傳統(tǒng)的網(wǎng)絡(luò)安全一般是基于策略或者是特征,,然而特征并不等于行為,,用戶可以使用合法的賬戶通過合法的行為而做一些非法的事情,例如已辭職員工使用其原來的賬戶通過VPN遠(yuǎn)程登錄進(jìn)公司內(nèi)部的系統(tǒng)并盜取企業(yè)的業(yè)務(wù)敏感數(shù)據(jù)。
“下一代防火墻并不一定能防住下一代的威脅,,只有通過對用戶行為的學(xué)習(xí),,并利用動態(tài)的策略來匹配用戶的行為,,進(jìn)行細(xì)粒度的響應(yīng),,才能保證用戶業(yè)務(wù)的連續(xù)性。所以現(xiàn)在安博通要做的,,正是通過策略,、行為和流量的可視,利用動態(tài)的策略配置,、用戶行為的分析和深度識別,,以及敏捷響應(yīng)來做到真正的‘看’透安全?!碧K長君說,。
讓不懂安全的人看懂安全
“安全的本質(zhì)就是風(fēng)險控制體系,,讓各個層面的人都可以理解、執(zhí)行安全,,讓每個使用網(wǎng)絡(luò)的人有‘安全感’,,我們的目標(biāo)就是讓不懂安全的人看懂安全?!碧K長君說,。
蘇長君表示,需要明確的是,,可視化網(wǎng)絡(luò)安全技術(shù)并非是把界面做好,,也不是就搞個大屏幕做一些飛來飛去的炫圖,其最主要的是要整合各個層面的需求,,實現(xiàn)動態(tài)的安全管理,,在一個基于安全視角的平臺上根據(jù)需要疊加各種各樣的安全防御技術(shù)。
以乘客進(jìn)站為例,,一般普通乘客關(guān)心的過程是買票,、取票、進(jìn)站,、上車,,但對于車站的安全管控就不是這么簡單了,。需要按照管理和業(yè)務(wù)需求,,劃分不同的區(qū)域,在進(jìn)站區(qū)域安裝檢測儀器,,在站內(nèi)區(qū)域和周邊各個不同位置安裝攝像頭,,重點區(qū)域還要有民警手動核查身份證,更核心區(qū)域還要安放武警等等,。
“網(wǎng)絡(luò)安全也是這樣,,而且網(wǎng)絡(luò)訪問更為復(fù)雜?!碧K長君說,,安全可視化的就是綜合安全域、安全策略,、合規(guī)基線等一系列與安全相關(guān)的因素,,整合各個不同視角的安全可視化平臺,在這個平臺上能夠根據(jù)安全的視角疊加網(wǎng)絡(luò)探針,、網(wǎng)絡(luò)回溯,、業(yè)務(wù)質(zhì)量分析等功能,以滿足不同角度人對于安全的不同理解,,從而對安全狀況有感知,,動態(tài)做出快速響應(yīng),,防止危害進(jìn)一步擴(kuò)大,并迅速彌補(bǔ)漏洞,。
當(dāng)前,,傳統(tǒng)的網(wǎng)絡(luò)安全還大部分停留在網(wǎng)絡(luò)邊界防護(hù)、漏洞檢測和特征補(bǔ)丁上,,這些手段都相對孤立,,相對靜態(tài),而且只有專業(yè)人員看得懂,,客戶對此很茫然,。 前幾年,可視化技術(shù)也廣泛應(yīng)用在網(wǎng)絡(luò)設(shè)備的管理上,,俗稱網(wǎng)管或運(yùn)維平臺,,但網(wǎng)管的主要目標(biāo)是對網(wǎng)絡(luò)拓?fù)涔芾砗途W(wǎng)絡(luò)節(jié)點的運(yùn)行,目的是網(wǎng)絡(luò)和資產(chǎn)的管理與維護(hù),,不是安全的視角,。“所以,,在傳統(tǒng)的技術(shù)之上談安全動態(tài)自適應(yīng),、高級威脅防御、策略合規(guī)都是在浮沙筑高臺,,根本站不住腳,。”蘇長君說,。
可視化不光“看外表”還要“看內(nèi)在”
讓不懂安全的人看懂安全,,這是蘇長君心中的一個夢。但如何看,?卻并非一句話能夠說清楚,。
