这就是华为SDSec(Software-defined Security, 软件定义安全)的网络安全防御思路,解决安全产品和解决方案方案可用、威胁可被主动发现和预测、工程上可快速自动处置、管理上可自动运维的难题。让企业网络在攻防较量中占据主动,具备自学习自适应的安全防御能力。
检测智能提升全网威胁检测能力
被动防御变为主动防御
一个武装完备的企业通常部署了从网络边界到终端的所有安全产品,但是彼此孤立的单点防御产品既没有形成一个防御体系联合作战,威胁事件仍无法被准确判断,未知威胁不能被有效监测,单点检测效果也不尽人意。在全网多点异常分析上,企业还在依赖SIEMs产品从全网日志监控上来掌控整网威胁。市面上优秀的SIEMs产品擅长的是日志采集、广覆盖、适配和解析能力,但日志分析能力很弱。且这些日志都是基于单点事件的告警,对入侵和攻击链的全局缺乏多点异常关联。
为单点检测的有效性和多点分析的准确性,均迫切需要帮助管理员降低“噪声”,过滤检测输入和输出,保证单点检测的有效;同时基于威胁场景制作“剧本”,研究黑客入侵的意图来构建威胁检测模型和规则,依托大数据分析工具完成海量信息的多维威胁综合分析,帮助管理员收敛海量的原始事件日志,在大海中自动准确发现威胁,甚至预测威胁。
检测智能首先确保单点检测有效,从源头过滤“噪声”,基于全球实时威胁情报、关键资产信息、动态威胁变化和专家分析经验,生成有效过滤条件,做好一级收敛。结合AI机器学习算法实现多点分析的准确性,核心是构建针对“威胁场景”的高级规则,含单场景检测模型,和含日志、情报、流量异常等的多维综合判定算法,即二级收敛。
现阶段黑客已经利用机器学习生成智能的恶意软件,可以预测未来攻与防的对抗必定是人与机器的对抗,需要以更聪明的大数据安全分析大脑,结合海量黑白样本的学习训练,研究黑客入侵意图和攻击手法,来最终做出预测和判定。
单场景分析模型
恶意软件动态行为机器学习,通过将海量的黑白样本行为送入神经网络做深度学习,提炼出历史上出现的恶意和非恶意行为的通用特征模型,而不再是固定的全局行为权重打分机制,提高对未知威胁的检出率,降低误报。
全网多场景多维综合分析模型
将鱼叉钓鱼、Web渗透、黑客远控C&C、账号异常、内部流量异常、数据窃取等子场景串起来进行综合分析,利用攻击图中每个攻击行为的威胁类型、级别、可信度进行综合计算,理解黑客的攻击意图,然后跟专家系统输出的组合式攻击行为模式库进行匹配,根据黑客入侵行为动态调整模型,识别和预测组合式攻击类型和可信度,把单点原始事件收敛到千万分之一内,减少管理员繁重的筛日志、钻取、分析和溯源的时间,提升检测智能,减少对专业安全分析人力的投入。
处置智能全面快速消除网络威胁
单点防御变为全网协防
威胁和安全响应就是一场时间赛跑,42%的新漏洞在纰漏30天内被黑客利用,企业响应的时间远大于30天,打的就是时间差。缩短安全事件破坏和响应修复间的时间差,是减少经济和数据损失的关键。曾“名声大振”的勒索软件WannaCry让超过24万受害者遭受损失,而相比于“震网”这类高度复杂的攻击,WannaCry本身的技术性不强,但传播快感染范围广。尽管所有厂商都纷纷宣称可以检测到WannaCry,但客户最关注的不是你能否“检测”到,而是第一时间定位被感染计算机,及时拦截防止内部横向扩散,对并已感染终端快速进行修复。这是夯实组织对抗威胁的基础工程能力,提升自动化响应和修复能力是客户关注的焦点。
处置智能是协同全网遏制威胁,结合云端或本地沙箱分析能力快速检测未知蠕虫病毒。比如,在出口防火墙封堵445端口,升级IPS特征库等,更关键的是可以通过安全控制器联动接入层交换机及时隔离已经被感染的计算机,利用网络的各个神经末梢采集流量,定位感染路径,并联动终端软件自动化清除蠕虫病毒,批量推送补丁辅助员工配合来修复漏洞,自动化发布工具恢复加密文件。
运维智能自动基于业务生成并部署策略
人工运维变为智能运维
海量安全策略运维一直是中大型组织和企业的头号难题。以某金融客户网络为例,仅数据中心防火墙策略就有几万条,全网防火墙数量大于500台,策略基于IP语言和业务的每次更新都需要调整防火墙策略,每天的策略更新量达到上千,运维不堪重负;业务下线、IP地址回收等均不会被及时通知到网络安全维护部门,策略提交者不会亲自撤销策略也很难被管理员发现,由此导致大量过期的安全策略堆积没人“敢动”;另外,数据中心搬迁时,安全策略的迁移也是一个“老大难”, 策略需要重新生成配置,手工操作花费数周时间才能完成。最后是重复策略的问题,同一应用多人申请可能会造成策略重复、策略总数膨胀;南北向访问,不同二级分行配置了访问控制,在数据中心防火墙上还会做重复的策略;东西向访问,流量会跨双层防火墙,策略配置又会翻一倍。
运维智能的核心是“以业务驱动的安全策略”,从IP机器语言升级到基于应用的高级语言,建立应用到IP的自动映射,通过安全控制器将安全策略与业务的生命周期紧密捆绑,在业务上线、变更和下线时,实时感知变化,自动翻译“业务的策略“到最终设备可执行的IP策略,省去人工干预。
更重要的是,通过安全控制器分析对应用互访关系进行可视分析,在机房搬迁场景自动生成策略白名单,免去繁重的人工重新配置;通过观察分析应用互访流、策略命中率等,对全网策略进行动态的调整和优化,及时删除重复策略、下线过期策略;通过动态流量分析,验证预上线策略的有效性,确保策略定义和实际执行保持一致。
华为SDSec解决方案致力于从软件定义防御,到软件定义检测、软件定义响应和智能运维的升级。以安全控制器和安全分析器为核心,横向使能“一整张网络”,南向使能全网多厂商安全设备和软件,北向开放对接主流云平台,实现以业务驱动的云、网络和安全的上下协同,并以“威胁入侵意图”学习为核心,动态定制采集和检测,基于AI机器学习创新对恶意文件、C&C、内部流量异常的主动分析,使能全网神经末梢节点自动快速遏制威胁,帮助客户提升安全分析和运维的智能化、自动化程度,简化安全运维,减少专业安全人力投入,保护客户关键基础设施稳固,业务永续。
