外防威胁 内控风险 — 论互联网监测监管的双重防控
互联网监测监管对于维护网络安全、防范外部威胁、预防内部风险以及满足合规要求具有至关重要的意义。在当今数字化时代,网络威胁不断演变,黑客攻击和数据泄露等风险日益增加。通过实施有效的监测监管措施,企业能够建立强大的网络安全防线,确保关键信息和资产的安全。
近日,安全牛邀请了御安信息总经理叶翔先生,围绕企业如何做好互联网监测监管展开了深入讨论。在此次牛人访谈中,他分享了关于监测监管的技术要求、方法论以及行业发展趋势等重要话题的洞见。
互联网监测监管的发展重点
互联网具有广泛的覆盖面,点多面广,纵横交错。除了四大运营商(电信、联通、移动和广电),还有许多小型运营商和接入服务提供商(ISP),它们之间形成了一个网状结构,因此很难有一个特定的点可以完全管理整个网络。
随着云时代的到来,网站和系统的位置实际上并不局限于这些辖区内。例如,一个位于河南的网站公司可能托管在阿里云上,而阿里云的物理位置可能在浙江,此外,阿里云并不仅仅在浙江设有节点。那么,用户可能无法确定其网站的真实物理位置。这就导致了互联网监管的困难,因为辖区归属地的管理方式无法完全适应现实情况。在传统的专线连接中,公司的位置通常与所在地相符。
另一个问题是存在多头管理。例如,公安、网信、工信等部门下有各地的通信管理局,它们各自负责管理,拥有自己的监测和监管系统,然而它们之间的数据和情报并没有打通和进行共享。
在叶翔看来,目前,互联网监测监管的力度在不同地区和领域存在不均衡的情况。从部署上来说,还停留在国家对外接口层面,省级正在建设,有些省份在建设和部署方面进展较快,而有些省份仍处于研究阶段或部分流量接入阶段,市县还有很多工作要做。
在技术层面上,威胁情报的联动整合是难点,涉及海量数据的关联。现在各个系统往往是独立运作,各自为战,缺乏有效的协同合作。然而,系统之间的联动和信息共享对于溯源和准确判断攻击来源非常重要。如果不同省份的系统能够联动匹配,就能更准确地了解攻击行为的来源。在技术上,需要加强系统之间的联动和海量数据的关联以及多个厂商的情报协同审核,会变得很有意义。
针对以上行业痛点,叶翔强调,互联网监测监管工作需要从流量检测和重要资产监测两大方面着手。
首先是流量检测,对于互联网来说,流量是主要的考量因素。从地方的角度来看,属地机构负责管理通过其辖区的所有流量。因此,对流量进行收集和检测非常重要,这种方法可以检测是否存在攻击或病毒等问题。
再者,重要资产的主动监测。主要是为了解决某些资产位于非本地的情况。重要资产主要指系统和信息系统,包括网站和应用程序等。主动监测的目的是评估风险,即确定系统是否容易受到攻击,并进行风险量化评估,评估风险的大小。特别是云化后,传统的流量检测方法无法检测到这些资产,重要资产的监测与所在单位的归属地有关,必须使用主动探测的方法。
跨运营商的态势感知与攻击面管理需求
市场上存在许多全流量检测产品,广泛应用于企业的态势感知系统中。对于企业而言,流量通常不会很大,几个GB就能满足需求,传统的设备和服务器可以轻松解决问题。然而,对于运营商而言,流量规模非常庞大,以TB为单位计算。在运营商领域,硬件投入非常昂贵,传统的方法可能需要花费数千万元的硬件成本。因此,运营商更加注重优化协议和规则,以降低成本。
此外,协议和规则非常复杂。企业的特性和行业属性各不相同,作为为运营商提供服务的公司,需要适应全行业的流量,因此需要编写适用于各种行业和企业协议的规则,需要具备广泛而多样的技术储备,以识别并处理各种网络协议。
叶翔指出,企业级和运营商级的态势感知能力存在明显差异。通常情况下,与企业级解决方案相比,运营商级系统对可靠性和稳定性有更高的要求。对于企业级系统而言,如果态势感知系统出现故障,修复即可,不会带来特别大的问题。但对于运营商级系统而言,态势感知系统的正常运行直接关系到监管部门的监管工作。如果系统发生故障,相当于监管部门失去了监管能力,所以对系统的可靠性要求能力很高。
对此,可以将不同厂家的态势感知平台整合进自己的系统,实现跨运营商的攻击和威胁分析。除了传统的流量监测的态势感知功能外,还可以将这些平台的结果作为基础数据,进一步扩展系统的功能。总结来说,将这些平台作为自己的”探针”接入系统,这也是御安的一个特点。
