CSO说安全 | 王利伟:基于大数据的联防联控机制
王利伟
知道创宇事业部总经理
安全行业的攻防双方非对称博弈,导致了防守方在应对攻击者时面临诸多挑战。防守方需要在明面上做好全面的防护措施,而攻击方只需找到一个薄弱点便可突破整个防御体系。在安全行业多年的发展过程中,我们可以发现以下几个问题:
1.防守方没有实现联合防御。各家企业或组织独立应对安全威胁,而且在捕获攻击者后不会与其他组织共享信息,这导致攻击者可以轻易地将攻击目标转向其他组织。防守方的黑数据、攻击情报、漏洞情报不共享,造成防御资源的浪费和效果的削弱。
2.安全设备和软件的都是“死”的。许多安全设备和软件依赖规则、配置和特征库,需要人工手动调整和更新。这样的安全设备和软件无法做到实时响应,不能有效应对攻击者的实时威胁。
针对这些问题,我们提出了一个基于大数据的联防联控机制,通过情报挖掘、情报共享、协同防御等方式实现防御效果的提升。
要实现基于大数据的情报挖掘、情报共享、联防联控和协同防御,我们需要建立一个统一的平台,以实现基于邻域信任的防御(Protection Based on Neighborhood-Trust)以及向前防御(Defense Forward)。在流量接入边界之前,通过情报进行危险识别和提前设防。下面是该机制的具体实现方式。
云平台的多租户环境非常适合作为联防联控机制的基础设施。我们可以建立一个云安全平台,通过域名解析、API调用等方式供生态中的用户接入,并在云平台上实现集中防御。接入的用户越多,样本越大,规模效应就越明显。如果无法形成规模效应,协同防御的效果将大打折扣。
向攻击者学习是提升防御能力的关键。通过分析每天面临的各种扫描和攻击趋势,我们可以学习到攻击者的最新手段,从而找到更有效的防御方法。实时对抗,不断学习,形成一张庞大的蜜网,吸引攻击者上钩。
在数据收集与处理的基础上,我们需要利用大数据技术、机器学习算法等方法对数据进行分析和挖掘,目标是从海量数据中识别出网络攻击、异常行为、潜在威胁等信息。数据分析的关键在于发掘数据中的潜在价值,将原始数据转化为有用的情报。具体来说,我们可以通过以下几种方式实现数据分析:
■ 关联分析。通过对不同数据源之间的关联关系进行分析,找出潜在的攻击路径、攻击者与被攻击者之间的联系等信息。
■ 异常检测。利用统计学方法、机器学习算法等技术对数据进行建模,找出数据中的异常点,以识别可能的攻击行为。
■ 情报提炼。将分析结果整合为可读、可理解的情报,供防守方参考和采纳。情报可以包括攻击者的IP地址、攻击方式、攻击目标等信息。
在联防联控机制中,情报共享是核心。我们需要建立一个共享的情报库,其中包含各类攻击指标、黑数据、漏洞情报等。如此一来,当一个组织遭受攻击时,其他组织可以迅速获取有关信息,提前做好防御。情报库的建设需要各个参与方共同努力,形成一个共赢的生态。
我们可以通过以下几种方式实现情报共享和协同防御:
■ 实时共享。将攻击情报实时推送给所有接入方,供其参考和采纳。这样可以帮助防守方提前设防,防止攻击者在被识别后轻易转向其他目标。
■ 历史数据共享。将历史攻击情报整合为数据库,供接入方查询和学习。这样可以帮助防守方了解过去的攻击行为,以便应对未来可能发生的类似事件。
利用人工智能+SOAR技术,我们可以实现自适应防御以及响应和处置,让安全设备和软件能够自动调整策略,实时响应各种威胁。例如,通过机器学习算法分析历史数据,我们可以预测攻击者可能采用的手段,从而提前布置防御。自适应防御能够大大提高防御效率,减轻安全人员的工作负担。
在大数据联防联控体系中,智能响应与处置是非常关键的一环。当攻击发生时,系统需要快速评估风险,制定相应的应对措施,并进行实施。具体来说,智能响应与处置可以包括以下几个方面:
■ 风险评估。根据收集到的情报,对攻击行为进行风险评估,判断其对企业业务、资产和声誉的潜在影响。风险评估结果可以作为应对措施制定的依据。
■ 应对策略制定。根据风险评估结果,制定相应的应对措施。这些措施可以包括堵塞攻击路径、隔离受影响系统、修复漏洞等。
■ 自动化处置。借助自动化技术,快速实施应对措施。自动化处置可以有效减少人为误操作,提高应对效率。
■ 事后总结与改进。在攻击事件结束后,对事件进行总结分析,找出防御漏洞和不足之处,并针对性地进行改进。
在联防联控机制下,各个参与方可以形成一个紧密的防御网络,共同应对各种安全威胁。当一个组织遭受攻击时,其他组织可以迅速提供支援,形成协同防御。这种方式既能提高整体防御能力,又能降低单个组织的风险。
