如何让情报“可执行”

作为Fortinet首席安全战略官的Derek Manky，同时也是一位业界知名的网络安全专家。他的研究和意见曾被国际上许多相关机构采纳，并用于构造主动的网络安全的未来，对全球打击网络犯罪的战争产生了积极影响。

Fortinet首席安全战略官的Derek Manky

在2018ISC互联网安全大会在北京召开之际，Derek Manky又一次来到中国。这一次，Derek Manky带来的正是FortiGuard安全实验室对全球网络威胁态势最新研究成果。他特别谈到，2018年第二季度在中国检测出230万病毒的攻击，新的恶意软件相比较第一季度出现了很多变种。

IP地址、恶意软件、流量行为和域名是网络攻击的基本组成部分，他们可以很容易地改变和移动。而应用威胁情报的目标就是要在攻击链条任何一点上阻断它，并利用威胁情报进行响应。

熟悉Fortinet的人都知道，FortiGuard安全实验室在Fortinet 2000年成立之初便已建立，这也能是Fortinet区别与其他安全厂商的独特之处。目前其全球威胁研究与响应团队每年处理超过65万亿次安全事件，以提取及时和相关的威胁情报。

不过，当前地下黑客暗流涌动，攻击范围和种类无所不及，但是目前还不可能有一家厂商可以掌握所有情报。四年前，Fortinet作为牵头人与McAfee、赛门铁克和Palo Alto共同创建了网络威胁联盟CTA。随后思科、Checkpoint也加入了该组织。如今的CTA已经扩大成为拥有保护世界各地客户能力的英雄联盟。

Fortinet认为实施有效的威胁情报收集和共享流程是任何安全策略的重要组成部分。同时，从多个信息来源收集威胁情报，然后进行分析处理和关联，才是威胁情报的价值所在。

“可怕的是如今地下暗网已经开始形成了联盟，这使得安全情报联盟越来越重要。我们必须通过联盟和合作的方式，来共享安全威胁情报。Fortinet中国技术总监张略在采访中对记者表示说。

其实在安全情报的分享过程中有一些重要的威胁情报是大众并不能看到的。作为网络威胁联盟CTA的创始成员，Fortinet和这个联盟内的其他成员都会彼此分享威胁研究与果与情报。

“通过网络威胁联盟提供的情报，我们会进行分析，并通过IOC整合到我们的Security Fabric安全架构中的各个安全组件。如果没有这些分析和整合，这些情报只能是死情报，而我们要提供的一定是可执行的情报。”Derek Manky如此谈到。

对于Derek Manky谈到的可执行的情报，则是指通过整合和分析后FortiGuard提供威胁情报的搜集并不只是特征库，而且会提供关攻击方法的信息和攻击场景的背景信息。详细到诸如渗透进入网络的工具是什么、攻击是如何在流量中隐藏或逃避检测的、哪些数据被窃取了，以及攻击如何回传到它的命令与控制服务器等等详细特征。

在Fortinet看来，高级防御必须要做到：一、应用机器学习与人工智能；二、将安全组件联动，发挥协同的安全能力；三，建立自动化的攻击响应。

比如，沙盒的部署使用在防御WannaCry这样恶意软件中时，作为自动化分析工具和威胁情报的中心，能够在这类恶意软件影响到企业网络之前，检测到诸如这样的先进勒索软件等恶意攻击和零日攻击。

“沙盒技术的重要性就在于它可以进行深度检测，但是它不能的拦截更高威胁。所以我们现在把沙盒技术与网关、防火墙和安全策略进行整合，这一点非常重要，因为它能够很快对威胁进行拦截。”Derek Manky补充说。

为了有效防御快速变化的威胁形态，今天的沙盒解决方案需要与企业部署的其他安全组件形成联动防御体系。现在，Fortinet沙盒所产生的威胁情报可以在各种安全产品(包括下一代防火墙(NGFW))，入侵防御系统(IPS)，邮件安全网关，Web应用防火墙(WAF)和终端安全产品之间共享。