將網(wǎng)絡(luò)安全可視化,背后必須要有相應(yīng)的技術(shù)支撐,,專業(yè)的網(wǎng)絡(luò)分析,、高性能的探針、海量存儲,、大數(shù)據(jù)分析等,,已經(jīng)對客戶業(yè)務(wù)的深度理解和經(jīng)驗的積累才能夠構(gòu)建這樣的安全可視化系統(tǒng)。
蘇長君認(rèn)為,,網(wǎng)絡(luò)安全是一套內(nèi)外循環(huán)的“平衡”系統(tǒng),,需要我們將“內(nèi)觀”和“外察”有機(jī)地結(jié)合。他將“安全策略基線”的可視,,分解為“網(wǎng)絡(luò),、流量,、業(yè)務(wù)域和身份”這四方面,并主張通過“行為可視,、異??梢曇约奥窂娇梢暋保瑢崿F(xiàn)對網(wǎng)絡(luò)安全狀況的“側(cè)寫”,。
“可視化作為一種更加友好直觀的呈現(xiàn)手法與真正的可視或說可見性有著本質(zhì)上的區(qū)別,。”蘇長君說,,所謂外行看熱鬧,,內(nèi)行看門道,“可視”的價值不在于華麗的“可視化”的外表,,而在于其真正對整體網(wǎng)絡(luò)安全態(tài)勢的認(rèn)知和理解能力,,能直觀的讓技術(shù)人員獲得怎樣的信息,只是單純的數(shù)據(jù)流向以及攻擊IP等數(shù)據(jù)的可視,,不能就將其完全等價為“安全的可視”,。
蘇長君介紹,安博通打造的可視化網(wǎng)絡(luò)安全技術(shù)架構(gòu),,通過公網(wǎng)和內(nèi)網(wǎng)部署的具有應(yīng)用識別能力的探針,,實現(xiàn)對數(shù)據(jù)中內(nèi)容的提取,;然后將端的數(shù)據(jù)通過安全通道傳到“云”之后,,在云端從用戶的維度對諸如“行為、虛擬身份和訪問網(wǎng)站”等有價值信息進(jìn)行整合,,并面對用戶的業(yè)務(wù)進(jìn)行可視化的呈現(xiàn),;最終通過策略,、流量,、用戶和業(yè)務(wù)四個方面的可視,實現(xiàn)“可視”的安全,。
“之前的可視,,更多的是基于80、443等端口號和諸如DPI,、post等特征碼,,但如果是加密流量,如果沒有特征碼呢,?所以我們更多的是基于用戶的行為,,比如時間分布、報文長度,、到達(dá)次序等,,再通過貝葉斯,、決策樹等分類算法進(jìn)行分類,從而實現(xiàn)對用戶行為的分析以及學(xué)習(xí),?!碧K長君說。
可視化就像在網(wǎng)絡(luò)上安了攝像頭
“可視化技術(shù)的核心理念是通過提高網(wǎng)絡(luò)自身免疫力,,讓業(yè)務(wù)系統(tǒng)兼具自適應(yīng)的防御和修復(fù)風(fēng)險的能力,,從而讓業(yè)務(wù)安全可視、可管,、可控,。”蘇長君說,,就像人體免疫系統(tǒng)中涉及不計其數(shù)的細(xì)胞,、特殊物質(zhì)及器官之間的高度紛繁復(fù)雜的相互作用,是人體隨時處于戰(zhàn)備狀態(tài),,一旦有病菌侵入身體,,就會迅速發(fā)現(xiàn)并將其驅(qū)逐出去。
此前,,蘇長君曾私下和一些從事網(wǎng)絡(luò)黑色產(chǎn)業(yè)的團(tuán)隊做過交流,。他們認(rèn)為這個可視化體系就像在網(wǎng)絡(luò)各個位置安全裝了攝像頭,讓黑客的潛伏路徑更容易被發(fā)現(xiàn),,其網(wǎng)絡(luò)內(nèi)部的安全弱點也更容易暴露,,而且入侵事后也更容易被追溯和取證。
中國工程院院士倪光南表示,,信息安全必須自主可控,,自主可控時,信息安全容易治理,,產(chǎn)品和服務(wù)一般不存在惡意后門,,并能不斷改進(jìn)或修補(bǔ)漏洞。因此,,我國必須推進(jìn)國產(chǎn)化戰(zhàn)略,,在對網(wǎng)絡(luò)安全起重大作用的信息基礎(chǔ)設(shè)施和信息關(guān)鍵核心技術(shù)等方面,實行國產(chǎn)化替代,。無疑,,可視化安全領(lǐng)域是其中一個重要方面。