以威脅情報驅動安全互聯 堵上攻擊威脅的口子
我們時常聽到一句話,“道高一尺,魔高一丈”,意指為正義而奮斗,必定會受到邪惡勢力的巨大壓制。在網絡安全防護領域,信息安全提供商的目標誓要將前面這句話反過來,也就是做到“魔高一尺,道高一丈”。黑客的本領高一招,安全防范的技術就大一層,不管攻擊者如何變化,都跳不出安全的防御圈。
說起來容易,做起來難!總結安全威脅態勢的發展,一是攻擊形態愈發復雜;二是攻防時間失衡,企業一旦遭受攻擊,往往數分鐘之內即淪陷,伴隨著的缺是過長的響應時間;三是專業的安全人員和技能缺乏,以及有限的預算等導致安全防護不能匹配響應的資源投入。
還有另外一個重要原因,攻擊者正形成一個產業鏈,也就是我們常聽到的“黑產”,再加上攻擊在暗、防護在明,更加劇了攻擊威脅防御的難度。
而對應的防御方呢,坦白地說,在防御陣營不乏出色的安全防護廠商。可是這就夠了嗎?黑客攻擊的渠道是多樣的,郵件攻擊、Web攻擊、網頁欺詐、惡意軟件植入等不勝枚舉。可是,這么多攻擊威脅的“口子”絕不是一兩家安全廠商能夠“堵”上的!
縱觀國內外安全產業環境,安全廠商之間是否和黑產那樣“團結”呢?顯然差得很多,因為競爭和利益的關系,安全防御猶如一個個孤島!國內安全產業環境尤其不理想,同行之間合作少,缺乏全局安全的應對之策。
不得不說,安全業的聯盟與合作在國際安全廠商中走得靠前一些,無論是各種各樣的安全聯盟還是聯合解決方案的開發,都值得國內安全從業者學習和思考。
安全互聯替代孤立防護
我們不妨來看看,Intel Security(邁克菲)到底是如何思考這一問題,攜手同行應對傳統孤立防護的。
英特爾安全事業部北亞區售前技術總監鄭林
“我們可以把黑客的攻擊過程拆分成不同的環節,如果某一個安全設備或安全技術,能夠發現其中一個環節的活動,并很快地把威脅情報提煉并共享給其他的安全設備,這種情報的共享可以形成對威脅的有效防范,擴展開來,對黑客的入侵是一個致命打擊。” 英特爾安全事業部北亞區售前技術總監鄭林在接受ZD至頂網采訪時表示。
這里面的關鍵問題有兩個,一是如何用現有的安全設備和手段提取威脅情報,不管攻擊中的哪一個環節發現了它的蛛絲馬跡。二是發現威脅情報后,怎么樣快速在幾秒鐘之內把情報共享給其他的安全設備,讓它能夠防范對其來講還是未知的攻擊活動。
Intel Security推出安全互聯的架構已有幾年,基于這個理念,其發布數據交換層(DXL)。鄭林指出,DXL可以想象成人的神經網絡,以前我們有防火墻、IPS、防病毒,它在人的身體里面就像手和腳、胳膊、腿等不同的肢體。“以前沒有神經網絡時,這些肢體例如手、腳都很有力量,但是沒有協調。所以在應對威脅時,手忙腳亂。”
在安全發展的歷史上,存在同類的基于API集成的理念。不過,API的集成有一個非常大的不足,現在動輒上百個的安全產品,還是通過點到點不同產品間的API進行集成,效率非常差。并且,其中任何一個產品有改動和技術更新,這個API就面臨著要重寫。
DXL是一個新的通信架構,“簡單講它是一個高效率的通訊協議,只要遵循這鐘標準,產品之間都可以互聯互通,而且這個框架是一個開放的框架。不論哪家產品,都可以加入生態系統里面去,共享和接受信息。” 鄭林說。
重要的是,DXL生態里的產品進行通訊,從發起通訊到接收通信只需要幾毫秒,也就意味著共享威脅情報后幾毫秒就可以對威脅進行遏制。
不區分廠商 安全資源互補共贏安全
Intel Security安全互聯生態系統的愿景是,無論廠商和底層架構,各個安全部件都可以集成在一起形成一個統一互聯系統。
這些安全互聯的集成來自于包括Intel Security主導的SIA聯盟,這里面有100多家合作廠商。以及第三方廠商,哪怕是競爭關系的廠商,都可以加進來。還包括第三方威脅情報,威脅情報近年來是一個熱門的領域,安全互聯可以通過一些標準的接口把這些情報收納進來。當然,其中還包括Intel Security的安全解決方案,無論是網關層、端點層、數據層,Intel Security都有一系列的保護措施。
“Intel Security希望通過這種開放的生態系統,包括這套威脅情報交換的機制,和Intel Security原來已經具備的針對未知威脅分析的技術,能夠形成一個開放集成的安全系統。不管企業系統是部署在云端還是在本地,也不管他們采用了什么樣的端點或者哪些公司的安全產品和設備,我們都能夠把它統一的進行威脅情報交換,形成聯防的體系。”鄭林說。
說了這么多威脅情報共享,我們不妨再回顧一個背景,在今年2月份斯坦福大學舉辦的白宮網絡安全和消費者保護峰會上,美國總統奧巴馬宣布成立一個新的政府部門,致力于在政府機構之間共享威脅情報,以便檢測網絡威脅并更為快速的采取措施。他簽署了一項行政命令,旨在進一步促進公共機構與私立部門之間對網絡威脅的信息共享。
這項措施表明共享網絡威脅情報對于提升國家安全至關重要。通過共享威脅情報,企業和政府可以聯手利用內部證據和外部信息,從而鎖定攻擊并采取相應的措施。
在政府及國家安全上可以看出威脅情報的重要性,說開來,這不都是想通的嗎!在企業安全防護上,網絡安全提供商更應該把眼光放長遠,安全資源的互補是一個共贏的結果,更符合企業安全防護的需求。
