在安全形势不断恶化的今天,众多用户经常面临网络攻击的威胁,虽然用户的安全管理人员已经在网络中的各个位置部署了大量的安全设备,但仍然会有高级威胁绕过所有传统防护直达组织网络内部,对重要数据资产进行窃取、篡改或破坏,给组织带来重大损失。
随着IT系统的快速发展变化,网络规模和数据量越来越大,基础网络架构中边界越来越“模糊”,传统依靠于“城墙式的防护体系”与“基于特征检测的方式”无法有效解决目前安全问题,急需技术与思路解决目前面临的安全挑战。
业务挑战
安全防护设备之前缺乏联动
传统安全体系统中根据业务应用的差异在不同的区域部署相应的防护设备,如网络出口部署防护墙、入侵检测,Web服务器区前部署Web防火墙,终端部署管控与杀毒等,但是安全设备之前并没有相互联动能力,导致无法协同处置安全问题。
安全投入无法体现业务价值
信息化在给企业带来高效率的同时,也带来了高风险,对于网络的安全防护变成了一些必须要进行的工作,并且安全防护的建设是一项持续的工程,每年都需要投入,安全手段的建设都是“默默”的工作,无法体现在业务的收益上,无法直观的看到,同时由于过去建设过程中针对不同的业务系统进行针对性的防护无法有效的体现出整体安全的提升。
忽略安全分析人员使用效率
过去的系统建设更多考虑从数据中直接看到结果,在实际业务场景中更多应该由安全分析人员综合各类系统、工具所产生的结果进行深度分析和综合研判,过去这类帮助分析人员的分析工具或产品严重缺失,造成过度依赖于专家力量,无法形成阶梯化的团队力量,保障整个业务的安全稳定发展。
企业大数据未能有效应用
随着各行各业大数据技术的有效应用,在攻防对抗的背景下,大数据技术能够有效改变目前攻防倒置的现象,不仅仅在于大规模数据的存储与计算,更重要的是如何利用大数据技术中数据挖掘与可视化等技术,服务于日常安全防护业务工作。目前安全行业的厂商在现有产品或系统上依然未能突破过去的思路,未能有效利用大数据技术改造现有的技术与产品。
检测与发现手段依然单一安全检测中有效发现QM或XM的可疑行为往往是业务工作的开端,过去的模式往往通过对被监控网络的流量还原得到会话或文件等内容,然后采用诸如沙箱技术、特征检测等传统异常检测方式,进而发现可疑的异常行为。这几种常见的检测方式如下:
1)基于虚拟执行的异常检测
2)基于行为特征的异常检测
3)基于黑域名或黑IP的检测
在异常行为发现环节中,其实需要多种方式的结合,但是如上的方式最大的特点都是需要获得特定样本后从其软件恶意行为、网络恶意行为或域名行为上来建立特征库,这就为整个异常检测工作带来较大的难度,毕竟样本的发现和捕获难度很大,且数量较少。另一方面,这些样本的获得往往都需要借助于部署在客户网络出口的分布式设备来获得,整个周期较长,也给类似特征库的建立带来了不小的麻烦。同时经常出现网络已经被入侵较长时间但没有感知到,被监管单位通报。
第三方情报数据严重不足
在过去业务工作中,更多依赖黑IP/域名进行发现,这些信息往往来自于行业内部的自主发现,外部威胁情报严重不足。不仅如此,业务工作中的分析、溯源、拓线等,目前依然依赖本地采集的数据,大部分集中在流量数据等,而威胁方基本都存活在互联网世界中,缺乏第三方情报数据,包括DNS、Whois、URL、样本MD5等多种互联网数据,只能造成业务工作处于被动。