數(shù)據(jù)驅(qū)動 協(xié)同致勝
——專訪360企業(yè)安全集團(tuán)副總裁王偉

隨著國家關(guān)于信息安全的政策不斷加碼，并將其上升到戰(zhàn)略層面，我國信息安全產(chǎn)業(yè)逐漸覺醒，相關(guān)廠商不斷研發(fā)新技術(shù)，保證信息安全措施落到實(shí)效。目前，大數(shù)據(jù)安全分析已成為全球信息安全發(fā)展的趨勢和方向，各廠商也不斷推出基于大數(shù)據(jù)的安全產(chǎn)品。360總裁齊向東更是提出，協(xié)同聯(lián)動將成為網(wǎng)絡(luò)安全標(biāo)配。

如何理解大數(shù)據(jù)安全？360的協(xié)同聯(lián)動是什么樣的？360又是如何幫助用戶實(shí)現(xiàn)大數(shù)據(jù)安全的？帶著這些問題，近日，本刊記者專訪了360企業(yè)安全集團(tuán)副總裁王偉先生。

安全產(chǎn)品走向“漸廣”

圖1 360企業(yè)安全集團(tuán)副總裁王偉

過去，每個安全產(chǎn)品都是一個獨(dú)立的信息孤島，而產(chǎn)品就像研究人員，他們利用顯微鏡不斷挖掘、發(fā)現(xiàn)更加細(xì)微的危險，這種方式稱之為“漸微”。王偉表示， “漸微”在已知威脅的情況下比較有效，而現(xiàn)在的大數(shù)據(jù)安全則提供了一條“漸廣”的道路?！皾u廣”的基石在于海量的終端數(shù)據(jù)，通過將多維、異構(gòu)的數(shù)據(jù)關(guān)聯(lián)在一起，就有可能從中發(fā)現(xiàn)有問題的顆粒。這些顆粒有可能是由安全分析人員確定的、有可能是機(jī)器學(xué)習(xí)得來的、也有可能是用戶自己提交的，再將這些有問題的顆粒分享到安全設(shè)備或者安全產(chǎn)品上，進(jìn)行數(shù)據(jù)關(guān)聯(lián)，就能夠得到確定的數(shù)據(jù)結(jié)果。

圖2 360安全協(xié)同的不同維度

王偉認(rèn)為，“漸微”和“漸廣”在未來應(yīng)該是結(jié)合的，因?yàn)樵谛滦蝿菹拢^去的防御措施已經(jīng)不再有效，需要通過新的技術(shù)提高發(fā)現(xiàn)未知的能力。

以數(shù)據(jù)驅(qū)動為本

單打獨(dú)斗已經(jīng)不適合目前的網(wǎng)絡(luò)安全戰(zhàn)場，需要更多的是協(xié)同，360也提出了協(xié)同聯(lián)動的概念，包括數(shù)據(jù)協(xié)同、智能協(xié)同和產(chǎn)業(yè)協(xié)同。

其中，數(shù)據(jù)的協(xié)同分為量級協(xié)同、異構(gòu)協(xié)同和云地協(xié)同。據(jù)王偉透露，360擁有PB級的數(shù)據(jù)數(shù)量，不僅如此，還擁有5-6億的PC端用戶、7億的安卓手機(jī)端用戶，他們能夠源源不斷地生成新的數(shù)據(jù)。如此海量的、多維的、異構(gòu)的數(shù)據(jù)，提高了機(jī)器的學(xué)習(xí)能力，也提高了發(fā)現(xiàn)異常的能力。

其實(shí)，除前面提到的“漸微”、“漸廣”的能力之外，大數(shù)據(jù)安全還提供了數(shù)據(jù)拓展、安全分析拓展的能力，這些都體現(xiàn)在了異構(gòu)協(xié)同上。

異構(gòu)協(xié)同，就是指基于多維數(shù)據(jù)，將分散各點(diǎn)的關(guān)系找到。例如，可以根據(jù)一個URL找到其注冊者，若該URL確定是惡意URL，那么該注冊者的其他域名也有可能是有惡意的。其實(shí)，域名僅是異構(gòu)其中的一個維度，另外還有注冊人、QQ號、郵箱等等，可通過搜尋信息將這些數(shù)據(jù)組合在一起，成為一張數(shù)據(jù)網(wǎng)格。

