深度分析网络安全发展的六大风向标

2019-04-19 20:32:22
我要分享


微信扫码分享

16日召开的第十一届信息安全高级论坛上，各方对网络安全进行了热议。360智库对部分与会专家的发言进行了归纳，梳理出网络安全的六大最新风向标，分享如下。

一、布局安全大脑已成为业界趋势

360AI安全研究院负责人李康发表题为“从RSA看国际厂商如何布局安全大脑技术”的演讲。他指出，安全大脑的发端来自于改变攻防不对等的需要。因为我们防守要堵住很多点，攻击只需要发现一个点来攻破。但是现在真正复杂的攻击一般也不会直接去攻击你，会走很长的线路，会用各种手段，要拉出一条很长的线。因此，如果你的观测点、观测维度很多，反过来可能会从防守这边得到一些优势。安全大脑的核心就是大数据加安全专家、人工智能，也就是从攻击的全局、上下游去整体观测，进行“看见”攻击并处置。

实际上，布局安全大脑已是大势所趋。国际上，谷歌安全子公司Chronicle Security、微软、思科都在建设类似网络安全大脑的系统。同时，它们在不断打造自己生态核心点，来吸引大家加盟它们的环境。李康认为，安全大脑将成为未来五到十年应对网络安全问题的一种技术方向。在此背景下，传统网络安全厂商要积极参与生态建设、拥抱生态带来的合力。他表示，360公司愿意把自己的经验、数据、技术、能力开放出来，与业界一起把安全大脑打造成国之重器，守护国家安全。

二、安全威胁模型新发展让安全Better

绿盟科技首席架构师杨传安作了“从RSA看安全威胁模型新发展”的演讲。他聚焦于安全威胁模型技术的新发展，介绍了安全威胁模型技术的一些应用。杨传安说2019 RSA大会的热词有一些变化，怎么能更好地做一些安全运营处置或者响应，主流厂家都在提倡需要有一个统一的平台，需要有从终端到平台、到分析到自动响应这样的过程。

业务方对安全管理有三个重点要求：需要以数字或者数据资产为中心的风险管理，实时感知安全态势的变化；需要有一个全局一致的安全管控策略，来支持智能化的决策，敏捷自动响应来提高运营的效率以及安全运营的准确率；需要一个弹性的体系架构来支持融合新的技术和演化的网络环境，包括云或者是SBD这样一些新的概念。杨传安指出，需要系统化的安全体系架构设计，识别出网络攻击面，以及定义出一些威胁的模型，更好地实现纵深防御的能力。他还介绍了绿盟在用建模语言来描述网络攻击、利用知识图谱的方式来实现威胁的知识化等方面的一些工作。

三、人工智能赋能安全自动化

深信服安全业务CTO郝轶作了“人工智能赋能技术下的RSAC2019”演讲。他指出，在RSA2019大会的展厅里实际没有那么多的出现“智能”字样的展板，但是能够发现很多Automated、Automated、自动化这类的内容。这说明从国际上看，人工智能不是被新提出来的一个内容，而是一种实现安全自动化的手段。

郝轶说，实际上AI已无处不在。他顺便向360表达致敬，360两会期间提出的安全字母表“IMABCDES”，主要包含了大数据和人工智能的技术。他指出，以前做网络安全的时候可以不需要人工智能。但是今天，因为IoT的发展让你管理的资产数量很多，数据的类型变得很多，大家需要有一种快速的方法能够在开发和运维当中不断地满足业务，并且把安全做好。这就需要利用人工智能这种自动化技术去基于云计算的算力，利用大数据来训练自己的模型，最终落实我们的安全工作。郝轶说，深信服的安全对外交付使用的智安全架构，就使用了人工智能的技术去运营管理，实现智能防御检测。

四、数据和人工智能驱动进行威胁检测

阿里巴巴集团风险能力中台资深算法专家周涛作了“构建数据驱动的威胁检测体系”的演讲。他主要从SIEM这个领域里面看AI具体落地的情况，指出现在很多所谓的AI，其实不是真的AI。虽然所有的头部厂商都在宣称用AI提升了效率，但是你看他们背后AI实现的水平，就会发现其实大部分还是一些运营的策略和统计模型，他们也把它叫AI了。虽然厂商都在提我们用到了AI或者机器学习，但是真正背后用到AI的水平还是挺低的，并没有我们想象到的特别高深的，像深度学习或者其他的方面在里面。大会上有个沃尔玛的安全人员讲，我们实际主要还是在用16世纪的数学（大数定律）来解决我们现在的威胁Threat Hunting问题。

