我们时常听到一句话,“道高一尺,魔高一丈”,意指为正义而奋斗,必定会受到邪恶势力的巨大压制。在网络安全防护领域,信息安全提供商的目标誓要将前面这句话反过来,也就是做到“魔高一尺,道高一丈”。黑客的本领高一招,安全防范的技术就大一层,不管攻击者如何变化,都跳不出安全的防御圈。
说起来容易,做起来难!总结安全威胁态势的发展,一是攻击形态愈发复杂;二是攻防时间失衡,企业一旦遭受攻击,往往数分钟之内即沦陷,伴随着的缺是过长的响应时间;三是专业的安全人员和技能缺乏,以及有限的预算等导致安全防护不能匹配响应的资源投入。
还有另外一个重要原因,攻击者正形成一个产业链,也就是我们常听到的“黑产”,再加上攻击在暗、防护在明,更加剧了攻击威胁防御的难度。
而对应的防御方呢,坦白地说,在防御阵营不乏出色的安全防护厂商。可是这就够了吗?黑客攻击的渠道是多样的,邮件攻击、Web攻击、网页欺诈、恶意软件植入等不胜枚举。可是,这么多攻击威胁的“口子”绝不是一两家安全厂商能够“堵”上的!
纵观国内外安全产业环境,安全厂商之间是否和黑产那样“团结”呢?显然差得很多,因为竞争和利益的关系,安全防御犹如一个个孤岛!国内安全产业环境尤其不理想,同行之间合作少,缺乏全局安全的应对之策。
不得不说,安全业的联盟与合作在国际安全厂商中走得靠前一些,无论是各种各样的安全联盟还是联合解决方案的开发,都值得国内安全从业者学习和思考。
安全互联替代孤立防护
我们不妨来看看,Intel Security(迈克菲)到底是如何思考这一问题,携手同行应对传统孤立防护的。
展开全文
英特尔安全事业部北亚区售前技术总监郑林
“我们可以把黑客的攻击过程拆分成不同的环节,如果某一个安全设备或安全技术,能够发现其中一个环节的活动,并很快地把威胁情报提炼并共享给其他的安全设备,这种情报的共享可以形成对威胁的有效防范,扩展开来,对黑客的入侵是一个致命打击。” 英特尔安全事业部北亚区售前技术总监郑林在接受ZD至顶网采访时表示。
这里面的关键问题有两个,一是如何用现有的安全设备和手段提取威胁情报,不管攻击中的哪一个环节发现了它的蛛丝马迹。二是发现威胁情报后,怎么样快速在几秒钟之内把情报共享给其他的安全设备,让它能够防范对其来讲还是未知的攻击活动。
Intel Security推出安全互联的架构已有几年,基于这个理念,其发布数据交换层(DXL)。郑林指出,DXL可以想象成人的神经网络,以前我们有防火墙、IPS、防病毒,它在人的身体里面就像手和脚、胳膊、腿等不同的肢体。“以前没有神经网络时,这些肢体例如手、脚都很有力量,但是没有协调。所以在应对威胁时,手忙脚乱。”
在安全发展的历史上,存在同类的基于API集成的理念。不过,API的集成有一个非常大的不足,现在动辄上百个的安全产品,还是通过点到点不同产品间的API进行集成,效率非常差。并且,其中任何一个产品有改动和技术更新,这个API就面临着要重写。
DXL是一个新的通信架构,“简单讲它是一个高效率的通讯协议,只要遵循这钟标准,产品之间都可以互联互通,而且这个框架是一个开放的框架。不论哪家产品,都可以加入生态系统里面去,共享和接受信息。” 郑林说。
重要的是,DXL生态里的产品进行通讯,从发起通讯到接收通信只需要几毫秒,也就意味着共享威胁情报后几毫秒就可以对威胁进行遏制。
不区分厂商 安全资源互补共赢安全
Intel Security安全互联生态系统的愿景是,无论厂商和底层架构,各个安全部件都可以集成在一起形成一个统一互联系统。
这些安全互联的集成来自于包括Intel Security主导的SIA联盟,这里面有100多家合作厂商。以及第三方厂商,哪怕是竞争关系的厂商,都可以加进来。还包括第三方威胁情报,威胁情报近年来是一个热门的领域,安全互联可以通过一些标准的接口把这些情报收纳进来。当然,其中还包括Intel Security的安全解决方案,无论是网关层、端点层、数据层,Intel Security都有一系列的保护措施。
“Intel Security希望通过这种开放的生态系统,包括这套威胁情报交换的机制,和Intel Security原来已经具备的针对未知威胁分析的技术,能够形成一个开放集成的安全系统。不管企业系统是部署在云端还是在本地,也不管他们采用了什么样的端点或者哪些公司的安全产品和设备,我们都能够把它统一的进行威胁情报交换,形成联防的体系。”郑林说。
说了这么多威胁情报共享,我们不妨再回顾一个背景,在今年2月份斯坦福大学举办的白宫网络安全和消费者保护峰会上,美国总统奥巴马宣布成立一个新的政府部门,致力于在政府机构之间共享威胁情报,以便检测网络威胁并更为快速的采取措施。他签署了一项行政命令,旨在进一步促进公共机构与私立部门之间对网络威胁的信息共享。
这项措施表明共享网络威胁情报对于提升国家安全至关重要。通过共享威胁情报,企业和政府可以联手利用内部证据和外部信息,从而锁定攻击并采取相应的措施。
在政府及国家安全上可以看出威胁情报的重要性,说开来,这不都是想通的吗!在企业安全防护上,网络安全提供商更应该把眼光放长远,安全资源的互补是一个共赢的结果,更符合企业安全防护的需求。
网友评论
最新评论
,只要遵循这钟标准,产品之间都可以互联互通,而且这个框架是一个开放的框架。不论哪家产品,都可以加入生态系统里面去,共享和接受信息。” 郑林说。重要的是,DXL生态里的产品进行通讯,从发起通讯到接收通信只需要几毫秒,也就意味着共享威胁情报后几毫秒就可以对威胁进行遏制。不区分厂商 安全
重要。通过共享威胁情报,企业和政府可以联手利用内部证据和外部信息,从而锁定攻击并采取相应的措施。在政府及国家安全上可以看出威胁情报的重要性,说开来,这不都是想通的
黑客的入侵是一个致命打击。” 英特尔安全事业部北亚区售前技术总监郑林在接受ZD至顶网采访时表示。这里面的关键问题有两个,一是如何用现有的安全设备和手段提取威胁情报,不管攻击中的哪一个环节发现了它的蛛丝马迹。二是发现威胁情报后,怎么