自适应安全:认知黑客,不如认知自己
作者:刘沙 | 来源:计算机世界
2018-09-17
如果用有限的认知、有限的资源和有限的时间,去对抗无限的对手和无限的可能,那么安全注定会落后攻击一步。所以,"认知黑客,不如认知自己。"
如今,网络攻击已经被公认为是世界上仅次于极端天气和自然灾害的第三大威胁!
据Gartner发布的安全报告显示,2017年,中国企业检测到的信息安全事件比2015年增长了九倍,网络犯罪每年造成的经济损失高达5000亿美元。
业务数字化给企业安全提出新难题
事实上,在产业互联网和数字经济的浪潮下,业务数字化也在迅速发展,企业业务越来越复杂、多变,网络环境越来越开放、高效,且变化极快,数字资产成为了企业的核心资产……这一切都给企业安全带来了新的难题:
物理世界和虚拟世界之间已经打通,线上和线下的界限正在消失;固定的防御边界不复存在,企业难以防护,更容易遭到攻击,而且攻击更加致命,风险扩散的速度更快;网络攻击行为向分布化、规模化、复杂化的趋势发展;所有网络攻击都可以直接作用到物理空间,对物理世界造成伤害……
首先,企业传统主机安全的防护模式遇到越来越大的挑战,传统边界防火墙无法提供数据中心内部的安全保护,并缺乏应用之间的安全防护功能。黑客会以内部安全薄弱的设备为跳板,发起安全攻击,恶意软件可以通过内部流量快速感染其他主机,从一个应用传播到其他应用。
第二,数据中心结构快速变化。新业务通过预制备模板快速上线,虚拟应用实时迁移,IP地址频繁改变,导致大量处于休眠状态的虚拟主机可能随时开启。但传统基于静态的安全保护方式无法满足新一代数据中心要求。
第三,云安全管理环境越来越复杂。在物理机、虚拟机、私有云、公有云共存的时候,安全管理策略和安全防护能力需要全网统一,在复杂的云环境下如何实现统一安全管理也是个大问题。
显然,在这样的情况下,仅仅依靠防火墙、入侵检测、防病毒等单一的网络安全防护技术,已不能满足企业安全防护的需求;古代城堡式的网络安全体系,已经不能适应新兴木马病毒的攻击。而主要以邮件、程序木马、网页挂马形式传播的勒索病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
认知黑客,不如认知自己
那么,我们应该以何种视角和理念去应对日益严峻的挑战,去感知云时代的安全世界呢?
俗话说,知己知彼,方能百战不殆。但躲在暗处的黑客和攻击是无限的,我们对黑客和攻击的认知却是有限的。
"如果没有做过黑客,你就永远不能理解,为什么企业在黑客面前会如此不堪一击!"谈起自己在大学期间曾经做过黑客的历史,青藤云安全创始人&CEO张福毫不讳言,甚至对这段经历和自己毕业之后在正规企业里做安全研发建设的经历充满感激。"如果没有这两段经历,我不会从更高、更全面的层次去看待和认识黑客与安全。所以,直至现在,我们也对黑客怀有敬畏之心,抱着谦逊的心态,努力探索最基本的自保能力。"
张福认为,如果用有限的认知、有限的资源和有限的时间,去对抗无限的对手和无限的可能,那么安全注定会落后攻击一步。所以,"认知黑客,不如认知自己。"
如果能在企业业务运转的过程中生成很多内在指标,并且对这些指标进行持续的监控和分析,那么无论黑客使用了什么漏洞、工具和方法,都会引起这些指标的变化,从而被检测出来。"如果企业反应得足够及时,那么即使黑客来了,也施加不了实质的损害。这时企业的安全水准就不再依赖于对手,而是取决于对自己业务的认知。"张福补充到,这就是自适应安全的核心理念,也是青藤云安全感知的核心逻辑。
自适应安全,"润物细无声"