为什么AI在具体应用场景落地存在一些困难？周涛指出存在四方面的因素：一是机器学习擅长发现的是正常模式，但是入侵是一个异常模式。二是安全大数据虽然很多，但是有标注的数据却不多，而无监督学习的准确度还不够。三是威胁检测中利用机器学习的时候，损失函数Ground Truth很难准确定义。四是现在机器学习结果的可解释性很差，我们对安全问题的回答不能只是“是或者否”的回答，需要给出原因和解释。

尽管如此，在一些特定的场景，也有少量确确实实是用机器学习来提升效率的应用，比如垃圾邮件的识别，对DGA域名的检测，以及对爬虫的识别等。共同特点是：它们面向一个特别具体的应用场景，在这个领域里容易产生一些积累的数据，而且里面标注好是正常的还是异常的。周涛介绍，在满足上述场景的情况下，他们构建了一个基于数据驱动的威胁检测体系，主要包括三个步骤：第一步，做数据的预处理，目标是数据的“去白留灰”；第二步，进行攻击行为识别，把可能是攻击行为产生黑的数据识别出来；第三步，做告警关联，拿一些具体的、跟这个事件相关的上下文来验证。

五、人工智能提高安全响应和决策能力

山石网科高级副总裁、首席技术专家杨庆华作了“信任为基机器崛起”的演讲。他指出，RSA大会上提出的两个词“信任和边界”其实孪生的。无边界并不是真的没有边界，其实“无边界等于边界无处不在”。那么怎么去建立信任关系？业界炒作的“零信任”已经用滥，几乎所有的厂商都在大谈“零信任”，但实际上基本是炒作。

未来的安全系统必然依赖智能的威胁检测和安全的自动化。但是人工智能是一把双刃剑，现在的网络流量中48%的流量是人主动的流量，将近52%的流量是机器人流量。而机器人流量里面，可以分成好的和坏的。好的里面人工智能检测可以做好，但是坏的里面比如说黑客的技术、垃圾邮件等已经占到28.9%，也就是黑客利用AI和机器学习的能力比安全专家的能力还要强。

尽管机器学习还面临数据污染、算法失灵等问题，但是人工智能对安全的帮助越来越大。比如，思科公司利用机器学习和人工智能技术，可以做到在绝大部分的加密流量不需要解密的状态下进行安全检测。另外，通过大量机器学习来完成系统的监控、服务、自动化流程（SOAR）的任务，可以提高安全响应和决策能力，为安全运维带来极大的方便。

六、从创新沙盒大奖“黑马”看做实网络安全资产管理

安恒信息郭辰作了 “从2019RSAC创新大奖看网络安全资产管理的新风向”的演讲。他说，这次创新沙盒的大奖爆出黑马，由一家叫Axonius做资产管理的以色列公司获得。

资产管理和SaaS是一个很古老的技术了，看起来没有什么先进性。但是Axonius能够脱颖而出获奖，反映了BYOD和IoT设备爆发性增长背景下资产管理的新动向。Axonius的核心思想是提出来一个叫“你不可能去保证你看不见的设备”的安全。Axonius资产管理产品的核心价值，就是从资产整合的角度，帮助用户去快速发现和定位网络中的一些安全事件和风险。这种安全资产管理是多方位的，包括多维资产档案库、资产信息同步、无侵入式被动发现资产、网络空间测绘主动探测资产、自动化资产安全防护和EBA资产画像等。

网络安全资产管理是网络空间治理的基石。未来，安全资产管理可能要重新定义。要从组织架构态势、数据中心态势、终端安全态势、应用安全态势等诸多维度去关联到网络产生的安全事件，再进一步结合大数据进行异常行为的上下文分析，来进行攻击行为的确认和取证，最后再结合安全设备的防护、漏洞应急修复还有相应的通告预警，生成分析报告和完善安全知识库，形成网络安全处置的闭环。

本届论坛由公安部网络安全保卫局指导，中国计算机学会主办，CCF计算机安全专业委员会、360 集团、绿盟科技承办。