過去的產(chǎn)品在出廠的時候已經(jīng)既定了計算能力，而現(xiàn)在，云端有海量的數(shù)據(jù)，并且能夠無限擴(kuò)展，這是單一設(shè)備無法做到的。王偉表示，360可以把云的能力和本地設(shè)備的能力集成在一起，生成數(shù)據(jù)，進(jìn)行數(shù)據(jù)加工，然后進(jìn)行交換和同步。設(shè)備端能夠?qū)z測到的數(shù)據(jù)送到云端做分析（例如云查殺），云端經(jīng)過安全人員運(yùn)維、機(jī)器學(xué)習(xí)已經(jīng)確定了的情報也可以推送到設(shè)備。

相比前兩種協(xié)同，王偉表示，云地協(xié)同更貼近企業(yè)安全管理員，因?yàn)樗麄冃枰紤]購買設(shè)備的廠家能否提供云端擴(kuò)展的服務(wù)，這個設(shè)備的可擴(kuò)展能力和安全監(jiān)測能力到底如何等等。

王偉表示，360所有的安全產(chǎn)品都是數(shù)據(jù)的生產(chǎn)者，在完成本身性能的同時能夠產(chǎn)生有商業(yè)價值的數(shù)據(jù)，這些數(shù)據(jù)再匯聚到大數(shù)據(jù)平臺（公有云或者本地大數(shù)據(jù)平臺）上。目前，360的終端產(chǎn)品、天擎、天眼大數(shù)據(jù)平臺，和云端的威脅情報中心幾者之間已經(jīng)打通。

人與機(jī)器相交互

智能協(xié)同分成三個部分，分別是機(jī)器與機(jī)器間的協(xié)同、人與人的協(xié)同和人與機(jī)器的協(xié)同。

機(jī)器與機(jī)器間的協(xié)同指的是產(chǎn)品要一體化設(shè)計，這不僅僅是數(shù)據(jù)接口的問題。因?yàn)橐慌_機(jī)器在什么情況下能夠生成消息、這個消息的可信度是多少、別的機(jī)器要怎樣接收這個消息，這些都需要協(xié)同。王偉表示，在機(jī)器與機(jī)器間的協(xié)同方面，還有很長的路要走。

在人與人的協(xié)同方面，360推出了企業(yè)SRC。王偉表示，如果用戶購買了360的補(bǔ)天產(chǎn)品，其實(shí)就是購買了360為其量身定制的應(yīng)急響應(yīng)服務(wù)，360會調(diào)集資源尋找安全服務(wù)商給企業(yè)尋找漏洞，并只將信息提供給該企業(yè)。

第三個是人與機(jī)器的協(xié)同。在這方面，360能夠提供可視化的、基于大數(shù)據(jù)的安全分析平臺，就是天眼。人與機(jī)器的協(xié)同，是指結(jié)果不是機(jī)器算出來的，而是經(jīng)過安全人員思考之后去觸發(fā)分析，機(jī)器只是從后臺將這些分析數(shù)據(jù)搜尋出來，再提供給安全人員進(jìn)行分析，如此不斷循環(huán)，最后找到全局全貌，推送給本地設(shè)備。用戶能夠?qū)⑦@些情報轉(zhuǎn)換為自己所用，比如防火墻，將其納入防控規(guī)則的變量。當(dāng)惡意樣本數(shù)量較多的時候，需要描繪出一個龐大的安全網(wǎng)，但是一個人或者一臺機(jī)器的力量是有限的。因此天眼產(chǎn)品支持多路人員使用，每個人只需分析其中一小塊兒，再將結(jié)果融合在一起。

而對于產(chǎn)業(yè)協(xié)同，王偉表示，產(chǎn)業(yè)協(xié)同其實(shí)就是信任開放，能力互補(bǔ)。360可以提供大數(shù)據(jù)平臺，并且開放接口，目前也正在招募具有開發(fā)能力的安全服務(wù)商，因?yàn)樗麄兏私庥脩舻男枨螅梢岳脭?shù)據(jù)根據(jù)客戶業(yè)務(wù)特性進(jìn)行二次開發(fā)。