平台每天学习到的黑IP可以建立IP评级云,对黑IP进行评级打分,并且动态更新黑IP库。所有接入方学到的黑IP进行共享和集中分析。如在HVV期间,某个防守单位学习到了疑似红队IP则全网扩散,其他防守单位都可以提前进行设防。接入方也可以根据自己防护级别的需要进行防御,比如在重保时期,可以把过往一个月内有过攻击扫描记录的、海外的、危险级别是五星的全部提前封禁。实现一人被攻击,全网都通缉。
云地联动是一种在本地设备与云端之间建立连接的策略,以便在无法上云的场景下,本地数据能够被云端分析并传回本地。这种联动方式使得本地设备可以实时调用云端数据进行匹配检查,并自动更新防御策略。与云端联动的不仅是安全设备,还包括主机、网络设备、终端以及应用,这些设备和软件都可以通过API进行数据调用,从而能够让所有的设备都是安全设备,所有的软件都是安全软件。
扩展情报涵盖了多种信息,如暗网情报、IOC、域名、IP、社交ID、邮件地址、恶意软件、爬虫、ID、电话以及彩虹表等。这些信息可被整合为共享社区,应用于不同的安全场景。
业内的一些实践表明,基于联防联控的安全防御机制取得了显著成效。一些国内外的知名企业,如CloudFlare、Akamai、360、阿里云、知道创宇、微步在线和青藤云,都在实践这种机制。这些公司在市场上都取得了认可,表明这种机制是未来安全防御的必备手段。
然而,现阶段这些安全云仍局限于各家厂商自身的建设,各家的擅长领域不同,导致下游用户仍然需要依赖单个厂商的能力。若要获得多个厂商的情报和数据能力,用户需要进行重复购买。尽管已有一些社区概念的实践,但规模和影响力都相对较小。
联防联控体系在提高网络安全防御能力方面具有显著优势,但同时也面临着一些挑战和问题。以下几点需要引起关注:
■ 数据隐私和合规性。在大数据联防联控体系中,各企业需要共享大量网络安全信息。这可能涉及数据隐私和合规性问题,需要各企业在共享数据时充分考虑这些问题,并采取相应的保护措施。
■ 跨国协作与法律制约。在全球范围内实施大数据联防联控可能面临跨国协作的挑战。不同国家的法律制度和监管环境可能对信息共享和协作带来制约。为此,需要加强国际的合作和沟通,推动网络安全合作的全球化进程。
■ 技术攻防演化。随着攻击手段和技术的不断演进,大数据联防联控体系需要持续进行技术创新和升级,以适应网络安全形势的变化。这需要各企业加大研发投入,推动网络安全技术的发展。
■ 信息共享的标准化和互操作性。为了实现有效的大数据联防联控,不同企业和组织需要采用统一的信息共享标准和协议,以确保数据的互操作性。这需要相关行业组织制定统一的标准和规范,并推动各方遵循这些规范。
■ 建立信任关系。在大数据联防联控体系中,各参与方需要建立相互信任的关系,以便在面临网络安全威胁时能够迅速、有效地协作。这需要各方在长期合作中逐步建立信任,同时也要有适当的制度和机制来保障各方的利益。
为了更有效地应对网络安全挑战,我们需要进一步推动跨厂商合作,实现多个厂商之间的情报和数据共享。通过联合各家的优势,我们可以为用户提供更全面、更高效的安全防护。在未来,跨厂商的联防联控机制或将成为网络安全领域的关键发展方向,为整个行业带来更大的价值。
通过实现上述几个方面,我们可以构建一个强大的、基于大数据的联防联控机制,为全球安全行业提供更高效、更智能的防御手段。这种机制将有力地推动安全行业的发展,提高整个社会的安全水平。
然而,实现这一目标并非易事,它需要政府、企业和个人之间的紧密合作,形成一个共同的利益体。只有当所有参与方都充分认识到网络安全的重要性,并愿意为此付出努力时,才能真正实现联防联控,共同抵御网络安全威胁。
为此,我们需要多面进行合作才可以,在网络安全领域,跨界合作至关重要。政府、企业、学术界和其他组织需要携手合作,共同应对网络安全挑战。通过打破行业壁垒,我们可以整合各方资源,形成协同效应,更有效地防范网络安全风险。
各地开始筹建数据交易所,积极推动数据作为新时代的生产要素的作用,各类安全情报数据如果条件允许建立起安全数据的联盟、安全情报数据交易所。一方面,用户可以从公开交易市场获得最真实、最鲜活的情报数据,用以提高自身防护水平,而且有多种选择,不必受制于某家供应商单独的能力。另外一方面,情报的生产者也可以创收,情报价值可以引入评价、评级体系。安全行业生态里上中下游每个环节的机构都可以成为情报生产者和使用者。
如果业内有一个大平台,像征信平台一样,集中各个维度的征信数据为一个大平台,同时引入去中心化的机制,形成行业情报中心,行业范围的联防联控,势必可以大大提升对攻击分子的抵御能力。
原文始发于微信公众号(安在):CSO说安全 | 王利伟:基于大数据的联防联控机制
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论