蓝盾杨育斌：如何构建智慧安全

ZDNET安全频道 05月08日 综合消息： 第十五届中国信息安全论坛今日在北京召开，蓝盾技术副总经理杨育斌发表演讲《智慧安全2014-Transcedence》。现场文字整理如下：

大家早上好！我们现在有各种移动终端，可信计算，可穿戴设备，这些都是智慧的安全组件，如何保证安全。

另外一个思考，刚才沈院士提到的一个，可以通过可信模块，可信密码模块的方式保证经过每一个如果是软件还是硬件单元，都是可免疫的。在这种开放的平台上面，我们怎么样能够实现安全的智慧，安全的免疫，这个免疫打个引号，我觉得这个免疫应该是具有人工智能的自我升华，自我净化，自我超越。

去年如果有人来过，可能记得我去年也讲了相似的主题，叫做智慧安全攻略。去年我们是信息安全无处不在，智慧安全也是无处不在。

解决智慧安全之前，我想跟大家解释一下什么叫不智慧安全，相信大家或多或少碰到这种情况，在你调试的时候，配置非常繁琐，工作量非常大。在你做安全管理的时候，各种各样的设备、各种各样的软件、各种各样的管理机制弄得你焦头烂额，故障无法统一，排查非常困难，你的工作处于混乱，各自为战的情况。

围绕这个情况，我们提出了智慧安全三要素。一个叫化繁为简，它能够减少干预，进行主动防御，同时能够联动其他设备，甚至人来进行安全的联合处理，协同作战。智慧安全必须能够感知威胁的变化，能够通过网络态势的感知，甚至内容的感知，比如现在的屏幕监测系统，能够对网络里面发生的安全，也许是安全事件，也许是社会事件，也许是更大的事件，比如斯诺登。还能够自动调节策略，还能够自动调节受网络保护的安全级别。第三点，能够实现协同作战。我们要打破安全作战的局面，无论是在座各位厂家有做硬件的，有做终端安全的，有做各种各样操作系统的。如果我们能够联动配合起来，共同防御威胁，我们整个安全体系就会更加智慧。

因此，在这样一个三要素下面，我在去年也是做了一个智慧安全全景图，我们可以从设备平面实现一个自动、主动、联动的一个防御体系，通过SPDN把一堆设备串联起来，把安全威胁提升起来，我们可以进行策略的有效处理，能够自动学习策略，主动分析策略和策略的主动安全。最终通过云计算的方式实现统一监控，甚至可以实现一个应急联动。

在这个体系下面，如何才能实现免疫，这里我就想到了人工智能的这些方面，如何能够让机器、体系实现一个自我净化，自我超越。

这样一个思路，来自最近的一个电影，如果大家有看过，Transcedence，这个电影是关于AI的人工智能电影，是关于人性的电影，是关于爱情的电影，也是关于信息安全的电影。这个电影的细节就不说了，这个电影里面三点体会。第一，来自未来的WILL，控制联网并且控制可联网的事物，包括设备、物联网，甚至包括了植入计算芯片的人，这是非常可怕的，控制了所有可联网的设备。设想一下，如果某一天，某国的网络作战部队控制了整个网络计算资源，控制了所有接入的计算能力，通过渗透到各种终端的方式，我们所面临的安全环境、安全形势不容乐观。

另外，DR.WILL创造出来Transcedence的量子计算云，它具有人类思维，能够进行自我演化，自我进化。

因此，我反思了一下我们现在的云，我们现在的云有终端安全云，大家知道做杀毒的，包括360，包括在座的一些都可以从设备、终端或者搜集一些未知的威胁样本传到云端处理，再通过云的方式把新的特征发送到各个连入云中的设备中，让他们实现实时防护的能力。

我们也有设备安全云，包括现在叫的比较响的安全防火墙NGFW，它也是把一些样本，一些异常的日常日场，日常的情况发送到云端进行处理。

当然，各种各样的云，公共云、物联网云都面临着各种安全威胁，所有泛在的联网的事物都需要安全解决方面，我们需要一个泛在的安全云。对于这种泛在的安全云，我们需要一些高级智能的采集终端，它能够覆盖各类信息安全载体，能够进行异常状态信息的检测，我这里说的是异常状态，涉及到正常状态，就有隐私或者是其他方面的问题。能够将异常信息传送给安全大数据处理节点，比如这样一个场景，在普通的SOC安全管理中心，或者是SIEN，日志处理中心是做不了的事情。管理员到机房拷贝信息，管理员所有的权限是授权的，在机器上的操作都是正常的，但是进入机房是不正常的，那天不是他的工作天。这个时候，网络设备是不会保障的，网络设备是正常的。但是监控设备、物联网、摄象头，沈院士刚才也提到了，可以将这个事件判断为异常事件，这个可以传送到最近的物联网安全节点。

关于人工智能，我们大家都学过，分析归类，包括学习适应这样一个非常有用的算法。人工智能在大数据，在安全中的应用就是在大数据更加有意义，更加能读得懂。

现在有很多关联算法，能够将各种不同的安全事件采集过来进行安全关联分析，基于规则的、基于资产的，基于模式的，基于场景的，总共有二三十种。这些能够解决我们刚才提到的这样一些新的安全问题吗？

比如说安全关联就是将各种不同设备或者终端搜集的事件进行有效的关联，比如从数据库审计数据库的日志，管理设备，我们搜集到一个日志的正常访问事件，但是单单数据库是不会报错的，如何结合一个入侵的场景，这个时候必须要报错，而且这是一个很明显的入侵输入，因为入侵的对象就是数据库。

