這就是華為SDSec(Software-defined Security, 軟件定義安全)的網絡安全防御思路,解決安全產品和解決方案方案可用、威脅可被主動發(fā)現和預測、工程上可快速自動處置、管理上可自動運維的難題。讓企業(yè)網絡在攻防較量中占據主動,具備自學習自適應的安全防御能力。
檢測智能提升全網威脅檢測能力
被動防御變?yōu)橹鲃臃烙?/strong>
一個武裝完備的企業(yè)通常部署了從網絡邊界到終端的所有安全產品,但是彼此孤立的單點防御產品既沒有形成一個防御體系聯合作戰(zhàn),威脅事件仍無法被準確判斷,未知威脅不能被有效監(jiān)測,單點檢測效果也不盡人意。在全網多點異常分析上,企業(yè)還在依賴SIEMs產品從全網日志監(jiān)控上來掌控整網威脅。市面上優(yōu)秀的SIEMs產品擅長的是日志采集、廣覆蓋、適配和解析能力,但日志分析能力很弱。且這些日志都是基于單點事件的告警,對入侵和攻擊鏈的全局缺乏多點異常關聯。
為單點檢測的有效性和多點分析的準確性,均迫切需要幫助管理員降低“噪聲”,過濾檢測輸入和輸出,保證單點檢測的有效;同時基于威脅場景制作“劇本”,研究黑客入侵的意圖來構建威脅檢測模型和規(guī)則,依托大數據分析工具完成海量信息的多維威脅綜合分析,幫助管理員收斂海量的原始事件日志,在大海中自動準確發(fā)現威脅,甚至預測威脅。
檢測智能首先確保單點檢測有效,從源頭過濾“噪聲”,基于全球實時威脅情報、關鍵資產信息、動態(tài)威脅變化和專家分析經驗,生成有效過濾條件,做好一級收斂。結合AI機器學習算法實現多點分析的準確性,核心是構建針對“威脅場景”的高級規(guī)則,含單場景檢測模型,和含日志、情報、流量異常等的多維綜合判定算法,即二級收斂。
現階段黑客已經利用機器學習生成智能的惡意軟件,可以預測未來攻與防的對抗必定是人與機器的對抗,需要以更聰明的大數據安全分析大腦,結合海量黑白樣本的學習訓練,研究黑客入侵意圖和攻擊手法,來最終做出預測和判定。
單場景分析模型
惡意軟件動態(tài)行為機器學習,通過將海量的黑白樣本行為送入神經網絡做深度學習,提煉出歷史上出現的惡意和非惡意行為的通用特征模型,而不再是固定的全局行為權重打分機制,提高對未知威脅的檢出率,降低誤報。
全網多場景多維綜合分析模型
將魚叉釣魚、Web滲透、黑客遠控C&C、賬號異常、內部流量異常、數據竊取等子場景串起來進行綜合分析,利用攻擊圖中每個攻擊行為的威脅類型、級別、可信度進行綜合計算,理解黑客的攻擊意圖,然后跟專家系統(tǒng)輸出的組合式攻擊行為模式庫進行匹配,根據黑客入侵行為動態(tài)調整模型,識別和預測組合式攻擊類型和可信度,把單點原始事件收斂到千萬分之一內,減少管理員繁重的篩日志、鉆取、分析和溯源的時間,提升檢測智能,減少對專業(yè)安全分析人力的投入。
處置智能全面快速消除網絡威脅
單點防御變?yōu)槿W協防
威脅和安全響應就是一場時間賽跑,42%的新漏洞在紕漏30天內被黑客利用,企業(yè)響應的時間遠大于30天,打的就是時間差。縮短安全事件破壞和響應修復間的時間差,是減少經濟和數據損失的關鍵。曾“名聲大振”的勒索軟件WannaCry讓超過24萬受害者遭受損失,而相比于“震網”這類高度復雜的攻擊,WannaCry本身的技術性不強,但傳播快感染范圍廣。盡管所有廠商都紛紛宣稱可以檢測到WannaCry,但客戶最關注的不是你能否“檢測”到,而是第一時間定位被感染計算機,及時攔截防止內部橫向擴散,對并已感染終端快速進行修復。這是夯實組織對抗威脅的基礎工程能力,提升自動化響應和修復能力是客戶關注的焦點。
處置智能是協同全網遏制威脅,結合云端或本地沙箱分析能力快速檢測未知蠕蟲病毒。比如,在出口防火墻封堵445端口,升級IPS特征庫等,更關鍵的是可以通過安全控制器聯動接入層交換機及時隔離已經被感染的計算機,利用網絡的各個神經末梢采集流量,定位感染路徑,并聯動終端軟件自動化清除蠕蟲病毒,批量推送補丁輔助員工配合來修復漏洞,自動化發(fā)布工具恢復加密文件。
運維智能自動基于業(yè)務生成并部署策略
人工運維變?yōu)橹悄苓\維
海量安全策略運維一直是中大型組織和企業(yè)的頭號難題。以某金融客戶網絡為例,僅數據中心防火墻策略就有幾萬條,全網防火墻數量大于500臺,策略基于IP語言和業(yè)務的每次更新都需要調整防火墻策略,每天的策略更新量達到上千,運維不堪重負;業(yè)務下線、IP地址回收等均不會被及時通知到網絡安全維護部門,策略提交者不會親自撤銷策略也很難被管理員發(fā)現,由此導致大量過期的安全策略堆積沒人“敢動”;另外,數據中心搬遷時,安全策略的遷移也是一個“老大難”, 策略需要重新生成配置,手工操作花費數周時間才能完成。最后是重復策略的問題,同一應用多人申請可能會造成策略重復、策略總數膨脹;南北向訪問,不同二級分行配置了訪問控制,在數據中心防火墻上還會做重復的策略;東西向訪問,流量會跨雙層防火墻,策略配置又會翻一倍。
運維智能的核心是“以業(yè)務驅動的安全策略”,從IP機器語言升級到基于應用的高級語言,建立應用到IP的自動映射,通過安全控制器將安全策略與業(yè)務的生命周期緊密捆綁,在業(yè)務上線、變更和下線時,實時感知變化,自動翻譯“業(yè)務的策略“到最終設備可執(zhí)行的IP策略,省去人工干預。
更重要的是,通過安全控制器分析對應用互訪關系進行可視分析,在機房搬遷場景自動生成策略白名單,免去繁重的人工重新配置;通過觀察分析應用互訪流、策略命中率等,對全網策略進行動態(tài)的調整和優(yōu)化,及時刪除重復策略、下線過期策略;通過動態(tài)流量分析,驗證預上線策略的有效性,確保策略定義和實際執(zhí)行保持一致。
華為SDSec解決方案致力于從軟件定義防御,到軟件定義檢測、軟件定義響應和智能運維的升級。以安全控制器和安全分析器為核心,橫向使能“一整張網絡”,南向使能全網多廠商安全設備和軟件,北向開放對接主流云平臺,實現以業(yè)務驅動的云、網絡和安全的上下協同,并以“威脅入侵意圖”學習為核心,動態(tài)定制采集和檢測,基于AI機器學習創(chuàng)新對惡意文件、C&C、內部流量異常的主動分析,使能全網神經末梢節(jié)點自動快速遏制威脅,幫助客戶提升安全分析和運維的智能化、自動化程度,簡化安全運維,減少專業(yè)安全人力投入,保護客戶關鍵基礎設施穩(wěn)固,業(yè)務永續(xù)。
