大數(shù)據(jù)分析：安全變革的下一個(gè)著力點(diǎn)

當(dāng)前的IT應(yīng)用背景是移動(dòng)和云的同步快速部署，企業(yè)邊界被打開，企業(yè)無法自身完成所有的安全防護(hù)，而需要IT供應(yīng)商、安全廠商共同幫助其在員工的個(gè)人設(shè)備、企業(yè)內(nèi)部及產(chǎn)業(yè)鏈上下游共同構(gòu)建安全防御和管理體系;同時(shí)在攻擊方式上，目標(biāo)導(dǎo)向型攻擊(ATT)和高級(jí)持續(xù)性攻擊(APT)正成為主要的攻擊手段。這兩種威脅目的性更強(qiáng)，且攻擊手法經(jīng)過精心設(shè)計(jì)，特征極難發(fā)現(xiàn)。企業(yè)對(duì)威脅的防御已經(jīng)不可能再是簡(jiǎn)單部署安全設(shè)備，發(fā)現(xiàn)并過濾符合特征的威脅。"數(shù)據(jù)分析師"而是要通過將各種安全防護(hù)手段和信息有機(jī)整合起來，一方面防止因新的IT漏洞和應(yīng)用方式(如移動(dòng)接入、個(gè)人應(yīng)用等)引入更多的安全風(fēng)險(xiǎn)，另一方面要對(duì)整個(gè)安全態(tài)勢(shì)做到統(tǒng)一可視及管理，在盡可能短的時(shí)間內(nèi)，發(fā)現(xiàn)已經(jīng)發(fā)生或潛在的安全問題，并采取措施保證高價(jià)值資產(chǎn)不被盜取或破換。

吳海濤談到企業(yè)在安全和風(fēng)險(xiǎn)管理上面臨著幾個(gè)嚴(yán)重挑戰(zhàn)，“一是缺乏端到端的企業(yè)整體安全解決方案;二是缺乏統(tǒng)一的安全防御模型，信息的共享與使用存在困難，不同系統(tǒng)之間在安全架構(gòu)與模型、信息通告、接口標(biāo)準(zhǔn)等方面缺乏統(tǒng)一與協(xié)作，導(dǎo)致雖然企業(yè)建立了多種安全防御系統(tǒng)，但攻擊仍然可以利用安全盲區(qū)發(fā)動(dòng);三是安全防御的成本急劇增加，攻防成本和效率失衡。用本次大會(huì)KeyNotes中的一句話來說就是：‘我們必須一直都是成功的，而黑客只需要成功一次就可以了?！?/span>

　　從RSA看安全產(chǎn)業(yè)的主要發(fā)展趨勢(shì)和創(chuàng)新焦點(diǎn)

本次RSA創(chuàng)新沙盤和KeyNotes應(yīng)該說是集中體現(xiàn)了當(dāng)前安全的主要發(fā)展趨勢(shì)和創(chuàng)新焦點(diǎn)，簡(jiǎn)單總結(jié)起來有如下幾個(gè)：

1、安全防御思想從以實(shí)時(shí)防御為重點(diǎn)走向?qū)Π踩珣B(tài)勢(shì)全面可視，綜合大數(shù)據(jù)安全分析進(jìn)行威脅和風(fēng)險(xiǎn)發(fā)現(xiàn)并采取針對(duì)性措施的全局性防御思路。很多廠商和組織都提出了要建立新的安全模型和協(xié)作機(jī)制，將整個(gè)基礎(chǔ)設(shè)施和應(yīng)用過程被納入智能安全分析的機(jī)制中來。

2、不再局限于基于特征的威脅發(fā)現(xiàn)方式，而是采用機(jī)器自學(xué)習(xí)機(jī)制，將安全設(shè)備放到客戶的實(shí)際應(yīng)用環(huán)境中，通過一段時(shí)間的自學(xué)習(xí)和優(yōu)化，建立起企業(yè)IT應(yīng)用的一個(gè)正常模型，一旦發(fā)現(xiàn)企業(yè)的流量或應(yīng)用特征違背了這個(gè)正常模型，則發(fā)出預(yù)警或執(zhí)行安全策略進(jìn)行防護(hù)。

3、策略部署自動(dòng)化。策略部署自動(dòng)化其實(shí)要求做到如下三點(diǎn)，第一是無縫、第二是統(tǒng)一、第三是自動(dòng)。即做到固定、移動(dòng)策略無縫、虛擬、物理環(huán)境策略無縫且統(tǒng)一管理。而且策略是動(dòng)態(tài)調(diào)整并自動(dòng)下發(fā)的。做到這一點(diǎn)就要求在架構(gòu)上對(duì)固定和移動(dòng)、物理和虛擬的網(wǎng)絡(luò)環(huán)境要做到統(tǒng)一的管理和可視，同時(shí)具備策略自動(dòng)化的機(jī)制。這也是開展未來基于云的安全服務(wù)的一項(xiàng)基礎(chǔ)性技術(shù)。

