距离新华三首提主动安全战略,已经过去四个年头。在这期间,人们一同见证了网络边界的消失,大数据、云计算技术的全面普及。而随着5G安全、物联网安全、工业互联网这些新课题的出现,再次为网络安全带来了全新挑战。
实际上“传统安全防护已失效,未来的防护重点将从预防转向检测与响应”,这样的战略论断已经成为行业必须面对的现实问题。
我们的确进入了“大安全时代”。
在2020 NAVIGATE领航者峰会上,新华三提出“全方位推动主动安全战略智能演进”。围绕主动安全如何与AI相结合,新华三在新网络安全背景下将如何做出战略部署等问题,嘶吼联系到新华三集团副总裁、安全产品线总裁孙松儿,在线寻求答案。
嘶吼:为什么在这一阶段提出主动安全与AI相结合的战略观点?
孙松儿:过去一年,在安全业界有一些新的变化,包括用户需求新的变化。最明显的是5G安全、物联网安全、工业互联网安全,这类需求逐渐增多,还有安全的AI如何落地、云安全服务等等。所以我们提出要围绕着主动安全做一个再进化,这种进化包括从需求的角度。比如从全栈数据采集如何与5G结合,与工业互联网结合;零信任体系怎么和主动安全体系整合;AI模型,云服务方向主动安全战略的衍生思考;零信任解决方案等。总结起来就是主动安全与时俱进。
嘶吼:新华三提出了AI in ALL的概念,后期AI在安全方面的具体应用场景会有哪些?未来规划的技术路线是怎样的?
孙松儿:过去的一年,我们在这方面做了很多有效的工作。第一,从硬件角度来说,新华三策略比较清晰,我们在做AI硬件模块内置的工作,在高端和中低端都有专门的AI硬件模块;在未来,也可能会考虑把AI芯片内置到设备里。但首先要搞清楚内置后到底应该怎样发挥其价值和性能,以及算力是不是可以承受得住。目前来看AI硬件模块内置是一种比较可行的方式,在硬件方面新华三技术还是过硬的。
第二,从软件角度来说,在新华三的安全态势感知方面,我们有成熟的AI模型,主要包括以下几个方面:
首先,通过异常流量判断和流量模型建模,AI可以给网络访问行为进行画像,能为服务、业务系统及流量模型进行画像,也能为关键资产遭受攻击和异常树状告警进行画像,意味着可以把流量、业务系统和资产这三方面的画像做到极致。
其次,针对最常见的DGA域名、恶意URL等,也是新华三安全AI应用的方向。除此之外,今年结合我们发布的这些AI模块,要将AI的能力和设备紧密结合起来,所以除了上面提到在态势感知这种大型数据分析软件里面利用了AI的算法以外,还更多典型的AI应用。比如针对加密攻击的检测,新华三有成型的AI模型、算法和应用,用户可以直接用来搭载我们的硬件AI模块;另外针对网络代理软件这种应用,新华三也在今年发布了专门针对加密流量识别的AI应用,它也可以搭载到我们硬件上去。除了硬件和软件之外,新华三还在通过合作做视频流的敏感内容的过滤,当视频流通过AI模块,如果有涉防、涉恐、涉暴的流量,流量会被掐断。
所以,今年新华三在过去的基础之上,更多地从AI的场景化应用角度入手,发布了几款业界顶级水准的AI应用模块,欢迎大家进行试用。从目前来看,国内很多的AI,包括安全AI都还停留在一些看不见、摸不着的算法优化和改进上,在这方面,新华三已经先行一步,提供了针对场景化的AI模块,是比较领先的。
嘶吼:新华三主动安全体系三个核心理念全栈、意图和使能,分别对应了哪些安全问题或者是场景,以及这三个理念代表了新华三的哪些技术思路?
孙总:新华三希望尽可能地帮助用户发现安全的风险,发现问题然后能够快速响应,这种情况下需要做什么?答案是,要加强对安全的风险的持续性监测。
怎么做监测?站在新华三的角度上,要做一个全栈的数据感知。
更通俗的话来说,要在数据采集上做得更加全面,从普通的一二层的物理层、数据链路层,到L7层全面覆盖,包括安全事件的信息、安全分析的日志、安全的流量,以及服务器的一些异常状态报告等,只有把信息搜集得足够全,才能为后面的分析打下基础。所以,第一个全栈的含义是要尽可能的建立一个从L1到L7的全方位的数据输入和获取。新华三需要做的就是提升数据的抓取能力,除了正常的安全设备日志以外,我们要从原始流量中精确挑出一些关键流量,所以要有优质的流量探针,同时,要有用户的行为画像,尽可能的把数据获取手段做得更丰富,根据演进思路,在原有传统架构基础上,要提供各种探针和各种数据。现在的关注重点,第一是要将加密的攻击流量揪出来,把加密的应用、爬虫软件摘出来。比如说要做5G接入,那么就要对5G终端进行接入管控,进而对终端感知的数据进行抓取。同时要将零信任理念贯穿到接入终端的管控上,因为要对全栈数据有效抓取,这时就要严格控制,把非法数据、非法用户直接排除在外,这也是一个很有效的手段。
然后说意图。搜集数据的目的是做意图分析,传统模式下拿到一些安全设备、安全设施之后,仅仅通过一些数据学的统计分析得到一些分析结果是不够的,会遗漏一些潜在风险。所以要做用户的行为画像,把各种行为关联起来之后,再来判断是不是有风险,是不是可能导致一些数据泄露的风险。不管是利用AI模型还是利用一些图谱手段,这样做的意图就是要尽可能把安全风险、以及潜在的安全风险发发掘出来。传统手段是看不见的,但通过意图分析把这些信息关联起来之后是可以看到的。
有了意图分析之后,第三步才是使能,发现了问题之后需要做协同、联动、响应,如果发现用户不合身份地进行一些文档下载,超过一定量的时候,就采取强制下线、发出警告的措施。
针对安全事件,要尽可能地收集数据,通过AI模型,通过意图分析,能够发现潜在风险,然后对风险进行响应和处置,这不仅是一整套流程,也是新华三主动安全三要素的关联。
采访过程中,就如何从管理层面加强安全防护的问题,孙松儿还提出了以下观点:
随着信息化和数字化的进步与转型,安全会越来越重要。尤其是在越来越依赖于IT业务流程的时候,一旦受到攻击,造成访问中断,就会加剧对企业业务带来的负面影响,所以从这个角度来讲,随着数字化转型和IT基础设施的演进,企业也会越来越意识到安全的价值,当然这是一个漫长的过程,不同企业的进度也不一样。
在这个过程中需要主动去提升企业关于安全的感知和防护体验。同时因为很多的企业IT及安全运维人手有限,所以要借助智能化工具。例如,可以做一些关于安全攻击拦截数据的可视化报告、定期发送安全主题的周报、或者借助新的技术手段把攻击事件、业务漏洞、风险提示等网络风险进行呈现,同时向管理员发送报告。
对于新华三来说,一方面需要面向用户做好信息安全重要性的宣讲,另一方面也要主动强化安全防护,包括提前通过一些专门安全服务主动为用户做安全健康检查、巡检报告,帮助其及时发现潜在的风险。
如若转载,请注明原文地址