 Derek Manky
570个零日漏洞 CPRL的强大
缔造了UTM(统一威胁管理)这一全球流行安全技术概念的Fortinet,早在2000年就成立了FortiGuard实验室,目前实验室有200多位安全分析师,为全球40万用户提供威胁情报服务。
经过了数年的普及,威胁情报技术实现已不再神秘,无非就是根据需求,做好收集、分析、交付、使用等阶段的工作。但在这些阶段中,有一项关键能力对威胁情报的质量起着决定性的作用。
威胁检测能力,比如业内熟知的沙箱技术,把恶意代码放到沙箱里执行,然后进行检测解析。而Fortinet仅在威胁检测方面就拥有大量专利,其中最值得一提的是一项名为CPRL(内容模式识别语言)的专利。其理念是通过机器学习,自动编写程序来检测新的病毒,自动机器筛选,最后进行人工处理。
随着时间的过去,其威胁检测的效率越来越高,发现零日漏洞能力越来越强。由于这项专利技术,Fortinet于2016年启动的一个专门进行零日漏洞检测的项目团队,截至到今年的第二季度已挖掘出570个零日漏洞。
发现漏洞之后,我们再要做的是负责任的披露,让有漏洞的厂商先行制作正式补丁。在正式补丁出来之前,与对方合作先通过Fortinet的安全硬件和软件提供一个虚拟补丁以保护安全。
目前,FortiGuard绝大部分的威胁检测工作能通过人工智能的机器学习来取代,安全技术专家则主要从事复杂的工作,比如提供可执行情报或事件响应服务等。而在以前,技术专家只能靠手工分析,或者编写防御方面的策略为主。
设备、工具的联动与超一流的合作伙伴
之前安全牛的文章介绍过,Security Fabric 是一个安全整体架构的解决方案,2016年发布。经过两年多的时间里,已经形成了包括WAF、邮件网关、沙箱、威胁情报、终端安全、云安全、无线安全、IoT、SD-WAN等多种安全组件的体系化防御架构。
体系化是指各组件之间能够协同联动。比如,非常重要的沙箱技术。其优势在于可以进行深度检测,但缺点在于不能高效拦截。但如果与防火墙等安全网关设备,以及安全策略整合在一起,即可实现自动化缓解威胁。
除了设备和工具之间的联动,更重要的是厂商之间的配合。Fortinet不仅与如终端安全、工业互联网安全等厂商合作,还与公/私有云、甚至通迅厂商都有非常好的合作,如VMware/OpenStack/AWS/Azure/阿里云/谷歌云/青云等,其中与阿里云的合作更是其国内的标杆案例之一。在其100多位合作伙伴中,不乏思科、赛门铁克、IBM、Mcafee这样的国际大厂商。
其实也很容易理解,黑产的强大之处在于其黑色产业利益链的联盟,在于地下暗网相互之间的联盟。而安全守卫者,厂商,之间也必须联盟,包括设备、架构之间的协同联动,包括安全情报的共享与互通。只有这样,防护方的视野、技术能力、反应速度才能抵御黑色利益的巨大威胁。
正如UTM的“统一”技术基因,Security Fabric 也是遵循了这一“整合”理念。综上所述,这个安全架构可以用三大特点来概括:开放、联动和自动化。而且,这三大特点是阶梯性的。因为开放才能联动,而只有联动才能做到自动化。