華為從根本上做出轉變,致力于未知威脅檢測和快速診斷,讓網(wǎng)絡(luò )可信:
· 從被動(dòng)到主動(dòng)
我們不再只是基于特征進(jìn)行粗放式威脅檢測和防御,也不只是在企業(yè)部署了華為安全產(chǎn)品后才進(jìn)行威脅檢測和防御。在遵守各個(gè)國家/地區法律法規、不涉及侵犯隱私的前提下,華為全球部署黑洞、蜜網(wǎng)系統,采集安全事件與樣本,為IP、URL和文件構建信譽(yù)。企業(yè)部署華為安全產(chǎn)品之后,即可享受到華為全球信譽(yù)云的服務(wù)和評估,信譽(yù)評級低于指定水平的對象會(huì )被篩選出來(lái),當作可疑對象進(jìn)行下一步深入檢測,絕大多數正常業(yè)務(wù)不會(huì )感知到因為安全檢測帶來(lái)的延遲。90%以上的安全威脅可以由此被消除,而不會(huì )帶來(lái)業(yè)務(wù)延遲。
· 從技術(shù)為本到客戶(hù)為本
過(guò)去,當所謂紅色代碼、熊貓燒香、CIH等安全事件爆發(fā)后,所有的專(zhuān)業(yè)安全廠(chǎng)商比拼的都是誰(shuí)先獲得樣本,誰(shuí)先在實(shí)驗室里定義出特征,然后是誰(shuí)能夠防御。但這些事情都是廠(chǎng)商自己在唱戲,客戶(hù)通常要很多天后才能獲取更新、得到防御、避免進(jìn)一步的損失。華為把以往只放在專(zhuān)業(yè)安全廠(chǎng)商實(shí)驗室里的技術(shù)產(chǎn)品化,部署到客戶(hù)網(wǎng)絡(luò )中和云端,直接為客戶(hù)提供服務(wù),把未知惡意軟件的防御響應時(shí)間縮短到“分鐘”級、甚至“秒”級。其中最具代表性的就是沙箱技術(shù),華為可以為客戶(hù)提供PE沙箱、移動(dòng)沙箱、Web沙箱等多種類(lèi)型的產(chǎn)品子類(lèi),被信譽(yù)體系篩選出來(lái)的少量可疑對象直接導入沙箱進(jìn)行模擬分析,判斷其過(guò)程和結果是否惡意,是否有威脅,然后做出放行與否的判斷。當前業(yè)界流行的APT攻擊,絕大多數都是來(lái)自或通過(guò)未知惡意軟件達成,這意味著(zhù)華為沙箱技術(shù)可以實(shí)現對APT攻擊的有效防御。
· 首次把大數據用于安全防御
當前,對企業(yè)威脅最大的安全攻擊者不再是以前那些炫耀技術(shù)的黑客和憤青們了,而是雇傭黑客來(lái)達成商業(yè)或政治目的幕后黑手,或者企業(yè)內部的惡意竊取者或破壞者,這意味著(zhù)許多時(shí)候要防的不再是一段代碼或Flood沖擊,而是人,這是傳統安全永遠也無(wú)法企及的領(lǐng)域,即使現在業(yè)界也鮮有有效的解決方案。華為通過(guò)在自身遍布全球5大洲的企業(yè)專(zhuān)網(wǎng)和IT系統上的成功實(shí)踐,把大數據應用于企業(yè)信息安全防御。通過(guò)對網(wǎng)絡(luò )設備、安全設備、終端系統和業(yè)務(wù)系統的事件采集,在大數據平臺上進(jìn)行關(guān)聯(lián)分析,從而能夠發(fā)現非法的攻擊行為。
舉例來(lái)說(shuō):某個(gè)時(shí)刻,認證系統發(fā)生了一次正常合法的認證授權請求,該用戶(hù)隨即訪(fǎng)問(wèn)了與其權限匹配的文件系統,并下載了關(guān)鍵文檔,然后正常退出登錄;過(guò)了幾分鐘后這樣的過(guò)程又發(fā)生了一遍。這在一個(gè)超過(guò)10萬(wàn)人的企業(yè)中非常正常,但大數據系統卻發(fā)現了問(wèn)題:第一次訪(fǎng)問(wèn)時(shí)該用戶(hù)所在地理位置是中國北京、在公司外部遠程接入,但幾分鐘后的第二次訪(fǎng)問(wèn)卻發(fā)生在美國加州硅谷。通過(guò)網(wǎng)絡(luò )系統controller排除了合法用戶(hù)使用代理服務(wù)器的可能性后,基本就可以確定這是一起非法盜號入侵事件了,第二次訪(fǎng)問(wèn)會(huì )直接被阻斷并發(fā)出告警。如果網(wǎng)絡(luò )情況比較復雜,不能排除使用代理服務(wù)器的可能性,系統則會(huì )進(jìn)一步關(guān)聯(lián)文件系統,從而發(fā)現該用戶(hù)屬于無(wú)線(xiàn)部門(mén),第二次訪(fǎng)問(wèn)的文件卻是和自己業(yè)務(wù)完全不相關(guān)的終端業(yè)務(wù),由此進(jìn)一步確認該行為的非法性。我們甚至可以關(guān)聯(lián)差旅系統確認該員工當前應該處于哪個(gè)城市、關(guān)聯(lián)考勤系統確認該員工是否休假、關(guān)聯(lián)HR系統確認該員工是否有離職傾向、關(guān)聯(lián)CRM系統確認該員工是否正在參與公司重大項目等等。這就是大數據的魅力,但同時(shí)也是大數據的門(mén)檻所在——幾乎每個(gè)企業(yè)客戶(hù)都會(huì )有定制化的業(yè)務(wù)訴求,只有具備相當研發(fā)實(shí)力、安全積累和成功實(shí)踐的廠(chǎng)商才能夠提供解決方案。
可控、可用、可信的敏捷網(wǎng)絡(luò ),才是真正安全的下一代網(wǎng)絡(luò ),才能讓客戶(hù)平滑演進(jìn)到真正質(zhì)量可控、業(yè)務(wù)可用的ICT新時(shí)代。