说起自适应安全理念,可以追溯到2014年,当时,Gartner针对高级别攻击和当时市场上的安全产品偏重防御和边界的问题,设计了一套自适应安全架构,让人们从防御和应急响应的思路中解放出来,加强相应的监测和响应能力,以及持续的监控和分析,同时也引入了全新的预测能力。2016年,自适应安全架构在全球范围内得到了广泛认可,很多安全公司的产品都针对此架构进行演进。在2016年的十大科技趋势中,自适应安全架构首次名列其中。这段时间就是自适应安全架构1.0时期。
2017年,Gartner自适应安全架构有了三点变化:加入了UEBA(用户和实体行为分析)相关内容,引入了大循环中的小循环体系,加入了合规和策略要求。自适应安全架构进入2.0时期:
2017年9月,Gartner颁布持续自适应风险与信任框架(CARTA),加入了认证体系。自适应安全架构从此进入3.0时期。
从这些发展过程可以看出,这四年来,自适应安全架构不断扩展内涵和外延,表现出了极大的生命力,无论是对安全建设方还是对安全厂商,都有很大的参考价值。安全建设方可以按此架构对整个组织的安全状况进行梳理,构建安全建设方案,尽量选择覆盖自适应能力更全的厂商来改善安全态势,而安全厂商可以根据此架构来规划功能和产品,不断增强和加深自适应的各项安全要求。
张福指出,与自适应安全的核心思想--敏捷处理不同,传统安全的核心思想是防御和控制,就像是建设一座城墙,希望把黑客阻挡在城墙外面,但黑客穿透城墙有很多种方式,"你眼中的城墙在黑客的眼中可能只是一个篱笆。"而且,企业的业务讲究发展,与安全讲究的控制是有些矛盾的。"我们不能沿着安全的老路走,我们要走一条新的道路,做到润物细无声,不要求企业做很多严格的控制,也不影响业务的发展。"
众生万相,终归本源
张福口中提到的"润物细无声的"安全产品,就是青藤万相·主机自适应安全平台。这款经过4年,150个版本迭代,230万行自研代码,4万个安全知识库打磨推出的产品采用的就是自适应安全架构,它致力于打造集防御、检测、响应和预测于一体的自适应安全闭环,以智能、集成和联动的方式应对各类攻击。
青藤云安全产品合伙人胡俊表示,产品的名字"万相",取自"众生万相,终归本源"。因为网络上的黑客虽然经常伪装成各种各样的身份和攻击的表象,但是他们最终的目标是归一的,就是偷走企业的数字资产、获取服务器的权限。青藤希望可以透过多重表象,发现攻击的本源,形成归一化的解决方案,提升企业的安全能力,让企业的正常业务回归"本源"。
据介绍,青藤的核心平台架构是以Workload为核心,通过对主机工作负载上的资产、状态、关键活动等进行感知,生成安全指标,通过对指标的持续分析、监控,发现安全威胁。而且,青藤Agent只需要一条命令就能在主机上完成安装,并自动适配各种物理机、虚拟机、公有云、私有云、混合云和容器云。现在青藤已经基于青藤万相·主机自适应安全平台自主研发出了资产清点、风险发现、入侵检测、合规基线及安全日志五大核心产品,并将在今年第四季度上线全新的Docker容器安全产品。
胡俊还向记者透露了几个关键数字:目前,青藤云安全的业务已经覆盖了银行、保险、证券、基金、互联网、政府等数十个领域,防护服务器超过百万台,青藤Agent已经在全国大型集团核心服务器中稳定不间断地运行了26000小时。
在采访的最后,张福告诉记者,作为自适应安全的引入者和践行者,成立仅四年的青藤云安全一直坚持技术和产品的创新,并多次获得资本青睐,多次刷新了安全创业公司的融资记录。”我们创业就是希望能把自己多年来对安全的理解表达出来,而最好的表达方式就是能被广大用户接受的产品。到目前为止,虽然没有任何一款安全产品能够做到100%有效,但我们的产品已经将黑客的入侵检测提升到了一个新高度!“
