5月25日,2016年中国计算机网络安全年会在成都举行。作为由CNCERT主办的重要年度安全会议,网络安全年会邀请到包括工业和信息化部办公厅莫玮主任、、中国工程院院士吴建平在内的主管领导与专家与会。360作为CNCERT重要支撑单位应邀参会。360网神总裁吴云坤在大会发表题为“数据驱动的安全协同”的演讲,其倡导的利用大数据安全分析,协同和提升传统安全设备的思路,以及构建业界协同机制的建议,受到了与会者的广泛认同。
安全形势日益严峻
吴建平院士在演讲时表示,目前全球的网络空间安全面临重大挑战。而在国内,随着互联网+的普及,互联网与不同行业的结合日益紧密,由此引发的网络安全问题也日趋严重,造成的影响越来越大。
吴院士的观点在吴云坤引用的Verizon 2015数据泄露调查报告(《2015 DBIR》)得到了验证。根据这份报告,2014年79790家公司遭遇泄漏数据,其中已有2122家公司公开确认。500强企业中,超过半数发生过数据泄露事件。更令人惊悚的是,60% 的案例里,攻击者仅需要几分钟就可以得手。尽管这份报告与上年相比,没有特别大的变化,但仍足以说明严峻的安全形势。
与70%-90%的针对性攻击样本相比,“被动修补防护体系无法从根本上解决安全威胁。”吴院士这样谈及安全防护面临的困境:缺乏安全可信基础、攻击过程无感知,被动补丁式防御。
吴云坤也表示,日益盛行的高级威胁往往利用0day漏洞、免杀木马、定制化工具,并结合社会工程学等多种手段进行定向攻击。它们不仅难以被发现,而且还会长时间驻留在电脑终端内,伺机而动,在锁定重要目标之后随时发动攻击。
对于安全形势的严峻程度,或许可以用吴建平院士演讲中的一句话来概括:导致国家关键基础设施面临瘫痪,国家海量战略数据被窃取或泄露。
安全进入数据驱动的协同时代
针对当前的安全困境,吴云坤表示,传统安全对威胁的感知和捕获变得越来越困难,传统防护思路早已力不从心,并且出现了越来越多的防护缺失。它们无法看见高级威胁从哪里进入,不知道哪些终端遭到了攻击,更不清楚威胁进行了哪些活动,并且无法告诉我们应该如何应对。
在今年的RSA国际会议上,业界也一致认为,安全建设的重点将从过去的以防护(Protection)为主,逐步过渡到加强检测(Detection)和响应(Response)
吴云坤认为,检测与响应的前提是了解全貌,而掌握安全态势全貌的能力取决于能否获得足够丰富的安全大数据,并基于这些安全大数据形成威胁情报,提升现有安全设备的协同能力。
这种大数据分析中心(大脑)加传统安全设备(手臂)的安全模式,是基于360的丰富安全大数据:95亿样本库、90亿DNS库解析记录、每天300亿条URL查询。
但是即便是360这种拥有全球最丰富安全大数据的企业,吴云坤仍认为无法单靠一个厂商解决整个行业面临的问题。他呼吁建立协同整个行业安全数据的机制,以增加国内发现未知威胁的能力。
事实上,协同问题也一直是与会者离不开的话题。包括习主席在4.19讲话中提到的产学研用的协同合作再次被提及。吴院士则呼吁加强军民领域在网络安全方面的协作。
据悉,360早就在为产业层面的安全协同发挥自己的力量。2015年12月360威胁情报基础信息查询平台(TI.360.com)向业界开放免费查询服务。这是国内首个向公众开放的威胁情报数据查询服务平台。另据CNCERT提供的数字,360补天平台仅在2015年就向国家信息安全漏洞共享平台就报送入库漏洞条目达24254条。
在产品层面,360也将大数据安全分析的能力应用于终端安全、网络安全和威胁态势感知,开发出了新一代基于威胁情报的安全产品。由此,传统的安全防护产品出现了根本性的变化:新一代终端安全软件—从过去的病毒或安全管理,演进到终端检测与响应;新一代网络安全设备----从过去的访问控制或特征检测,演进到以网络检测和响应的新领域。安全设备的响应不再是预设或人工操作,而是威胁情报驱动的半自动化响应。
这些威胁情报驱动、相互协同的安全设备可以实现安全防护的闭环,将会大大提升政企用户应对未知威胁的能力。
吴云坤表示,安全协同能力,不论在数据、智能还是产业层面,是安全+大数据背景下的必然产物,也是从传统安全向下一代安全的演进的重要能力。
