绿盟科技安全顾问唐洪玉

2019-05-14 14:46:56 来源: 池州信息港

通信世界(CWW)4月6日消息 由人民邮电出版社主办的“2012(第四届)通信络与信息安全高层论坛”在北京鸿翔大酒店举行,本次论坛以“深化防护 携手共筑安全新时代”为主题,会议针对通信络与信息安全领域的重点和难点问题进行深入探讨,包括移动互联安全、智能终端安全、云计算安全、增值电信企业络安全、Web安全等,欢迎产业链合作伙伴积极参与此次盛会,携手共筑安全新时代。

绿盟科技安全顾问 唐洪玉

唐洪玉:尊敬的各位领导,各位嘉宾,大家上午好。我今天跟大家分享主题是“云时代下安全态势感知”,主要思路是这样,从攻防这个角度来看待一下云时代感知是如何构成,分析一下当前宏观形式和微观形式,引入安全态势感知这么一个层面,包括在我们给出体系结构,也给大家分析一下绿盟所做的几个案例,分析一下态势改革所面临的挑战。

我们首先来看安全核心,这是一个仁者见仁,智者见智的问题,大家从不同角度来去看待安全核心,各自给出内容不一样,我们认为安全核心就是攻防,攻防是在安全里面互相矛盾,有攻就有防,整体上也推进了安全螺旋上升过程,所以有攻就有防,如果没有攻和防整个安防就失去了其作用,这是此消彼涨,大家共同推动彼此向上路径。所以,攻和防在安全里面是不可或缺的。

对于攻击手法来看不变的就是变化,对于攻击手法来说始终是不同变化。如果,非要说不变,不变就是这种变化,近两三年网络营销公司
,或者当今以后很长一段时间攻击手法趋势。首先我们看个例子,这是邮件利用非常多,包括短信,其他方式方法很多,常见就是这两年利用邮件植入恶意代码,包括钓鱼,利用也可以做导致你去点击等等。包括前一段时间银被卷帐都是因为此,其实都是通过邮件钓鱼,或者诱使你点击某个链接,通过邮箱获取其他一些口令认证,这样会得到很多其他相关的东西,这是邮件。

另外就看第二个零日漏洞,这是一个非常远古的话题,从安全有的天就是大家所研究的话题。近两年零日漏洞非常严重,包括前段时间发生针对很多基础工业设施攻击都是这个样子。另外还有一个隐蔽信道,原来大家捕获到一些黑客数据往外传递的时候,很多时候没有想到加密隐藏,但是现在黑客们都做的比较好,包括他用LOS,或者虚拟化之间的可视流量也是常用的方法。总结起来,这是信息安全的攻防对抗时刻上演,威胁手段,漏洞利用方式是变化不变的。

那么,延续刚才所讲的攻防手段来看,从宏观来看整个安全新的趋势。对于安全新趋势,如果站在攻防这个角度,这个主线上去看,有四个相对趋势。就是基础设施,包括工业化,安全,这个其实是不能忽视的,这个在原来大家认为,一则认为是封闭,二则认为协议是特有的,三则认为很多东西外界不能入侵的,但是现在这个已经成为事实。第二,针对脆弱性研究与威胁研究并重,原来大家一说安全就会研究漏洞,但是大家看到包括威胁,威胁很多手法层出不穷,这也会被列入一个议事日程,其实漏洞只是一个其他一个方向,利用的东西之一,其他很多威胁都是搞不清楚是怎么入侵系统的,所以威胁研究也被提上议事日程。

另外,第三个大的宏观趋势就是新兴产业技术引入新安全风险,这个刚才也提到很多,包括云计算,物联,智能终端,虚拟化等等北京seo优化推广
。另外还有态势感知,并不是一个新概念,但是这个在近两三年大家越来越意识到整个安全大趋势,必将走向态势感知。

在我们刚才探讨宏观上趋势之外,具体微观领域,如果安全有一个工作,对于运营商来说我们安全工作中面临哪些挑战。,如何来及时准确全面掌握整体络安全状况。其实,确实是非常严峻的问题,尤其对我们运营商而言,络很复杂,络系统非常复杂,包括系统之间关系。如果在这么多里头获取整体安全状况,其实这是一个非常严峻的问题,往往我们获得的信息都是点,某些安全设备,或者某些安全事件,某个点上,某个系统上,很难串联到一起去来看整体安全情况是如何的,这是一个的挑战。

第二个挑战,针对整体状况,如何及时准确进行评估,预警,或者进行应对。有的时候,我可能获取到一个什么样状况,我们如何对这个状况进行评估,如何做一个预警,如果你提前知道整个安全态势走向是什么,我在合适的时候应该采取什么样的措施去应对,这是第二大挑战。

