可視化網(wǎng)絡(luò)安全技術(shù)“看透”黑客
 

　　文·本報(bào)記者付麗麗

 

　　“為什么下一代防火墻防不住下一代威脅？”日前，在“2016可視化網(wǎng)絡(luò)安全技術(shù)論壇”上，論壇承辦方、北京安博通科技股份有限公司CEO蘇長君的問題一拋出，立刻吸引了與會(huì)者的目光。

　　傳統(tǒng)的網(wǎng)絡(luò)安全一般是基于策略或者是特征，然而特征并不等于行為，用戶可以使用合法的賬戶通過合法的行為而做一些非法的事情，例如已辭職員工使用其原來的賬戶通過VPN遠(yuǎn)程登錄進(jìn)公司內(nèi)部的系統(tǒng)并盜取企業(yè)的業(yè)務(wù)敏感數(shù)據(jù)。

　　“下一代防火墻并不一定能防住下一代的威脅，只有通過對(duì)用戶行為的學(xué)習(xí)，并利用動(dòng)態(tài)的策略來匹配用戶的行為，進(jìn)行細(xì)粒度的響應(yīng)，才能保證用戶業(yè)務(wù)的連續(xù)性。所以現(xiàn)在安博通要做的，正是通過策略、行為和流量的可視，利用動(dòng)態(tài)的策略配置、用戶行為的分析和深度識(shí)別，以及敏捷響應(yīng)來做到真正的‘看’透安全。”蘇長君說。

　　讓不懂安全的人看懂安全

　　“安全的本質(zhì)就是風(fēng)險(xiǎn)控制體系，讓各個(gè)層面的人都可以理解、執(zhí)行安全，讓每個(gè)使用網(wǎng)絡(luò)的人有‘安全感’，我們的目標(biāo)就是讓不懂安全的人看懂安全。”蘇長君說。

　　蘇長君表示，需要明確的是，可視化網(wǎng)絡(luò)安全技術(shù)并非是把界面做好，也不是就搞個(gè)大屏幕做一些飛來飛去的炫圖，其最主要的是要整合各個(gè)層面的需求，實(shí)現(xiàn)動(dòng)態(tài)的安全管理，在一個(gè)基于安全視角的平臺(tái)上根據(jù)需要疊加各種各樣的安全防御技術(shù)。

　　以乘客進(jìn)站為例，一般普通乘客關(guān)心的過程是買票、取票、進(jìn)站、上車，但對(duì)于車站的安全管控就不是這么簡單了。需要按照管理和業(yè)務(wù)需求，劃分不同的區(qū)域，在進(jìn)站區(qū)域安裝檢測儀器，在站內(nèi)區(qū)域和周邊各個(gè)不同位置安裝攝像頭，重點(diǎn)區(qū)域還要有民警手動(dòng)核查身份證，更核心區(qū)域還要安放武警等等。

　　“網(wǎng)絡(luò)安全也是這樣，而且網(wǎng)絡(luò)訪問更為復(fù)雜。”蘇長君說，安全可視化的就是綜合安全域、安全策略、合規(guī)基線等一系列與安全相關(guān)的因素，整合各個(gè)不同視角的安全可視化平臺(tái)，在這個(gè)平臺(tái)上能夠根據(jù)安全的視角疊加網(wǎng)絡(luò)探針、網(wǎng)絡(luò)回溯、業(yè)務(wù)質(zhì)量分析等功能，以滿足不同角度人對(duì)于安全的不同理解，從而對(duì)安全狀況有感知，動(dòng)態(tài)做出快速響應(yīng)，防止危害進(jìn)一步擴(kuò)大，并迅速彌補(bǔ)漏洞。

　　當(dāng)前，傳統(tǒng)的網(wǎng)絡(luò)安全還大部分停留在網(wǎng)絡(luò)邊界防護(hù)、漏洞檢測和特征補(bǔ)丁上，這些手段都相對(duì)孤立，相對(duì)靜態(tài)，而且只有專業(yè)人員看得懂，客戶對(duì)此很茫然。

　　前幾年，可視化技術(shù)也廣泛應(yīng)用在網(wǎng)絡(luò)設(shè)備的管理上，俗稱網(wǎng)管或運(yùn)維平臺(tái)，但網(wǎng)管的主要目標(biāo)是對(duì)網(wǎng)絡(luò)拓?fù)涔芾砗途W(wǎng)絡(luò)節(jié)點(diǎn)的運(yùn)行，目的是網(wǎng)絡(luò)和資產(chǎn)的管理與維護(hù)，不是安全的視角。“所以，在傳統(tǒng)的技術(shù)之上談安全動(dòng)態(tài)自適應(yīng)、高級(jí)威脅防御、策略合規(guī)都是在浮沙筑高臺(tái)，根本站不住腳。”蘇長君說。

　　可視化不光“看外表”還要“看內(nèi)在”

　　讓不懂安全的人看懂安全，這是蘇長君心中的一個(gè)夢(mèng)。但如何看？卻并非一句話能夠說清楚。

　　將網(wǎng)絡(luò)安全可視化，背后必須要有相應(yīng)的技術(shù)支撐，專業(yè)的網(wǎng)絡(luò)分析、高性能的探針、海量存儲(chǔ)、大數(shù)據(jù)分析等，已經(jīng)對(duì)客戶業(yè)務(wù)的深度理解和經(jīng)驗(yàn)的積累才能夠構(gòu)建這樣的安全可視化系統(tǒng)。

　　蘇長君認(rèn)為，網(wǎng)絡(luò)安全是一套內(nèi)外循環(huán)的“平衡”系統(tǒng)，需要我們將“內(nèi)觀”和“外察”有機(jī)地結(jié)合。他將“安全策略基線”的可視，分解為“網(wǎng)絡(luò)、流量、業(yè)務(wù)域和身份”這四方面，并主張通過“行為可視、異�？梢曇约奥窂娇梢�”，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全狀況的“側(cè)寫”。

　　“可視化作為一種更加友好直觀的呈現(xiàn)手法與真正的可視或說可見性有著本質(zhì)上的區(qū)別。”蘇長君說，所謂外行看熱鬧，內(nèi)行看門道，“可視”的價(jià)值不在于華麗的“可視化”的外表，而在于其真正對(duì)整體網(wǎng)絡(luò)安全態(tài)勢的認(rèn)知和理解能力，能直觀的讓技術(shù)人員獲得怎樣的信息，只是單純的數(shù)據(jù)流向以及攻擊IP等數(shù)據(jù)的可視，不能就將其完全等價(jià)為“安全的可視”。

　　蘇長君介紹，安博通打造的可視化網(wǎng)絡(luò)安全技術(shù)架構(gòu)，通過公網(wǎng)和內(nèi)網(wǎng)部署的具有應(yīng)用識(shí)別能力的探針，實(shí)現(xiàn)對(duì)數(shù)據(jù)中內(nèi)容的提取；然后將端的數(shù)據(jù)通過安全通道傳到“云”之后，在云端從用戶的維度對(duì)諸如“行為、虛擬身份和訪問網(wǎng)站”等有價(jià)值信息進(jìn)行整合，并面對(duì)用戶的業(yè)務(wù)進(jìn)行可視化的呈現(xiàn)；最終通過策略、流量、用戶和業(yè)務(wù)四個(gè)方面的可視，實(shí)現(xiàn)“可視”的安全。

　　“之前的可視，更多的是基于80、443等端口號(hào)和諸如DPI、post等特征碼，但如果是加密流量，如果沒有特征碼呢？所以我們更多的是基于用戶的行為，比如時(shí)間分布、報(bào)文長度、到達(dá)次序等，再通過貝葉斯、決策樹等分類算法進(jìn)行分類，從而實(shí)現(xiàn)對(duì)用戶行為的分析以及學(xué)習(xí)。”蘇長君說。

　　可視化就像在網(wǎng)絡(luò)上安了攝像頭

　　“可視化技術(shù)的核心理念是通過提高網(wǎng)絡(luò)自身免疫力，讓業(yè)務(wù)系統(tǒng)兼具自適應(yīng)的防御和修復(fù)風(fēng)險(xiǎn)的能力，從而讓業(yè)務(wù)安全可視、可管、可控。”蘇長君說，就像人體免疫系統(tǒng)中涉及不計(jì)其數(shù)的細(xì)胞、特殊物質(zhì)及器官之間的高度紛繁復(fù)雜的相互作用，是人體隨時(shí)處于戰(zhàn)備狀態(tài)，一旦有病菌侵入身體，就會(huì)迅速發(fā)現(xiàn)并將其驅(qū)逐出去。

