近年來網(wǎng)絡(luò)安全形勢變得越來越復(fù)雜和嚴(yán)峻，企業(yè)網(wǎng)絡(luò)系統(tǒng)不斷被爆出存在攻擊漏洞，尤其是在金融領(lǐng)域，針對銀行的APT攻擊和DDoS攻擊等技術(shù)的改變更是有愈演愈烈之勢，關(guān)于金融及電信欺詐的態(tài)勢從年統(tǒng)計轉(zhuǎn)向月統(tǒng)計……

攻擊技術(shù)的改變，決定了傳統(tǒng)防御技術(shù)必須轉(zhuǎn)變。現(xiàn)階段安全的核心思路是 “預(yù)防、預(yù)測”、“阻止、防護”、“檢測、監(jiān)控”“響應(yīng)、調(diào)查”。但目前制約安全檢測和響應(yīng)的問題則是：

1.安全數(shù)據(jù)不足：安全信息缺乏共享與安全信息不對稱導(dǎo)致檢測與響應(yīng)能力不足；

2.安全智能不足：安全智能匱乏導(dǎo)致無法有效檢測多步驟組合入侵行為與對APT攻擊的深度挖掘；

3.安全協(xié)作不足：產(chǎn)業(yè)界相互間信任不足導(dǎo)致缺乏檢測與響應(yīng)的協(xié)作，進而失去了應(yīng)對攻擊的最佳時機。

圖1 360企業(yè)安全售前技術(shù)總監(jiān)葉皓彤在大會演講

針對數(shù)據(jù)的不足，需要有針對性數(shù)據(jù)分析的方法，數(shù)據(jù)能帶來什么？一次安全事件所利用的漏洞或者樣本，可能在互聯(lián)網(wǎng)上已經(jīng)出現(xiàn)過。如何利用互聯(lián)網(wǎng)上的海量攻防數(shù)據(jù)，協(xié)助發(fā)現(xiàn)甚至預(yù)防安全威脅？惡意終端/系統(tǒng)必然有與正常的終端/系統(tǒng)相異的行為，單體安全設(shè)備沒有足夠數(shù)據(jù)無法比對分析，如何進行全網(wǎng)的數(shù)據(jù)分析？攻擊鏈條復(fù)雜，僅針對某個終端或者某個網(wǎng)絡(luò)節(jié)點的防護手段難以還原整個攻擊鏈條。

據(jù)Gartner分析，下一代安全防御及分析平臺應(yīng)當(dāng)具備對漏洞情報、威脅/攻擊情報及攻擊者/組織情報的分析能力。因此，與之相應(yīng)的需在用戶側(cè)形成輕量級大數(shù)據(jù)平臺，以記錄網(wǎng)絡(luò)與終端的相關(guān)信息，并結(jié)合威脅情報發(fā)現(xiàn)并回溯網(wǎng)內(nèi)安全威脅。在全網(wǎng)進行數(shù)據(jù)收集、智能分析，即不再謀求在單體安全設(shè)備上完成對所有威脅的發(fā)現(xiàn)和響應(yīng)，轉(zhuǎn)向通過安全設(shè)備采集完整全網(wǎng)數(shù)據(jù)，大數(shù)據(jù)平臺應(yīng)當(dāng)可以滿足千億級別數(shù)據(jù)的快速分析，可保證對全網(wǎng)全量數(shù)據(jù)的采集需求。通過算法、模型等智能信息安全技術(shù)分析和識別網(wǎng)絡(luò)中安全威脅。

360企業(yè)安全針對數(shù)據(jù)、智能及協(xié)作的不足，建立起智能協(xié)同體系，360企業(yè)安全售前技術(shù)總監(jiān)葉皓彤(如圖1）介紹，通過終端與本地大數(shù)據(jù)平臺協(xié)同（EDR）審計、分析、發(fā)現(xiàn)、溯源，網(wǎng)關(guān)與本地大數(shù)據(jù)平臺協(xié)同（NDR）檢測、阻斷、溯源，以大數(shù)據(jù)思維建立威脅響應(yīng)平臺以及云端大數(shù)據(jù)安全服務(wù)。

360還針對協(xié)同聯(lián)動建立了威脅情報中心、全球DDoS攻擊預(yù)警、全球網(wǎng)絡(luò)掃描及DDoS攻擊溯源。依靠自身擁有的海量用戶資源優(yōu)勢，并通過與眾多安全企業(yè)協(xié)同聯(lián)動，共建安全+命運共同體。