大數(shù)據(jù)分析技術(shù)用于安全分析可以說是今年的熱門話題，這不僅僅是在安全防御中又引入了一門新的安全技術(shù)，更重要的是它代表了防御思想的轉(zhuǎn)換。但是要建立真正的大數(shù)據(jù)分析并具備自己的控制點(diǎn)并不容易，吳海濤談到大數(shù)據(jù)安全分析要有幾個(gè)方面的能力：首先"數(shù)據(jù)分析師"是要有一個(gè)高效的大數(shù)據(jù)分析云平臺(tái);其次要掌握大數(shù)據(jù)分析模型與算法。這是一項(xiàng)核心技術(shù)。關(guān)聯(lián)分析引擎從傳統(tǒng)的SIEM時(shí)代就是具備一定門檻的東西，現(xiàn)在大數(shù)據(jù)分析要關(guān)聯(lián)的時(shí)間和空間尺度更大，更重要的是業(yè)務(wù)維度更多。如何整合這些信息將會(huì)成為所有有志發(fā)力于這個(gè)方向的第一個(gè)分水嶺;三是跨平臺(tái)、跨廠商異構(gòu)的信息收集機(jī)制和大數(shù)據(jù)來源。產(chǎn)業(yè)鏈的合作和整合能力一定會(huì)成為廠商間角力的另一個(gè)重點(diǎn)，而基于信息共享的協(xié)作是超越所有安全技術(shù)的合作。

　　重新定義的安全

隨著云、移動(dòng)趨勢(shì)的進(jìn)一步深入，安全廠商在提出解決方案時(shí)更加強(qiáng)調(diào)通過大數(shù)據(jù)分析技術(shù)來提供整體的安全智能分析和策略驅(qū)動(dòng)，強(qiáng)調(diào)在傳統(tǒng)、移動(dòng)和云環(huán)境下整體安全方案的無縫、可視與統(tǒng)一管理。吳海濤表示，這一切都彰顯了安全產(chǎn)業(yè)正在經(jīng)歷技術(shù)和理念的快速變革。

　　1、安全管理被提到一個(gè)非常重要的地位。通過管理實(shí)現(xiàn)安全產(chǎn)品間的統(tǒng)一可視、有效聯(lián)動(dòng)、策略自動(dòng)部署。這對(duì)改善用戶的易用性體驗(yàn)、安全感知以及運(yùn)維開銷是非常有幫助的。安全管理的水平已經(jīng)成為安全方案的核心競(jìng)爭(zhēng)力之一;

　　2、移動(dòng)及BYOD安全熱度下降，但方案走向成熟，應(yīng)用無關(guān)的安全隔離技術(shù)落地。移動(dòng)安全已經(jīng)成為安全方案中的必要環(huán)節(jié)。對(duì)于BYOD安全，VDI技術(shù)基本已不可見，移動(dòng)沙箱隔離技術(shù)似乎已成為安全廠商的共識(shí);

　　3、云數(shù)據(jù)中心安全方案落地;

　　RSA的一些啟示與思考

透過以上RSA見聞，吳海濤風(fēng)趣的談到，華為正走在正確的道路上。華為在安全上的總體思想是對(duì)的，第一，要實(shí)現(xiàn)全網(wǎng)的安全協(xié)同，即基于全網(wǎng)的安全分析與聯(lián)動(dòng)防御能力;第二，要基于SDN的思想，實(shí)現(xiàn)安全的自動(dòng)部署和策略自動(dòng)化;第三，通過組件化實(shí)現(xiàn)安全軟件和能力與安全硬件的解耦，讓安全產(chǎn)品具備更靈活的部署能力和更豐富的商業(yè)模式。

而對(duì)于這些全新的安全挑戰(zhàn)，吳海濤認(rèn)為有幾個(gè)問題值得重點(diǎn)關(guān)注和思考：首先是如何利用大數(shù)據(jù)構(gòu)建安全分析和態(tài)勢(shì)感知能力，尤其是如何在算法等核心技術(shù)上建立優(yōu)勢(shì);其次創(chuàng)建統(tǒng)一的智能安全模型，并更新自己的安全理念。要實(shí)現(xiàn)智能驅(qū)動(dòng)的安全方案，我們不僅僅是提供產(chǎn)品和方案，更重要的是通過現(xiàn)在的安全和網(wǎng)絡(luò)產(chǎn)品我們能夠提供什么信息，這些信息如何被數(shù)據(jù)分析師處理和分析并最終提供有效的防御，這決定了我們未來的安全方案架構(gòu)、接口標(biāo)準(zhǔn)、產(chǎn)業(yè)鏈合作方向;三是覆蓋方案完整性的產(chǎn)業(yè)鏈協(xié)作的合作體系建設(shè)。在未來，廠商的研發(fā)能力加上廠商能提供的合作伙伴協(xié)作能力才是交付給用戶的最核心競(jìng)爭(zhēng)力!