　　此前，蘇長君曾私下和一些從事網(wǎng)絡(luò)黑色產(chǎn)業(yè)的團(tuán)隊(duì)做過交流。他們認(rèn)為這個(gè)可視化體系就像在網(wǎng)絡(luò)各個(gè)位置安全裝了攝像頭，讓黑客的潛伏路徑更容易被發(fā)現(xiàn)，其網(wǎng)絡(luò)內(nèi)部的安全弱點(diǎn)也更容易暴露，而且入侵事后也更容易被追溯和取證。

　　中國工程院院士倪光南表示，信息安全必須自主可控，自主可控時(shí)，信息安全容易治理，產(chǎn)品和服務(wù)一般不存在惡意后門，并能不斷改進(jìn)或修補(bǔ)漏洞。因此，我國必須推進(jìn)國產(chǎn)化戰(zhàn)略，在對(duì)網(wǎng)絡(luò)安全起重大作用的信息基礎(chǔ)設(shè)施和信息關(guān)鍵核心技術(shù)等方面，實(shí)行國產(chǎn)化替代。無疑，可視化安全領(lǐng)域是其中一個(gè)重要方面。

　　————延伸閱讀————

　　網(wǎng)絡(luò)安全亟須發(fā)現(xiàn)攻擊看見威脅

　　網(wǎng)絡(luò)上制造威脅，進(jìn)行攻擊的人總希望自己永遠(yuǎn)不會(huì)被發(fā)現(xiàn)，安全防御的一方總是希望能夠透視整個(gè)網(wǎng)絡(luò)，明察秋毫，及時(shí)發(fā)現(xiàn)與抵御乃至消滅威脅的發(fā)生。

　　“因此，我們所面臨的所有網(wǎng)絡(luò)攻擊都是隱藏的，未知的，不想讓人發(fā)現(xiàn)的。而發(fā)現(xiàn)攻擊，看見威脅，正是有效防護(hù)網(wǎng)絡(luò)安全的基礎(chǔ)，隱匿與發(fā)現(xiàn)是網(wǎng)絡(luò)攻擊與安全防御之間永恒的較量。”公安部信息安全等級(jí)保護(hù)評(píng)估中心主任張宇翔說。

　　張宇翔認(rèn)為，如何見，見什么？是網(wǎng)絡(luò)安全所要解決的問題。沒有核心技術(shù)的網(wǎng)絡(luò)安全其實(shí)好比在別人的墻基上砌房子，而實(shí)際情況更糟糕，好像是在別人的院子里蓋房子，你的一舉一動(dòng)一言一行，昭昭然盡收他人眼底。

　　“隨著新的攻擊方式和手段出現(xiàn)，攻擊常�；祀s在常規(guī)的流量中，從外及內(nèi)，防不勝防。發(fā)現(xiàn)與看見的安全能力需求迫在眉睫。”張宇翔說。

　　在蘇長君看來，可視化網(wǎng)絡(luò)安全技術(shù)根本在于客戶的需求。“有賊我知道，但抓出來一個(gè)看看”，這是客戶經(jīng)常抱怨的，往往是買了一堆安全設(shè)備，可是安全事件經(jīng)常發(fā)生，出了安全事件什么也找不到，其原因就是客戶沒有一個(gè)基于安全視角的可視化網(wǎng)絡(luò)平臺(tái)。
“再就是對(duì)國際網(wǎng)絡(luò)安全趨勢的把握。”蘇長君說，在2016年網(wǎng)絡(luò)安全RSA大會(huì)上，業(yè)界一致認(rèn)為單一的靜態(tài)的安全加固技術(shù)不能解決問題，需要構(gòu)建一套安全自適應(yīng)防御體系，而可視化技術(shù)正是這個(gè)體系中的關(guān)鍵點(diǎn)之一。