除了流量监测,还需要使用攻击面管理(ASM)技术来监测位于外地的重要资产,通过非常完善的资产测绘和风险评估量化技术来实现,而并非简单的资产管理和漏洞扫描。监管部门希望得到更精准的可对企业造成真正威胁的风险资产,而不是大量的漏洞信息。
关于资产探测,首先,测绘是其中的第一个难点。仅仅依靠资产所有者的报告来发现重要资产是不够的,要能够利用主动扫描与被动的流量监测等自动化技术去发现被监管单位的资产;其次,风险量化评估。风险的重大程度,不能仅仅通过若干个高危漏洞来确定,还需要通过资产的自身重要性,资产所在网络拓扑中的位置等相关信息,做综合性的分析蔡,从而实现对风险的量化评估。
叶翔的基本思路是,采用了一些特殊的前沿技术,例如卷积神经网络及图神经网络等人工智能算法,采用深度神经网络学习的业界先进的Transformer模型来进行异常检测,综合考虑风险与威胁影响因素。将资产的重要性与漏洞的严重性相结合,并引入BAS等模拟攻击技术,对漏洞的可利用行进行研判。最终,能够准确评估风险并告知监管部门哪些企业面临重要风险威胁需要重点干预;哪些企业只存在普通风险,给予通报即可。
监测监管技术未来可期
在叶翔看来,互联网监测监管是国家网络安全战略层面的需求,而监测监管技术类似于“蛇的7寸”,是数字安全建设的关键点,未来会成为国家最重要的关注对象之一。
除了流量监测技术和攻击面管理等互联网监测监管技术,更需要适应新的互联网发展。例如,支持IPv6的监测和监管设备至关重要。尽管IPv6已经存在多年,但监测和监管设备必须能够兼容这种新的互联网协议。随着5G等新协议和技术的应用,重点仍然是监测监管技术的适应性和被监管对象的需求。
叶翔分析道,未来随着5G的成熟和可能6G的推出,互联网的监测监管将面临一些变化和挑战。首先,网络速度的大幅提升将导致流量的增加,对互联网监测和安全提出更高的要求;其次,算力的提升也会对互联网安全提出更高的要求,因为一些计算任务可能会在互联网上进行,因此安全性必须得到保障。
针对这些变化和挑战,为了做好技术储备,需要加大研发投入并加强技术创新。特别是要结合运营商的数据环境,研发多场景的建设平台。同时,公司还可以向下游延伸,为更多行业监管部门和企业提供定制化场景的监测和监管平台。
叶翔倾向于“中庸”之道,他表示,在技术路线和技术理念上,外防威胁和内控风险是互联网监测监管技术的重要方面。
外防威胁指的是通过流量监测来识别和应对外部的攻击和威胁。木马、病毒等攻击或威胁往往通过网络流量传输,因此监测流量发现这些攻击和威胁的迹象。通过掐断恶意流量,可以阻止这些攻击对系统的影响,实现外防风险的目标;内控风险主要是指在没有实际攻击发生之前,通过对自身进行攻击面管理,提前发现并解决潜在的风险。这可以通过模拟黑客攻击进行资产扫描和渗透测试来实现,从而发现自身的漏洞和薄弱点,并采取相应的措施进行修补和规避。
叶翔表示,相比于大型安全企业和知名品牌,御安拥有自己的研发体系和产品线,除了提供标准化产品,也看重安全能力手段的定制化建设,定制化的安全能力建设更适用于当前动态变化的安全能力与监管合规业务要求。
其中,面向网络空间告警日志规模爆炸导致的告警过载,针对大规模告警日志信噪比低导致的告警失焦的关键问题,提出一种智能的算法用于生成可解释的多模态网络安全事件降噪基线,能够自适应的生成事件降噪基线,过滤低质量事件,缓解事件研判中的信息流依赖爆炸问题。
针对网络空间安全运营中心的大规模网络空间告警日志的有效降噪压缩率可达99%以上,告警事件研判自动化水平大幅提升,安全运营中心人工处置成本平均下降70%以上。基于对行业的深入理解,可以满足国家安全监管部门、运营商和大型集团企业的内部监管的需求。
在城市级、省级乃至国家级网络空间安全管控治理方面,御安为了应对精细化、精准化、协同化、全局化的工程应用挑战,提出场景化的风险偏好学习模型,融合数据上下文与专家偏好、知识经验,实现人机协同的网络空间威胁治理平台化方案,大幅提升了关键信息基础设施的风险管控能效;同时还实现了经验与数据融合的人机协同狩猎机制,结合全局的、协同的网络空间风险智能决策与安全能力精细化编排,响应指挥过程的自动化、智能化、协同化水平大幅提升。