第三大挑战针对危机事件如何应对,包括及时性,有效性,还有协同,对哪些要素进行关注。这三大挑战在运维过程当中,都不可避免会面临。接下来这三大挑战如何去解决,在这引入一个安全态势感知,一个是危机百科被业界广泛认可,有一定权威性,在一定的时空条件下对环境因素进行获取理解,以及对企业未来状态进行预测,关键我在下面进行标注,对各种因素进行获取理解,预测。我只有了解了要发生的事情才能做好准备,所以这也是其很重要一点,如果进行预测,我在下一步将会采取什么样的措施。另外,还有始终掌握周边的环境,复杂动态环境变化这是非常关键,这就是态势感知。

我们来看什么是络安全态势感知?所谓态势是一个整体上概念,不是一个单一点,因为现在很多安全都集中在某些点上研究,或者某些点上攻防对抗,但是整个态势,其实这是一个全局概念,一种状态,还有一个整体。那么络态势就是和络相关的各个要素,将共同构成一个当前的状况,以及未来的一个趋势,这是络态势。那么络安全态势把安全相关要素拿出来获取评估,以及未来预测,这是未来络安全态势感知所要做的事情。那么,至于这些概念我们给出一个改进的络安全模型,这个模型应该怎样分享一下?首先下面有一个多元数据,包括安全事件,安全日志其他很多信息,部分就是态势提取。

如果我们只做态势提取,我们也可以达到络安全态势感知的目的,这是层级,级态势感知,只能在这提取。在态势基础之上有一个评估,进一步分析,这是第二级别的态势感知。如果在这个基础上做一个态势预测,做完之后,这是一个非常全面的态势感知,这三个层级,态势提取,理解评估,还有提示预测,这三个层级上他们感知层次从一到高,一个完整态势感知是从这三方面都做,还有他们只做了一步,包括态势提取,还有评估,还有态势预测。

那么在态势感知里面会有很多关键技术,对于态势提取,大家可以想一下,有很多态势提取技术也在里面,包括一些规则实行办法,还有一些动态分类,还有很多规避,因为有很多数据都是不同源。那么态势理解和评估,主要是基于一个脆弱性进行评估,还有非常重要技术,如何构架一个指标体系,现在大家都去搞安全度量,如何构架整个指标体系对整个态势进行评估,这也是放在业界需要进行探讨的话题。另外态势预测,当然有很多,这里面有很多相关技术,包括黑色理论等等都对安全有一个整体态势预测,这是一个关键技术。

刚才谈到一些整体模型,底下框架如何实现,这是一个示意图,基本上分成三个阶段,提取,理解评估,第三是态势预测。对于要素,每个阶段都有很多要素,我这也举一个简单例子,要素提取中间给了这几个要素进行简单评估。像理解评估,有一些相关模型,包括还有时间序列分析,还有其他一些相关算法,还有感知系统构成,基本上与这三个相关,要素提取,理解评估。整个态势感知框架有两部分构成,主要以要素提取,依托现在安全设备来做,获取到相关信息。那么对于剩下像分析,预测等等这样事情,其实主要依靠态势感知来去做。这个体系框架肯定不是很明了,我们来看一个架构,包括进行部署获取各种各样数据,在数据之上就有一个关联数据,海量数据处理,再往上走就是各种各样知识库构成,有庞大知识库,知识库上层是一个态势展示,也是业界现在所研究的一个热门领域,你如果从时间,空间,多个纬度去展示整个态势,这是一个非常值得的探讨的。

那么,这个其实上边这些部分就是态势感知所做的,对于下面基本是数据采集。所以,整个态势感知就是两部分,这都是理论化层面,接下来会给出绿盟所做出几个案例。这是外部感知,里面是逻辑架构。对于态势感知获取的安全要素,对其进行一个评估,会有一个预测。其实,在态势感知里面主要,目前我们所做主要有这么几个纬度事情,包括漏洞扫描,这是一个安全要素之一,第二其他恶意代码提取,还有敏感内容,包括一些暴力,色情。

第四个纬度就是定义S,还有钓鱼站,恶意篡改等等,通过这些进行理解加工分析,甚至可以做预测,下一步可能会遭到什么样的冲击等等。流量分析,目的想找到一些异常流量在里面,而且可以预测到每天在某个时刻,可能会有异常流量出现,我们如何采取。接下来是攻击趋势,因为考虑要素非常多,如何做到多对多之间攻击的数据,包括攻击的一些趋势是否在下一步会有什么样的攻击等等,这就是我展示的三个,这里面所做的态势感知的例子。

还有一点,前景光明,道路曲折,包括技术挑战,管理挑战,每一个都是非常难,就是大规模数据获取,而且是有效获取。第二,海量数据之间的关联,尤其现在在云时代之下,很多数据非常大,现在所提到大数据,已经非常大了,还有指标体系建立,如何构建一个客观指标体系,可以用来评价整个态势,还有可视化,如何从多个纬度,因为他可视化不是平面,包括时间,空间,事件来展示。另外还有一些管理挑战,尤其在云时代,很多是跨组织,跨地域,还有人们认识提高,包括法律法规支持。其实,这个态势感知是一个非常好的技术,非常好的应用,而且前景很光明,如果要实现很多时候靠大家协同协作,共同实现的非常完美。今天跟大家分享东西就这么多,当然大家下也可以深入交流,谢谢。

本文标签: