针对网络空间安全的态势感知,范渊认为,就是对网络状态发生变化的要素进行获取、理解、显示和预测。具体来说,一是具备全要素数据的采集能力。因为面对网络安全的威胁,攻与防呈现出明显的不平衡,所以必须要对每一块的数据拥有采集能力,否则漏掉任何一块就有可能导致重大问题。
二是全方位感知和检测能力。这里有两个核心的要素,即能力要素和性能要素。三个是APT(高持续性威胁)深度流量分析能力。比如,某市发现有木马病毒的高频攻击,通过ATP分析迅速定位,最终三个人组成的非法黑产团伙被查获。
除了对全网的感知、分析、防控等能力外,还有就是外部威胁情报能力。比如,当发现某个IP正在攻击,需要对其进行判断,包括过去在很多库里的暗链、漏洞、指纹等,可以将其称之为“数据大脑”。
另外,还有一个是大数据的分析关联能力。大数据本身不产生价值,但是它提炼过程便产生了价值,在安全方面也是一样;目前,人工智能、机器学习、深度学习不断发展,但随着现在大数据真正能力的完善,使得在安全上的价值开始真正的实战化。
●叶晓虎:
企业安全是动态过程,需要持续监控分析
互联网技术发展给传统金融业带来了一股新风,在推动其创新变革的同时,其外部安全形势也日趋复杂和严峻。“2017年上半年,从攻击源的角度看,60%的攻击源来自GDP排名前十的国家。”绿盟科技高级副总裁叶晓虎说。
叶晓虎认为,从网络安全的角度来看,网络攻击活跃、勒索事件频发,勒索产业也日趋成熟,勒索软件发展的数量越来越多,并且出现了利用系统漏洞进行自动传播的趋势;另外,物联网终端的设备数量呈爆炸式增长,黑客一定会利用物联网终端的安全问题发动攻击。
面对越来越复杂的威胁与挑战,企业安全体系如何构建?“十多年前,我们觉得部署几台设备和一些规则就可以了,但是实践证明现在不可行。安全不是静态的,而是一个动态的过程,需要持续的监控与分析。因此,要把日常工作中产生的数据积累起来,并对这些数据进行持续的监控与分析,以这些数据为基础,建设包括态势感知、综合防御、预警监控、应急处置、协同运营等多种能力。”叶晓虎说。
传统企业和安全厂家如何更好地协同运营?叶晓虎认为,首先要改变对服务的观念,改变预算的决策机制和结构;第二是企业需要将安全运营能力和开发进行整合;第三攻防本质是对抗,对抗的背后是攻防双方的能力的较量,安全厂家需要积累更深厚的安全能力,才能够有效提升对抗水平和速度。