据Gartner发布的安全报告显示,2017年,中国企业检测到的信息安全事件比2015年增长了九倍,网络犯罪每年造成的经济损失高达5000亿美元。
业务数字化给企业安全提出新难题
事实上,在产业互联网和数字经济的浪潮下,业务数字化也在迅速发展,企业业务越来越复杂、多变,网络环境越来越开放、高效,且变化极快,数字资产成为了企业的核心资产……这一切都给企业安全带来了新的难题:
物理世界和虚拟世界之间已经打通,线上和线下的界限正在消失;固定的防御边界不复存在,企业难以防护,更容易遭到攻击,而且攻击更加致命,风险扩散的速度更快;网络攻击行为向分布化、规模化、复杂化的趋势发展;所有网络攻击都可以直接作用到物理空间,对物理世界造成伤害……
首先,企业传统主机安全的防护模式遇到越来越大的挑战,传统边界防火墙无法提供数据中心内部的安全保护,并缺乏应用之间的安全防护功能。黑客会以内部安全薄弱的设备为跳板,发起安全攻击,恶意软件可以通过内部流量快速感染其他主机,从一个应用传播到其他应用。
第二,数据中心结构快速变化。新业务通过预制备模板快速上线,虚拟应用实时迁移,IP地址频繁改变,导致大量处于休眠状态的虚拟主机可能随时开启。但传统基于静态的安全保护方式无法满足新一代数据中心要求。
第三,云安全管理环境越来越复杂。在物理机、虚拟机、私有云、公有云共存的时候,安全管理策略和安全防护能力需要全网统一,在复杂的云环境下如何实现统一安全管理也是个大问题。
显然,在这样的情况下,仅仅依靠防火墙、入侵检测、防病毒等单一的网络安全防护技术,已不能满足企业安全防护的需求;古代城堡式的网络安全体系,已经不能适应新兴木马病毒的攻击。而主要以邮件、程序木马、网页挂马形式传播的勒索病毒性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。
认知黑客,不如认知自己
那么,我们应该以何种视角和理念去应对日益严峻的挑战,去感知云时代的安全世界呢?
俗话说,知己知彼,方能百战不殆。但躲在暗处的黑客和攻击是无限的,我们对黑客和攻击的认知却是有限的。
"如果没有做过黑客,你就永远不能理解,为什么企业在黑客面前会如此不堪一击!"谈起自己在大学期间曾经做过黑客的历史,青藤云安全创始人&CEO张福毫不讳言,甚至对这段经历和自己毕业之后在正规企业里做安全研发建设的经历充满感激。"如果没有这两段经历,我不会从更高、更全面的层次去看待和认识黑客与安全。所以,直至现在,我们也对黑客怀有敬畏之心,抱着谦逊的心态,努力探索最基本的自保能力。"
张福认为,如果用有限的认知、有限的资源和有限的时间,去对抗无限的对手和无限的可能,那么安全注定会落后攻击一步。所以,"认知黑客,不如认知自己。"
如果能在企业业务运转的过程中生成很多内在指标,并且对这些指标进行持续的监控和分析,那么无论黑客使用了什么漏洞、工具和方法,都会引起这些指标的变化,从而被检测出来。"如果企业反应得足够及时,那么即使黑客来了,也施加不了实质的损害。这时企业的安全水准就不再依赖于对手,而是取决于对自己业务的认知。"张福补充到,这就是自适应安全的核心理念,也是青藤云安全感知的核心逻辑。
自适应安全,"润物细无声"
