華為從根本上做出轉(zhuǎn)變,致力于未知威脅檢測和快速診斷,讓網(wǎng)絡(luò)可信:
· 從被動到主動
我們不再只是基于特征進(jìn)行粗放式威脅檢測和防御,也不只是在企業(yè)部署了華為安全產(chǎn)品后才進(jìn)行威脅檢測和防御。在遵守各個國家/地區(qū)法律法規(guī)、不涉及侵犯隱私的前提下,華為全球部署黑洞、蜜網(wǎng)系統(tǒng),采集安全事件與樣本,為IP、URL和文件構(gòu)建信譽(yù)。企業(yè)部署華為安全產(chǎn)品之后,即可享受到華為全球信譽(yù)云的服務(wù)和評估,信譽(yù)評級低于指定水平的對象會被篩選出來,當(dāng)作可疑對象進(jìn)行下一步深入檢測,絕大多數(shù)正常業(yè)務(wù)不會感知到因為安全檢測帶來的延遲。90%以上的安全威脅可以由此被消除,而不會帶來業(yè)務(wù)延遲。
· 從技術(shù)為本到客戶為本
過去,當(dāng)所謂紅色代碼、熊貓燒香、CIH等安全事件爆發(fā)后,所有的專業(yè)安全廠商比拼的都是誰先獲得樣本,誰先在實驗室里定義出特征,然后是誰能夠防御。但這些事情都是廠商自己在唱戲,客戶通常要很多天后才能獲取更新、得到防御、避免進(jìn)一步的損失。華為把以往只放在專業(yè)安全廠商實驗室里的技術(shù)產(chǎn)品化,部署到客戶網(wǎng)絡(luò)中和云端,直接為客戶提供服務(wù),把未知惡意軟件的防御響應(yīng)時間縮短到“分鐘”級、甚至“秒”級。其中最具代表性的就是沙箱技術(shù),華為可以為客戶提供PE沙箱、移動沙箱、Web沙箱等多種類型的產(chǎn)品子類,被信譽(yù)體系篩選出來的少量可疑對象直接導(dǎo)入沙箱進(jìn)行模擬分析,判斷其過程和結(jié)果是否惡意,是否有威脅,然后做出放行與否的判斷。當(dāng)前業(yè)界流行的APT攻擊,絕大多數(shù)都是來自或通過未知惡意軟件達(dá)成,這意味著華為沙箱技術(shù)可以實現(xiàn)對APT攻擊的有效防御。
· 首次把大數(shù)據(jù)用于安全防御
當(dāng)前,對企業(yè)威脅最大的安全攻擊者不再是以前那些炫耀技術(shù)的黑客和憤青們了,而是雇傭黑客來達(dá)成商業(yè)或政治目的幕后黑手,或者企業(yè)內(nèi)部的惡意竊取者或破壞者,這意味著許多時候要防的不再是一段代碼或Flood沖擊,而是人,這是傳統(tǒng)安全永遠(yuǎn)也無法企及的領(lǐng)域,即使現(xiàn)在業(yè)界也鮮有有效的解決方案。華為通過在自身遍布全球5大洲的企業(yè)專網(wǎng)和IT系統(tǒng)上的成功實踐,把大數(shù)據(jù)應(yīng)用于企業(yè)信息安全防御。通過對網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端系統(tǒng)和業(yè)務(wù)系統(tǒng)的事件采集,在大數(shù)據(jù)平臺上進(jìn)行關(guān)聯(lián)分析,從而能夠發(fā)現(xiàn)非法的攻擊行為。
舉例來說:某個時刻,認(rèn)證系統(tǒng)發(fā)生了一次正常合法的認(rèn)證授權(quán)請求,該用戶隨即訪問了與其權(quán)限匹配的文件系統(tǒng),并下載了關(guān)鍵文檔,然后正常退出登錄;過了幾分鐘后這樣的過程又發(fā)生了一遍。這在一個超過10萬人的企業(yè)中非常正常,但大數(shù)據(jù)系統(tǒng)卻發(fā)現(xiàn)了問題:第一次訪問時該用戶所在地理位置是中國北京、在公司外部遠(yuǎn)程接入,但幾分鐘后的第二次訪問卻發(fā)生在美國加州硅谷。通過網(wǎng)絡(luò)系統(tǒng)controller排除了合法用戶使用代理服務(wù)器的可能性后,基本就可以確定這是一起非法盜號入侵事件了,第二次訪問會直接被阻斷并發(fā)出告警。如果網(wǎng)絡(luò)情況比較復(fù)雜,不能排除使用代理服務(wù)器的可能性,系統(tǒng)則會進(jìn)一步關(guān)聯(lián)文件系統(tǒng),從而發(fā)現(xiàn)該用戶屬于無線部門,第二次訪問的文件卻是和自己業(yè)務(wù)完全不相關(guān)的終端業(yè)務(wù),由此進(jìn)一步確認(rèn)該行為的非法性。我們甚至可以關(guān)聯(lián)差旅系統(tǒng)確認(rèn)該員工當(dāng)前應(yīng)該處于哪個城市、關(guān)聯(lián)考勤系統(tǒng)確認(rèn)該員工是否休假、關(guān)聯(lián)HR系統(tǒng)確認(rèn)該員工是否有離職傾向、關(guān)聯(lián)CRM系統(tǒng)確認(rèn)該員工是否正在參與公司重大項目等等。這就是大數(shù)據(jù)的魅力,但同時也是大數(shù)據(jù)的門檻所在——幾乎每個企業(yè)客戶都會有定制化的業(yè)務(wù)訴求,只有具備相當(dāng)研發(fā)實力、安全積累和成功實踐的廠商才能夠提供解決方案。
可控、可用、可信的敏捷網(wǎng)絡(luò),才是真正安全的下一代網(wǎng)絡(luò),才能讓客戶平滑演進(jìn)到真正質(zhì)量可控、業(yè)務(wù)可用的ICT新時代。