NSC2013 中国网络安全大会2013论坛一 绿盟科技 赵粮

赵粮:大家上午好,我这部分内容是在两周前我们有一个安全的峰会,我在那个时候跟大家分享过。我给大家分享一下我们关于在下一代安全领域,有一个重要的特性,我们称之为叫安全协同,我们认为这是一个很重要的技术创新的一个方向。它影响着我们接下去三五年的网络安全这个体系的有效性和效益。我把这一点给大家做个分享。这个图以前我在别的场合下使用过,在报告里也看到过。

20131211114906921

我们每一个组织你可能是关注的,是其中的某一个,你可能关注的是广谱的,个人的那部分,也可能关注其他的,就目前来看,我们现在做得比较好的,我们说的是广谱的,它的特点是什么,就是我们每个组织受到的攻击差不太多,这有什么好处呢,就是我们防御一方,就是我们比较容易获得它的样本,我们比较容易了解它的攻击的机理,从而找到它的防御的对策和方式,考验我们的就是你有多快,你有多全,很快的,很全的找到对应的措施布置上去就好了,但是在偏下面这一侧,这个叫定向这一侧,高级软件,高级威胁,加了A的,它有什么特点,就是你遭到的攻击和我遭到的攻击不一样,我们管它叫未知攻击。不可能有绝对的攻击,它还有一部分是相对已知的,我们考虑问题的焦点就会落在说我们怎么样去在原来的基础上,我们做得还不错的工作的基础之上,怎么去发现我们对这部分相对未知的这部分的检测,要做好这一部分呢,其实并不那么容易,我举个例子,现在攻击一方它也有非常多的技术来创造这个未知,这个未知就是说怎么躲开你,躲开你现在的检测方式,躲开你的设备,你的体系,现在也有非常非常多的创新,这个创新还非常多,这个屏幕上还举了个例子,现在比特币也很火,这个公司被人偷了上百万美元的比特币。我们看一个攻击工具由很多部分组成,有代码的载荷部分,通过邮件,最后它通过一个漏洞进入系统。我们可以看到把拆借后的所谓攻击工具,是它很难去在这所有的几个阶段,就是在执行代码这块,在投递工具这块,它要利用漏洞破门而入,同时都是未知的,这个成本非常之高,这个恰恰高出了你想防御的成本。他用的是外网,它的导航部分漏洞,大家常规的那部分关注的,就是所谓卫士。我们看到刚刚发布了一个报告,说每年有数百个交易来,交易去,但这个非常贵,并不是天天有非常多的人在使用。我们刚才看到微软的专家也讲到了很多很多的样本,这个样本有相当部分,我们在刚才这个拆解以后,我们的原理就是说,我们在刚才那些攻击工具的各个环节上面,是不是可以利用已知的部分,来推理找到那个未知的部分,我们目前有很多很多产品,虽然我们产量不是很大,我们有很多产品有些专业人员也搞不太清楚到底有多少产品,它很多,但它是不是可以很好的工作呢,我们发现其实不是很好,我们看有反病毒啊,防火墙啊,取证啊,还有就是从去年开始得到非常大关注的动态和静态的测试。这是学名,还有它公司的名字,大家就非常熟悉了。它们之所以不能很好地去解决这个问题,我们认为其中一个技术的原理,是它们互相之间不会说话,每一个都把自己的小问题解决之后就丢了,比方在反病毒的时候,我们通常并不关注这个病毒样本在网络册有什么表现,那么如果我们能够把病毒样本这部分,跟防火墙这部分在网络层面我们可以用测试者提取一部分,能把它们互相的发掘的一些信息,就是发掘的已知信息,跟我们想要求解的未知信息放在一起的时候,我们觉得有可能会得到一些解。这个就是我们依靠的一个新的体系。他把知道那部分走完了,他就不干了,这就是我们想要解决的问题。我们希望他告诉他的邻居,或者告诉一个知识库,刚才罗总讲的智能,其实在我们讲的智能,就是放在更高的层面来看,他们就可以解决这个问题。我们有一个术语叫安全协同闭环运营。

它依托的是从刚才九龙的每条龙所不断产生出来的那个已知和未知的演化,就是它未知的变成了已知,进一步的求证,而且云预测呢,我们相互进一步支持刚才推导的这么一个力量,那么进而能够支持下面成千上万数十万台继续收集求导这么一个大的体系,有了这个大的体系以后,可以实现自动化和半自动化的闭环运营,这有一个示意图,我们通过一些低成本的一般性的监视,我们发现一些异常的行为,这时候我们就刻意通过这种协同,我们调入深度的一些手段,越深越贵,就是因为你不可能使用所有昂贵的手段,这是不可能的,这是经济原因决定的。那么这个深度防御你可以继续按照需求,调度最昂贵的就是人了,最昂贵的就是你调动你的专家资源,完成相应的推导活动,并且继续持续的更新智能,或者我们叫信息库,你都可以起一个名字给它。这是一个示意图,我们的目标,我们不断地通过建模把其中的一部分自动化,通过对脚本进行一些更低成本的实现,降低这些过程,我们把刚才这些思考,其中一个叫安全协同,一个叫闭环运营。这是两个。我们认为这一切都是在目前我们所面临的刚才一开始看到的微型矩阵,对我们现在网络安全带来的逼迫性的改变,我们也要进入下一代的网络安全体系,在这个安全体系里边,我们需要有威胁感知的能力,我们需要有协同能力,同时我们要预防,就是你发现一个威胁,你要能找到对策,然后你要看到是否有效,再调用你的策略,更新你的知识库。其他的内容我没有办法给大家展开,我们公司正在朝着这个方向,我们相信这是我们的未来,我们在朝这个方向努力,我们也希望有更多的同行,更多的同仁,更多的伙伴一起朝这个方向努力,因为这的确不是一家,不是某一个小组,或者某一个产品能够实现的,它依靠的是一个体系,一个更大的一个生态。谢谢。

 

上一篇:NSC2013 中国网络安全大会2013开幕 张群英

下一篇:杨春燕:2015年电子商务交易额或达18万亿