不久前�,360網(wǎng)神曾經(jīng)以“芯動力 新未來”為主題,舉辦過一次威脅情報驅(qū)動的安全產(chǎn)品發(fā)布會���,推出了新一代威脅感知系統(tǒng)、新一代終端安全系統(tǒng)和新一代大數(shù)據(jù)智慧防火墻����。
不久前,360網(wǎng)神曾經(jīng)以“芯動力 新未來”為主題��,舉辦過一次威脅情報驅(qū)動的安全產(chǎn)品發(fā)布會�,推出了新一代威脅感知系統(tǒng)、新一代終端安全系統(tǒng)和新一代大數(shù)據(jù)智慧防火墻��。
看起來確實夠新����,以致于要連說三遍“新一代”。日前�����,佩刀客接到邀請��,到360大廈參與了對360企業(yè)安全集團總裁吳云坤的專訪��,再次得以從更加深入的層次和更加全面的角度����,審視360企業(yè)安全集團的產(chǎn)品和戰(zhàn)略演進����。
檢測響應(yīng) 威脅情報
與之前的某次會面一樣��,吳云坤的話題仍是從“檢測與響應(yīng)”和“威脅情報”開始���,這也是自今年RSA大會之后各方顯著提及的兩大熱門名詞。
360企業(yè)安全集團總裁吳云坤
首先來說“檢測與響應(yīng)”�����。對做安全的人士來說�����,這幾乎是大家十幾年來一直在做的事情��,為什么還要格外提出這個詞呢?主要是因為一些高級威脅的出現(xiàn)�����,過去圍墻式的防御模式���,對于此類高級威脅來說�����,已經(jīng)捉襟見肘���。很多企業(yè)可能還沒意識到��,然而不知道并不代表沒有發(fā)生�����,它可能只是處于潛伏中���,隨時都可能從沉睡中蘇醒過來反噬一口。
至于“威脅情報”�����,它的產(chǎn)生其實正是應(yīng)對如上所說的高級威脅應(yīng)運而生的�,它改變了過去傳統(tǒng)的基于漏洞或是基于規(guī)則的防護,能夠動態(tài)�、即時地解決新的風險和威脅。
然而���,威脅情報的enable必須建立在如下的條件下:
其一���,大數(shù)據(jù)的采集能力���。譬如,今天有線報表明有人會來攻擊��,但假若沒有內(nèi)網(wǎng)數(shù)據(jù)����,用戶根本不會知道是不是在內(nèi)網(wǎng)發(fā)生��,因此第一個要解決的問題是威脅情報要發(fā)生作用����,做好數(shù)據(jù)的留存,這種留存不是過去的告警留存��,而是終端的���、網(wǎng)絡(luò)的�����,甚至是資產(chǎn)的乃至企業(yè)級的各種原始數(shù)據(jù)����。
其二,全量數(shù)據(jù)的采集和存儲的能力���。數(shù)據(jù)留存下來以后���,威脅情報就開始發(fā)揮作用,而它要發(fā)揮作用��,就必須擁有全量數(shù)據(jù)的采集和存儲能力�����,這個的背景實際上就是大數(shù)據(jù)技術(shù)�����。
其三�,基于威脅情報做檢測。過去的響應(yīng)動作都是人工的�����,而威脅情報的特點是基于它來做響應(yīng),這就需要一些安全基礎(chǔ)設(shè)施發(fā)揮作用��,并且是自動化的處理���,它不是設(shè)備聯(lián)動�����,而是對所有接受情報的設(shè)備���,它都能遵循情報完成一些動作,自動化或者半自動化地加以響應(yīng)���。
吳云坤指出,檢測響應(yīng)是第一個關(guān)鍵點的變化����,第二個則是威脅情報。不過威脅情報好用與否���,取決于數(shù)據(jù)能否收下來以及情報響應(yīng)能否由設(shè)備來完成�。
他表示����,360推出的威脅情報驅(qū)動的產(chǎn)品����,解決了三個問題:首先是高級威脅的檢測與響應(yīng)問題�����,這也是最主要的目標;其次�,它要能夠計劃于威脅情報做出自動化響應(yīng);最后,它與大數(shù)據(jù)的結(jié)合�����,能夠達到實時性防護和檢測�,能夠真正發(fā)揮作用。
因為卓越 所以不同
天眼��、天擎����、天堤之類的產(chǎn)品過去就有了,那么它們與此前有什么不同呢?