说起自适应安全理念,可以追溯到2014年,当时,Gartner针对高级别攻击和当时市场上的安全产品偏重防御和边界的问题,设计了一套自适应安全架构,让人们从防御和应急响应的思路中解放出来,加强相应的监测和响应能力,以及持续的监控和分析,同时也引入了全新的预测能力。2016年,自适应安全架构在全球范围内得到了广泛认可,很多安全公司的产品都针对此架构进行演进。在2016年的十大科技趋势中,自适应安全架构首次名列其中。这段时间就是自适应安全架构1.0时期。
2017年,Gartner自适应安全架构有了三点变化:加入了UEBA(用户和实体行为分析)相关内容,引入了大循环中的小循环体系,加入了合规和策略要求。自适应安全架构进入2.0时期:
2017年9月,Gartner颁布持续自适应风险与信任框架(CARTA),加入了认证体系。自适应安全架构从此进入3.0时期。
从这些发展过程可以看出,这四年来,自适应安全架构不断扩展内涵和外延,表现出了极大的生命力,无论是对安全建设方还是对安全厂商,都有很大的参考价值。安全建设方可以按此架构对整个组织的安全状况进行梳理,构建安全建设方案,尽量选择覆盖自适应能力更全的厂商来改善安全态势,而安全厂商可以根据此架构来规划功能和产品,不断增强和加深自适应的各项安全要求。
张福指出,与自适应安全的核心思想--敏捷处理不同,传统安全的核心思想是防御和控制,就像是建设一座城墙,希望把黑客阻挡在城墙外面,但黑客穿透城墙有很多种方式,"你眼中的城墙在黑客的眼中可能只是一个篱笆。"而且,企业的业务讲究发展,与安全讲究的控制是有些矛盾的。"我们不能沿着安全的老路走,我们要走一条新的道路,做到润物细无声,不要求企业做很多严格的控制,也不影响业务的发展。"
众生万相,终归本源
张福口中提到的"润物细无声的"安全产品,就是青藤万相·主机自适应安全平台。这款经过4年,150个版本迭代,230万行自研代码,4万个安全知识库打磨推出的产品采用的就是自适应安全架构,它致力于打造集防御、检测、响应和预测于一体的自适应安全闭环,以智能、集成和联动的方式应对各类攻击。
青藤云安全产品合伙人胡俊表示,产品的名字"万相",取自"众生万相,终归本源"。因为网络上的黑客虽然经常伪装成各种各样的身份和攻击的表象,但是他们最终的目标是归一的,就是偷走企业的数字资产、获取服务器的权限。青藤希望可以透过多重表象,发现攻击的本源,形成归一化的解决方案,提升企业的安全能力,让企业的正常业务回归"本源"。
据介绍,青藤的核心平台架构是以Workload为核心,通过对主机工作负载上的资产、状态、关键活动等进行感知,生成安全指标,通过对指标的持续分析、监控,发现安全威胁。而且,青藤Agent只需要一条命令就能在主机上完成安装,并自动适配各种物理机、虚拟机、公有云、私有云、混合云和容器云。现在青藤已经基于青藤万相·主机自适应安全平台自主研发出了资产清点、风险发现、入侵检测、合规基线及安全日志五大核心产品,并将在今年第四季度上线全新的Docker容器安全产品。
胡俊还向记者透露了几个关键数字:目前,青藤云安全的业务已经覆盖了银行、保险、证券、基金、互联网、政府等数十个领域,防护服务器超过百万台,青藤Agent已经在全国大型集团核心服务器中稳定不间断地运行了26000小时。
在采访的最后,张福告诉记者,作为自适应安全的引入者和践行者,成立仅四年的青藤云安全一直坚持技术和产品的创新,并多次获得资本青睐,多次刷新了安全创业公司的融资记录。”我们创业就是希望能把自己多年来对安全的理解表达出来,而最好的表达方式就是能被广大用户接受的产品。到目前为止,虽然没有任何一款安全产品能够做到100%有效,但我们的产品已经将黑客的入侵检测提升到了一个新高度!“
责任编辑:刘沙
专题
最新发布