时间:2020-09-10 来源:深圳维创信息技术 11
针对新形势下的网络安全威胁,深信服结合自身在安全领域18年的经验与技术沉淀,分享了面向未来的持续进化、有效保护安全架构,给在场的1200位CIO留下深刻印象。
此文根据深信服安全业务总经理马程演讲内容整理,略有删减。
保护能力需要向主动化和智能化方向演进!安全事件风起云涌!2017年WannaCry、Bad Rabbit等影响巨大的事件,还历历在目;2018年,各种安全事件又接踵而至:2月份国内医疗行业爆发勒索攻击;3月中旬,中国某军工企业被美、俄两国黑客攻击;8月,台湾一知名芯片代工厂因勒索病毒导致三大生产线全线停摆;就在前几天,GlobeIposter3.0勒索变种侵袭不少行业用户······那么,为何安全事件不断?经过对这么多年攻击的持续跟进,我们发现这些威胁的攻击手法快速进化、不断升级。
目前高强度定向渗透、社工攻击、智能攻击等成为主流手段,这些攻击隐蔽性更强、破坏力更大。
可见当下,防不胜防的未知威胁和强烈对抗的高级威胁,是网络安全的最大挑战。
在这个态势下,保护能力需要向主动化和智能化方向演进。
网、端、云三点上的安全布局是业务保护的必然选择。
另一方面,从业务发展方面来看,开放、连接和云化成为业务发展的主要驱动力。
而网络开放是业务开放的基础;终端作为连接的承载体,连接产生业务动力;灵活的云化架构更为解放应用的架构和加速应用的创新,提供了最好的助力。
安全建设必须随着业务进行,因此做好网、端、云的安全布局是保护好业务的必然选择。
深信服发布持续进化,有效保护的安全架构,在“网端云"上为用户提供能力持续进化和有效保护的安全产品和方案。
1、能力持续进化技能进化方面,假设一切业务环境都是不安全的,“端网云”的安全保护必须由以防御为核心,进化到以检测为核心;安全保护手段必须由网或端的单点保护升级到网端协同,联动保护。
首先,在网络上,传统的安全建设往往是堆一堆的安全防御设备来强化防御,诸如0day、钓鱼、社工、加密邮件、定向渗透、跳板攻击等,现在有无数种方法可以绕过边界的防御。
因此边界安全设备必须具备未知威胁的检测能力,比如深信服下一代防火墙,建立在对内网0信任的基础上,不仅是优化防御能力,更是引入和强化了检测能力,包括WebShell检测、僵尸网络检测、黑链检测、恶意软件检测、未知威胁检测等检测技术。
在终端上,传统的终端安全的技术核心,是基于静态特征的查杀。
而当下,很多的静态特征都被病毒制造者精心设计躲避了;更严重的是,现在很多恶意软件根本就没有任何静态特征,这导致了传统静态查杀技术的直接失效。
另外,传统的杀毒软件也缺少和网络安全设备的联动等功能,所以对紧急事件无法调用到所有拦截和终止的手段,无法做到及时的响应。
我们认为下一代的终端安全应该强化智能的行为检测能力,和快速响应处置的能力。
深信服EDR,使用基于AI的人工智能检测引擎,具备持续学习、其终端威胁检测效果远超规则检测。
另外深信服EDR通过流行事件自动化处置以及与安全设备协同实现智能快速响应。
在云上,深信服发布自适应的软件定义云安全方案。
基础架构云化以后,业务边界变得非常模糊,东西向的业务流量已完全不可见;且常存在主备云、不同厂商的云、公私并存的混合云,每一片云,安全都要独立部署和独立管理安全策略,管理十分麻烦。
实际上,基础架构云化以后只是业务环境变得更加软化、灵活化和弹性化,安全的核心抓手点并没有本质改变,依然是网络和主机;云上业务的安全建设,也同样是在网和端的基础上发力。
在南北向,该云安全方案可以串行在南北流量上,提供可进化的防御和检测能力,保障平台和出口安全;同时通过轻量级的终端安全agent,实现东西向威胁的可视和可控。
也正是通过终端agent的方式,可以比较完美地实现跨云部署和跨云统一安全策略,而不受云平台的限制。
通过该自适应的软件定义云安全方案,最终实现云安全的东西向的可视和可控,跨云的统一安全策略,也实现了防御、检测、响应的安全闭环。
智能进化方面,首先安全产品可以基于自治环境,对正常业务行为和非正常业务行为进行智能学习和进化,不断提升安全产品自身对自治环境的保护能力。
同时,通过安全云脑的AI引擎对全球安全情报进行训练学习,不断进化安全云脑的智力,并通过订阅服务的方式,将不断进化的智力同步给网端云的安全产品,持续升级网端云的保护能力。
目前,深信服安全云脑可以做到5分钟内训练出全球最新出现威胁的检测和保护策略,10分钟内就可以将策略赋能给全球的在线安全产品。
此外,云端还有安全云图,通过订阅安全云图的服务,可以实现多中心、多分支、多业务环境的全局风险可视、全局威胁可视、全局保护状态可视。
基于可视,就可以做到非常易于管理的全局管控。
在安全事件发生时,还可以借助安全云图,做到全局安全事件的快速响应。
2、有效保护在网络上,通过下一代防火墙、安全态势感知,不但要做好防御更要做好威胁检测。
同时结合安全云脑的订阅服务,持续提升安全智力,对网络形成最有效的保护。
在终端上,通过深信服EDR,形成对威胁软件的恶意行为智能动态识别,并结合网络设备实现网端协调联动,快速响应处置。
同样结合安全云脑的订阅服务,持续提升安全智力,对终端形成有效保护。
在云上,通过自适应的软件定义云安全解决方案,不但通过网端联动,做到能力持续提升的防御检测响应闭环,更可以面向云环境,做到东西可视可控及跨云统一安全策略。
至此,基于“网端云”布局,深信服为用户提供面向未来,有效保护的安全。
有效保护,深信服获高度认可。
安全建设的核心就是要做到有效保护。
今年,医疗、法院、高校、国土等多个行业用户也受到了恶意攻击的侵袭,我们通过下一代防火墙、安全态势感知等产品为很多用户快速检测到了潜伏威胁,并通过专杀工具进行快速的处置。
在实际环境中也证明了我们的产品和方案是能真正的发现威胁和解决问题,这就是有效。
另外,深信服有效保护的理念和快速响应的能力,也获得了权威机构的认可。
2017年深信服成为CNCERT国家级支撑单位;作为国家级支撑单位,在2018年为21个省市自治区报送了232次威胁,为各省提供了2252人次的事件快速响应。
同时,深信服也全力支持国家重要活动。
每次需要网络安保的重大活动,不仅在会议现场,还有各相关企事业单位业务现场,时刻为用户的安全保驾护航!