还有资产关联和漏洞关联是结合在一起的，黑客不是关心你的资产值多少钱，而是里面的数据值多少钱，资产的数据价值。另外，这个资产可被利用的漏洞有多少，它的价值越高，它的漏洞越多，它有可能被攻击的可能性就越大，这是有一定的关联计算公式。

还有是基于威胁模型行为关联，这个是模拟一个黑客，它入侵的各种行为，比如先通过踩点，找到一个端口进行端口扫描，找到服务器，然后查找后台漏洞或者密码破解，找到一个后门进去了，提升管理权限，这是一个典型的入侵行为模式。通过各种片段的日志，我们可以把这个模式重组，重组入侵模式，这个时候我们就可以得出一个威胁关联模型。

所以，人工智能方面我们需要利用这种技术构建一个大数据的关联引擎，将各类终端信息进行有效关联，根据场景，根据模式，根据资产价值，根据各种各样的方式，将实际中标的事件进行一个应急联动的处置，报警，甚至应急联动进行防御。

但是，够了吗，社会工程学的渗透，斯诺登泄密事件提醒我们，非技术的攻击手段依然无法发现，一些意外事件，管理员的移动设备失窃，上面有系统的密码，他的机房门禁卡失窃能够进入机房，包括认为泄密事件，棱镜门对美国是个灾难，对全世界是一个福音。

非技术攻击维度，包括恶意的电话或者其他通讯方式、身份窃取、实地考察、盗窃甚至翻找垃圾。

任何一个可以访问系统资源的人，都有可能成为社会工程学的攻击目标，包括管理者、秘书、清洁工、IT运维等等。

有什么解决办法吗？没有，思路，NO，就是将非技术事件添加到关联分析引擎中，设计一个人为事件关联，来接收非技术安全事件，并与重要资产，最终这个人跟资产连在一起，建立一个模型，建立一个威胁风险分析模型。

因此，我修正了一下，大数据关联引擎，是要将各类终端异常信息以及人为异常因素进行关联，对中标事件进行应急联动处置。

这个电影，斯蒂芬.霍金的一个关注，他对这个电影的关注，人工智能的短期影响取决于由谁来控制它，而长期影响则取决于它能否被控制。

为什么？如果机器有自我学习能力，能够自动演化进化，我听说谷歌大脑这个项目已经具有人类两岁的智慧，人类从猿人进化到现在经过了多少年，几百万年，谷歌大脑才多少年，已经具有两岁人类的智慧了，这个发展难以想象，再进化下去会进化成什么样，连霍金都不敢说这是一件很好的事情，所以我们需要人为的干预，将错误的信息纠正过来，或者将机器学习所不能达到的高度由人来补充进来，另外一个是校正机器学习的偏差，让它朝着正确的方向发展，所以我们需要构建一个基于大数据的专家系统进行智能决策。

这个时候就是一个进化了。人之所以进化为人，因为我们是一个社会群体动物，我们是靠群体智慧来建造这个社会，建造这个国家，所以信息安全专家系统必须要有上层建筑，群体智慧，通过群体智慧来共建信息安全专家系统，对智能机器、智能设备进行一定干预，一定提升，一定的纠正。

国家级的信息安全专家系统，我细细在座的政府层面的制定者，政策层面的制定者，包括学术专家的人，国外确实在研究了，有人在研究了，需要建立国家级的信息安全专家系统，从技术层面，建立一个可以支持多种数据类型和格式的共享技术框架。政策层面，建立一个合法机制保护全面的安全数据共享。什么人可以共享到这个数据。还有从监管层面建立一套覆盖全国覆盖行业的信息安全专家系统以及相关的准则，如何使用它。

这里面有些技术层面的，政策层面和监管层面我就管不着了，但是技术层面，我们可以看到已经有一些应用。比如说现在有一个叫STIX，它是一种描述网络威胁以及响应机制的结构化语言，能够描述网络威胁行为模式，建立信息网络威胁响应，并且共享威胁信息。这样我们可以设想一下，如果我们厂家有这样一个安管云，其他厂家有安管云，国家有安管云，我们云与云之间如何进行有效的交流，我们同样说汉语，而不是发你的日志给我，我看不懂，我发我的日志给你，你看不懂，这是一个技术语言。

比如说WERIS是一套开放的标准矩阵，它提供了一套常用的语言用于安全事件或威胁通过机构化可重复的方式进行表达。

我只想让大家，技术标准、技术准则、技术参考是有了，有技术，但是需要从上层建筑、监管层面给出更多的指引，能够形成共同的合力。

回顾来自未来的Dr.WILL，一个覆盖各种计算资源的云、设备，移动设备，物联网，包括植入芯片的人，可能都是其中的人，其中的计算单元。具有人类思维，可以自我进化的《超验骇客》系统，霍金说的，这有可能是一个会有的东西，包括谷歌正在做这样的东西。

我们需要对云进行反思，把所有的计算资源纳入到云，实现一个高级智能采集，对人工智能进行研究，通过大数据关联引擎将不相关的关联事件结合起来，想一想我们的体系、设备、策略如何进行一个净化，通过我们的群体共享来共建一个上层建筑。

因此，智慧安全，我觉得要超越这个主题，我们必须要有高级智能采集，大数据关联引擎，上层建筑群体智慧。

信息安全无处不在，信息安全事业任重道远，信息安全事业是一个高大上事业，希望大家共同努力，共创一个美好的明天，谢谢！