在过去的六年中，Fortinet开发了AI机器学习的体系，超过120亿的可疑程序，通过计算机的编码放到沙盒里进行相关的反病毒技术的研发。

Fortinet在威胁检测方面的实力也可以用相关专利和数字来说话：在病毒检测方面拥有上百项专利，其中有一项CPRL专利就是关于程序语言的，这是一种内容模式的识别语言，可进行威胁病毒的检测。这个专利的理念是要通过人工智能的分析来写程序语言，然后检测新的病毒。

正是通过这项基于人工智能的检测系统，Fortinet在零日恶意软件的检测中，截止到目前共检测出570个零日漏洞。要知道，一般安全厂商在零日漏洞的检测和发现能力普遍是20-30个，最多一百个。

整合的情报，联动的安全

从Fortinet Security Fabric的问世那日起，也就意味着Fortinet的安全策略是希望通过一个架构，把包括网络安全的每一个层次联合起来。现在的Fortinet要做的是将企业数字空间和数字科技的所有领域整合进一个安全体系，这个安全体系能够提供连续、可信的业务保障与运行。

“Security Fabric一直在不断更新变化，并在不停进行整合。”Derek Manky谈到的整合包含两个层面，一是产品上的深度集成，二是合作生态系统的整合。

以前文中提到的沙盒为例，作为Fortinet Seurity Fabric 安全架构的一部分，FortiSandbox在企业整个攻击面上与Fortinet安全解决方案集成，包括NSS实验室推荐级的FortiGate NGFW，Fortinet IPS，FortiWeb和FortiClient解决方案，自动共享威胁情报，从而在网络的不同维度都建立起有效的防御。

我们知道，提高云环境中的安全性能很具挑战性，鉴于需要处理的数据量非常之多，云端安全有可能变得成本更高或成为瓶颈。而Fortinet正是通过提高可见性和控制力来缩小云端受攻击面。这其中的挑战就包括Fortinet对 FortiGate 安全设备进行了重大优化，使设备的单核处理速度比之前的基准值快三倍，增加了在单一虚拟机中选择16、32或更多CPU核心的容量选项。

IT和OT的融合以及BYOD带来的周边设备激增，都使企业网络的攻击面不断被放大。而通过收购Bradford Networks,将其技术高度整合在Security fabric架构中，将其安全管控扩展到了网络边缘，也增强了Security fabric架构中IOT安全方案的交付能力。

除了产品方面的深度集和整合，在Fortinet的生态系统里，合作伙伴在Security Fabric架构上，一直在不断更新应用。这里面不乏在各行业里的佼佼者。比如在工业物联网安全领域的Nozomi，它擅长识别和检测工业物联网协议中的异常行为。这些异常行为，通过Fortinet的设备和安全技术进行联动之后，就能够很好地识别和阻挡在工业物联网中发现的威胁。

文章之前笔者也谈到说，从多个信息来源收集威胁情报，然后进行分析处理和关联，才是威胁情报的价值所在，这个关联就包括将各个组件都协同起来一致作用。因此与云服务商的关联和协作自然是Fortinet完整产业链中不可缺少的重要一环。

在Fortinet生态系统中，我们看到无论是OpenStack，还是VMware、 AWS、Azure、阿里云、谷歌云、青云都赫然在列。

张略也谈到说，在中国市场，企业对于SaaS服务的安全信任度不高，企业更倾向于自己在云中部署安全防御体系。

Fortinet选择了与华为这样的云架构提供商合作，在华为的平台上作为网络虚拟化，或者安全虚拟化的节点，挂在华为的工作流中，以便于他可以自由编排哪些业务需要经过哪些安全节点。

在不断进化的攻击面前，防御一方也应该进行相应的进化这是豪无疑问的。如今的Fortinet又提出了“群体智能”这一概念，也就是彼此连接，情报共享，形成群体智能。这也是Fortinet“整合，协同，联动”安全架构的意义所在，在不同的攻击维度建立安全响应机制。帮助用户构建一套足以和敌方抗衡的智能Security Fabric网络，是不变的核心。

责任编辑：李丽