以平台和流量为代表的消费互联网时代正在离我们远去,而作为“互联网下半场”的产业互联网时代已经来临。随着大数据、云计算、人工智能等为代表的新技术逐渐成为驱动社会发展的新动能,而由此衍生的网络安全问题则已成为影响各国发展的重要问题。针对这种情况,亚信安全副总裁刘政平在第七届互联网安全大会(ISC 2019)上,提出“从实战出发提升网络安全的检测与响应能力”,得到了与会嘉宾的广泛赞同。
【亚信安全副总裁刘政平】
产业互联网时代,网络安全应从实战出发
在产业互联网时代,网络安全的战场从网络和操作系统,转移到了“云大物移智+5G”,对手则从个体黑客越来越多的演变到黑产和国家间对抗,勒索软件、挖矿病毒等新型的网络安全威胁通过定向、可持续的方式对于企业的数据资产带来了越来越严重的挑战。同时,网络安全法、等保2.0等法律法规也要求企业更加重视网络安全保护,并建立应急预案、应急演练和应急处置能力。
为应对不断变化的网络安全需求,亚信安全副总裁刘政平表示:“相关组织、机构应该建立以身份为基础、以攻防为视角、以联动为策略、以运维为关键,构建从实战出发的多层次防御体系。在安全运营能力建设方面,用户可以从‘侦测、分析、响应、防御’这四个阶段入手,打造统一的安全管理平台,以适应防护变化的要求,及时洞悉安全威胁的产生与传播,并作出及时响应,防止信息资产被非法访问或外泄。”
精密编排,打造未来安全
伴随着5G时代的来临,以及网络技术的不断创新,应用逐级深化的速度和广度将大大超过以往,网络病毒、黑客攻击、信息泄露等信息安全问题的影响范围和破坏程度也将更加惊人,这给个人、企业、社会乃至国家安全造成了极大的威胁。提升网络安全的检测与响应能力,是新时代对未来安全的重要要求。
在此背景下,自适应安全架构成为应对网络安全风险的关键所在。刘政平建议企业构建基于XDR的威胁检测与应急响应体系,XDR战略包括“准备、发现、分析、遏制、消除、恢复、优化”7个阶段,通过网络深度威胁发现、未知威胁分析、终端响应及阻断、网络威胁阻断和威胁情报平台,实现多产品间的智能安全联动,以精密编排提升事件响应能力。
而对于XDR落地的关键,可归纳为三个核心要素:标准的预案、专业的调查工具、安全响应专家。
1、标准的预案
从亚信安全协助用户做出的大量应急响应预案来看,预案针对每一种类型的黑客攻击,都采取了XDR的7个阶段,进而来确定用户碰到不同的威胁类型的时候该怎么处置。
例如,很多企业发生过终端主机和网络流量异常的情况,但是普通用户层面却没有感受到明显的网络攻击现象。在这个时候,XDR的方法是获取威胁数据,把数据集中到本地威胁情报和云端威胁情报做分析,通过分析黑客进攻的时间、路径、工具等所有细节,其特征提取出来,再进行遏制、清除、恢复和优化。
2、专业的调查工具
高效、精准的应急响应需要专业的工具和设备支撑,这些设备能够在网络层面、服务器和终端内核层面发现异常现象,这是确保查清楚黑客到底做了什么、目的是什么,通过什么方式的关键。
这些专业工具包括:高级威胁终端及主机检测系统OSCE/DS、终端及主机存取证系统CTDI、高级威胁网络检测系统TDA、高级威胁网络存取证系统TRA,高级威胁情报系统TIP、高级威胁分析设备DDAN、高级威胁综合取证验伤分析系统UAP,以及本地和云端威胁情报的“双回路”机制都是方案中极为重要的工具,它们在精密编排的预案下联动工作,使得各个安全节点可以对APT定向攻击、勒索软件等高级攻击的特征行为进行发现、收集、分析和响应。
其中,亚信安全的EDR还采用了动态调查和审计技术DIA(Dynamic Investigation & Audit),通过云端和本地威胁情报“双回路”、沙盒分析、网络取证、终端取证、大数据关联分析等技术手段,基于网络和终端对黑客行为进行抓取分析,确保了取证内容的司法有效性和企业违规操作内控审计的准确性。
3、MDR高级安全专家服务
成功的XDR应用离不开专业化高级安全专家服务。与传统MSSP主要帮客户提供安全运维和一般性安全事件响应不同,亚信安全MDR的本质是以攻防为核心的高级安全专家服务,该服务旨在主要帮助重点行业的重要客户,为保护核心资产应对定向攻击(Targeted Attack)。亚信安全MDR是XDR圣诞树体系中最顶端的星星,是“检测”到“响应”的所有技术和能力支撑中对攻防Know-How要求最高的一个环节,它是厂商能力的基石,是客户的最后一道防线。
亚信安全是中国网络安全产业领跑者,在身份安全、APT治理、态势感知、大数据安全、云安全等核心领域具有全球领先优势,并广泛服务于关键基础设施领域超过5万家机构。亚信安全将以核心技术为依托,不断优化安全产品、服务与解决方案,护航产业互联网,助力清朗网络空间。