360網(wǎng)神副總裁張聰表示��,終端安全發(fā)展到現(xiàn)在,僅僅被終端安全軟件檢測出來是不夠的���。像以前的殺毒和防火墻做得攔截���,然后把告警發(fā)送出來的模式,其實只有一次機會���,就只有在有害文件落地的一刻�����,或者在攻擊網(wǎng)絡(luò)鏈接發(fā)起的一刻��,它能夠做一次檢測��,但是這種檢測能力其實是非常有限的�。
360要做的���,是不再考慮在那一瞬間的攔截和檢測,而是對之進行全程的控制���,即便起初無法攔截�����,但是依舊可以進行密切監(jiān)控����,并快速找尋其馬腳,檢測機制就可以進行報警�。
與過去相比,這是一個倒置的過程��,但是它真正實現(xiàn)了質(zhì)的變化�����,對企業(yè)安全來說意義重大����。
吳云坤進一步指出,新產(chǎn)品能夠?qū)⒔K端響應(yīng)的數(shù)據(jù)統(tǒng)統(tǒng)拿回來����,譬如快照數(shù)據(jù)、日志數(shù)據(jù)等等��。以前在文件落地的時候�����,能檢測到當然是好事一樁,然而檢測不到也沒辦法���,原有的機制決定了這一點�����。
在新的機制下�����,用戶借助360產(chǎn)品的情報��,能夠查出一年前中招的點���,譬如某樣本被最新情報驗證是惡意樣本,通過一年來的數(shù)據(jù)關(guān)聯(lián)����,用戶可以了解到有關(guān)該樣本的一切。
此外����,以前所有的響應(yīng)動作,就是殺毒有告警����,然后做處置,這是一個正常的響應(yīng)動作���,它完全依賴于規(guī)則下發(fā)時候產(chǎn)生的問題?�,F(xiàn)在發(fā)生了改變��,情報報告說發(fā)現(xiàn)了一個高級威脅文件��,用戶要做的就是停止進程�,但別殺這個文件���,這是情報會告訴用戶的響應(yīng)動作����。
舉例而言���,目前有A木馬和B木馬���,情報做的響應(yīng)動作可能會有所不同��,比如對A木馬要殺掉�,還要停止其他某個進程���,對B木馬還要殺除它可能釋放的其他進程���。諸如此類的響應(yīng)動作,是360新產(chǎn)品的關(guān)鍵點之一���,它和過去基于規(guī)則的匹配完全不一樣�。
溯本追源 迎接改變
顯然�����,在這種新的模式下��,威脅情報的獲取成為最重要的因素���。
吳云坤表示���,360自身就有強大的威脅情報產(chǎn)生能力,通過大數(shù)據(jù)�����,360時時刻刻都能獲得大量的威脅情報,并通過四萬多臺機器存儲和分析這些安全數(shù)據(jù)���,產(chǎn)生情報。
他告訴我們�,360在云端具有萬億級的效率,能夠把客戶本地進行存儲���、分析和計算�,支持的查詢次數(shù)是5000億/每秒����,能夠在研究數(shù)據(jù)之間進行充分的查詢,譬如通過各種關(guān)聯(lián)關(guān)系找到異常狀況�。類似這樣的情況對360來說,也是一種數(shù)據(jù)分析的能力���,還包括思維的轉(zhuǎn)換�,這也是真正的大數(shù)據(jù)會生長出來的“果實”���。
360在看細節(jié)數(shù)據(jù)方面的能力�,也非常強大。無論是沙箱��,還是動態(tài)的�、靜態(tài)的,或是包括這個過程中涉及到像URL之類的���,360云端都有云查的響應(yīng)庫����。最新產(chǎn)品里增加的是數(shù)據(jù)與數(shù)據(jù)之間關(guān)聯(lián)性的問題�����,這也就是360的分析能力��。
從采集開始到存儲到分析����,360的新產(chǎn)品具有非常鮮明的大數(shù)據(jù)特征。威脅情報只是數(shù)據(jù)的一種��,關(guān)聯(lián)分析也是�����,通過云管端的產(chǎn)品體系,以及云地結(jié)合的模式�����,360通過“威脅情報驅(qū)動”在表明正在做的事情���。
吳云坤指出,360的威脅情報來源主要有四種:①商業(yè)的威脅情報;②開源的威脅情報;③協(xié)作類威脅情報�,比如美國、澳洲��、英國之間協(xié)作性的情報;④內(nèi)部威脅情報����。
吳云坤笑稱,他現(xiàn)在講安全公司分為兩種類型����,第一種是有威脅情報生產(chǎn)能力的,另一種則無����。有威脅情報生產(chǎn)能力的也可以分為幾個類別:①基于外部數(shù)據(jù)做一些挖掘的,它自己沒有數(shù)據(jù)�,比如說用VT或者用一些購買的數(shù)據(jù);②有自己本身的數(shù)據(jù)來采集挖掘的�����,過去很多做殺毒的廠商其實都有一定的數(shù)據(jù)來做��。不過即便是有威脅情報生產(chǎn)能力的公司��,它要讓威脅情報發(fā)生作用�����,也必須有基礎(chǔ)設(shè)施�。沒有基礎(chǔ)設(shè)施���,它就是有線報和情報�����,用戶也不知道該怎么使用���。
吳云坤堅信,大數(shù)據(jù)必將改變企業(yè)安全領(lǐng)域的商業(yè)模式��,它不僅可以催生新的模式,也將提供全新的平臺和機遇����,通過數(shù)據(jù)模式、云端服務(wù)改變市場���,這一市場終將發(fā)生深刻的變化�。
