攻易守难?不妨借助AI与软件定义安全来个“剧情”反转 原创

被苦恼缠身的CSO对安全方案也有了新的诉求,即:从被动防御到主动防御;从单点防御到全网协防;从人工运维到智能运维。

说起企业安全问题,作为一名安全管理员恐怕会有一肚子的苦水,企业出了安全事件,第一个“背锅”的就是自己。面对当前的企业业务和办公环境,网络安全也变成了攻易守难,CSO的苦恼可不是一点点。

如果总结CSO们的苦恼,大致可以分为三点:一是风险被动响应;二是不能全局掌握安全态势;三是安全运维难题。

CSO面临的工作可能是这样的

无论哪一个CSO都想让自己建立的安全体系保障的企业安全高枕无忧,不过“敌人”的存在不可能让你如愿以偿。

首先以检测来说,威胁检出率较低、漏报较高是不得不承认的普遍状况。尤其对于隐藏在加密流量下的恶意威胁,在不解密的情况下,也没有有效检测手段识别安全风险。在攻击者和防守者拉锯战的状况下,威胁检测周期长也让防守者处于下风。

其次在威胁处置方面,传统的安全防御体系,构筑在拓扑中不同的部署位置,已经从单点部署演进到了分层部署阶段。但是分层部署的方案,仍然不足以解决高级威胁需要在长时间、全空间才能发现的安全风险。对于安全事件的响应只能够各自为战,对于同一网络内的威胁,比如某台终端中了勒索软件病毒,其他网络中的终端,如果不是同一安全设备防御的,无法快速感知并迅速获得免疫能力。

第三,运维的复杂性也渐成为安全管理的障碍,过去对于安全网元的管理,通常是通过网管或者SDN控制器来进行。网管主要所做的为配置管理、性能管理、计费管理、告警管理及简单安全业务管理。通常通过命令行(CLI)或网关协议SNMP等来通信,其中SNMP需要IT人员特别了解安全特性对应的MIB节点信息,各个厂家的标准也不统一,因而学习成本很高、配置依赖手工、易用性较差。

基于AI技术的华为智能软件定义安全(SDSec)解决方案

所以,被苦恼缠身的CSO对安全方案也有了新的诉求,即:从被动防御到主动防御;从单点防御到全网协防;从人工运维到智能运维。

针对如此状况,华为在全联接大会期间发布智能软件定义安全(SDSec)解决方案,首次在软件定义安全领域引入智能理念,从而实现“检测智能”、“处置智能”和“运维智能”。

攻易守难?不妨借助AI与软件定义安全来个“剧情”反转

华为交换机与企业网关产品线安全网关领域总经理宋端智

华为交换机与企业网关产品线安全网关领域总经理宋端智表示,“华为智能软件定义安全解决方案,通过基于AI技术的威胁检测、软件定义网络与安全的联动防御以及安全策略智能调优,帮助企业在数字化转型的道路上防患于未然。”

在检测智能方面,华为基于深度神经网络技术,将威胁判断从一条直线扩展到类似人脑神经网络的多维立体空间,在高维度多拐点的样本空间里,可以实现对“黑白”样本的更精细判断。即便是针对加密流量,也可在不解密的条件下,通过流探针提取报文特征(例如报文长度分布,时间分布),上报给CIS大数据分析平台进行学习训练后,也能检测其是否含有恶意威胁。此外,华为通过在Hypervisor层预设内存物理页面的保护属性,从而具备天然免疫主机躲避。MTTD(平均检测时间)由业界平均水平84天下降到1天,威胁综合检出率提升至95%以上。

在处置智能方面,华为在控制器层可以实现对网络(交换、路由等)、安全(防火墙、IPS等)以及第三方(终端、探针等)上安全能力的统一调度管理,依托华为自身端到端产品和解决方案的完整性,可以提供给用户一体、可视、全局的体验。MTTR(平均响应时间)由业界平均水平7天下降到1天。

在运维智能方面,华为通过联动SDN控制器进行安全拓扑发现,动态识别业务变化,并实现业务策略自动映射到安全策略,以及对策略冗余度(有没有重复和交叉)、命中率(有没有使用)进行分析,部署(上线、变更、下线)时间从天->分钟级,节省人力50%;通过聚类算法机器学习,可视化应用和应用分组“业务画像”,将业务应用和安全策略自动关联,实现安全业务可视化,并自动比对原有策略和实时调优。

攻易守难?不妨借助AI与软件定义安全来个“剧情”反转

SDSec三层架构:“大脑、中枢神经、四肢”协同联动

华为SDSec解决方案,由软硬件下一代防火墙、入侵防御检测系统、DDoS攻击防御系统、沙箱、大数据智能安全分析系统、SDN控制器,以及全新发布的安全控制器SecoManager组成。如果以人的视角,SDSec由三层架构组成。

攻易守难?不妨借助AI与软件定义安全来个“剧情”反转

分析器:相当于“大脑”以大数据智能安全分析系统(CIS,CyberSecurity Intelligent System)为核心组件,该组件具备对包括APT高级可持续威胁在内的各类安全威胁,可基于大数据、AI技术进行精准检测、态势感知、Kill-Chain溯源等。辅助的分析器还包括华为FireHunter沙箱,能够实现50余种常见文件类型检测,基于动态行为的捕获和学习,可实现对“灰色”文件的判断,并联动执行器进行智能处置。

控制器:相当于“中枢神经”,以SecoManager安全控制器为核心组件。该组件定位于面向多租户的全生命周期安全策略管理、业务编排。可以获取SDN控制器拓扑和资源管理输入,结合分析器的智能检测结果,以及从采集器中收集的数据,对执行器进行业务管理和策略优化。

执行器(采集器):相当于“四肢”,执行器/采集器主要负责安全防御动作的采集上报和执行。上报的形式可能包括日志、事件、Metadata、NetFlow、漏洞、信誉等等,执行的动作可能包括告警、阻断、报表呈现、短信通知等等。执行器/采集器包括三种主要形态:以交换机、路由器为代表的数通网元,以防火墙为代表的专业安全网元,以及以探针为代表的第三方网元。

所以,通过引入AI技术,华为SDSec带来的价值十分明显:将传统数以天计的MTTD和MTTR降低至小时级,并可实现万条安全策略的分钟级部署。这恰恰也消除了开文谈到的CSO面临的烦恼,让“攻易守难”来个大反转。

来源:至顶网安全频道

0赞

好文章,需要你的鼓励

2017

10/23

12:31

分享

点赞

邮件订阅
白皮书