協(xié)同安全 數(shù)據(jù)創(chuàng)新
——360企業(yè)安全理念

近年來網(wǎng)絡(luò)安全形勢變得越來越復(fù)雜和嚴(yán)峻，企業(yè)網(wǎng)絡(luò)系統(tǒng)不斷被爆出存在攻擊漏洞，尤其是在金融領(lǐng)域，針對(duì)銀行的APT攻擊和DDoS攻擊等技術(shù)的改變更是有愈演愈烈之勢，關(guān)于金融及電信欺詐的態(tài)勢從年統(tǒng)計(jì)轉(zhuǎn)向月統(tǒng)計(jì)……

攻擊技術(shù)的改變，決定了傳統(tǒng)防御技術(shù)必須轉(zhuǎn)變?，F(xiàn)階段安全的核心思路是 “預(yù)防、預(yù)測”、“阻止、防護(hù)”、“檢測、監(jiān)控”“響應(yīng)、調(diào)查”。但目前制約安全檢測和響應(yīng)的問題則是：

1.安全數(shù)據(jù)不足：安全信息缺乏共享與安全信息不對(duì)稱導(dǎo)致檢測與響應(yīng)能力不足；

2.安全智能不足：安全智能匱乏導(dǎo)致無法有效檢測多步驟組合入侵行為與對(duì)APT攻擊的深度挖掘；

3.安全協(xié)作不足：產(chǎn)業(yè)界相互間信任不足導(dǎo)致缺乏檢測與響應(yīng)的協(xié)作，進(jìn)而失去了應(yīng)對(duì)攻擊的最佳時(shí)機(jī)。

圖1 360企業(yè)安全售前技術(shù)總監(jiān)葉皓彤在大會(huì)演講

針對(duì)數(shù)據(jù)的不足，需要有針對(duì)性數(shù)據(jù)分析的方法，數(shù)據(jù)能帶來什么？一次安全事件所利用的漏洞或者樣本，可能在互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)過。如何利用互聯(lián)網(wǎng)上的海量攻防數(shù)據(jù)，協(xié)助發(fā)現(xiàn)甚至預(yù)防安全威脅？惡意終端/系統(tǒng)必然有與正常的終端/系統(tǒng)相異的行為，單體安全設(shè)備沒有足夠數(shù)據(jù)無法比對(duì)分析，如何進(jìn)行全網(wǎng)的數(shù)據(jù)分析？攻擊鏈條復(fù)雜，僅針對(duì)某個(gè)終端或者某個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)的防護(hù)手段難以還原整個(gè)攻擊鏈條。

據(jù)Gartner分析，下一代安全防御及分析平臺(tái)應(yīng)當(dāng)具備對(duì)漏洞情報(bào)、威脅/攻擊情報(bào)及攻擊者/組織情報(bào)的分析能力。因此，與之相應(yīng)的需在用戶側(cè)形成輕量級(jí)大數(shù)據(jù)平臺(tái)，以記錄網(wǎng)絡(luò)與終端的相關(guān)信息，并結(jié)合威脅情報(bào)發(fā)現(xiàn)并回溯網(wǎng)內(nèi)安全威脅。在全網(wǎng)進(jìn)行數(shù)據(jù)收集、智能分析，即不再謀求在單體安全設(shè)備上完成對(duì)所有威脅的發(fā)現(xiàn)和響應(yīng)，轉(zhuǎn)向通過安全設(shè)備采集完整全網(wǎng)數(shù)據(jù)，大數(shù)據(jù)平臺(tái)應(yīng)當(dāng)可以滿足千億級(jí)別數(shù)據(jù)的快速分析，可保證對(duì)全網(wǎng)全量數(shù)據(jù)的采集需求。通過算法、模型等智能信息安全技術(shù)分析和識(shí)別網(wǎng)絡(luò)中安全威脅。

360企業(yè)安全針對(duì)數(shù)據(jù)、智能及協(xié)作的不足，建立起智能協(xié)同體系，360企業(yè)安全售前技術(shù)總監(jiān)葉皓彤(如圖1）介紹，通過終端與本地大數(shù)據(jù)平臺(tái)協(xié)同（EDR）審計(jì)、分析、發(fā)現(xiàn)、溯源，網(wǎng)關(guān)與本地大數(shù)據(jù)平臺(tái)協(xié)同（NDR）檢測、阻斷、溯源，以大數(shù)據(jù)思維建立威脅響應(yīng)平臺(tái)以及云端大數(shù)據(jù)安全服務(wù)。

360還針對(duì)協(xié)同聯(lián)動(dòng)建立了威脅情報(bào)中心、全球DDoS攻擊預(yù)警、全球網(wǎng)絡(luò)掃描及DDoS攻擊溯源。依靠自身擁有的海量用戶資源優(yōu)勢，并通過與眾多安全企業(yè)協(xié)同聯(lián)動(dòng)，共建安全+命運(yùn)共同體。