当前位置:CIO新闻中心 → 正文

融合安全 立体保护

责任编辑:jackye |来源:企业网D1Net  2017-07-21 13:51:17 原创文章 企业网D1Net

2017 CIOC全国CIO大会7月20日在青海·西宁盛大举办,来自全国的300余位CIO共聚一堂,最接地气的观点、最实用的实战经验、最前沿的技术、最新的产品在此汇聚,碰撞出属于CIO的精彩火花。

以下为现场速记。

主持人:在昨天的大会上,张开翼总给我们介绍了深信服在云和超融合方面的进展,今天张开翼总将进一步介绍他们的拿手本行,我们接下来有请深信服副总裁张开翼为我们带来《融合安全 立体保护》,请大家掌声有请!

深信服副总裁 张开翼

张开翼:感谢各位亲爱的CIO朋友们,又见面了。昨天跟大家分享了我们在云这方面的一些思路和方案,今天跟大家介绍一下我们的另外一块业务。但是我不会在这个会议上讲我们的产品,我们想更多的从根本上跟大家探讨。作为一个企业在数字化转型过程中,我们到底怎么去思考我们的安全建设的思路,我们怎么样去构建一个真正有效的安全防护体系。

虽然说安全一直是整个IT的重点讨论话题,但是我们很遗憾的看到,根据数据的统计,在中国整个安全投资占IT的投资比重只有1%到2%,这个远远低于整个欧美市场8%到10%的比例,理想值是15%。可以看到,我们在这个事情上面的投入差距是非常大的。从另外一个角度来说,我们看到这个事情在发生变化,为什么?第一是我们看到确实《网络安全法》等相关法规的颁布,使得责任主体开始重视各种各样的安全建设。第二是最近一两年大型的安全事件的发生,也促使了很多企业和单位开始去思考、开始去加大在安全方面的投入。

但是很遗憾的是,我们看到,以专业的眼光来看,非常多的安全投入其实是无效的,原因有很多。我们看到数字化转型的过程,来自外部的数据说,到了2019年在数字化转型上面的投入会增加60%。数字化转型意味着什么?意味着我们的数字化资产迅速增加,我们的整个暴露面也在迅速的增加。第二,云计算、IOT新技术的应用,也使得我们产生了更多的风险,这些风险是我们传统的安全技术和方案所很难有效解决的。从整个外部威胁的产业来看,黑灰产的产业在快速增加,而我们始终处于被动悲哀的壮大,攻防是不对等的。这是我们现在所面临的一个非常尴尬的局面。而从另一个角度来说,我们过去所投入的这些大量资源建成的安全体系,其实在面向这些新型的安全局势下是失效的。我们看到过去有大量的比如说防火墙、IPS等的采购,在现在的安全局势下是无能为力的。这个都是我们现在所看到的一些很痛苦、很尴尬的局面。

所以我今天想跟大家分享的内容,其实是想从根本上思考、讨论,作为一个企业的CIO,我们在布局和规划整个企业的安全建设的时候,我们到底遵循什么样的思路,我们怎么样思考构建一个真正有效的安全防护架构,来保护我们的数字化转型道路。首先我们要看一下,要回答一个问题,为什么我们长期依赖的这些安全技术、这些手段会失效,到底发生什么事情导致我们过去依赖的一些体系和方案没有办法应对现在的问题。昨天我们也花了很长时间讨论勒索病毒这个事件,我们也看到有一些CIO朋友们是有一些反思的。其实我们回顾这个事情的时候,我们会发现这次勒索病毒所利用的永恒之蓝的漏洞,可以说在4月份我们就已经得到微软发布的补丁,打了这个补丁我们就可以有效阻止这个病毒在我们内部的爆发。那为什么更新率为这么低呢?

第二,勒索病毒这种事件不是第一次发生,我们在过去的整个安全经验的梳理和回顾的过程中,我们为什么没有能够建立起面向勒索病毒这种事情的应急方案?在这个事件爆发的过程中,我们看到很尴尬的一些表现是,过去我们认为一些安全建设比较好的行业,比如说政府、金融、运营商、医院、能源行业等等,在这次事件中都出了问题。为什么他们的安全建设在我们看来是不错的,还会出问题?那些本来投入就不足的客户,在不同的安全事件里面又是什么样的局面呢?大家可以想象。所以我们说,连已知的漏洞我们防护起来都这么困难,那些未知的新型的变种我们怎么能够有效处理、怎么能够防御得住?

如果我们没有办法避免安全事件的发生,昨天乔总也说了没有绝对的安全,这个是目前来说一定是真理,没有绝对的安全。所以我们没有办法绝对避免安全事件的发生,但是我们能不能在事件发生之后的第一时间就能发现这些问题,并且找到一些有效的措施,来降低这些安全问题对我们的业务造成的风险。有一个经验数据说,在黑客入侵以后的48小时内,是应急处理的最佳时间,这就有点像地震后救援的72小时黄金时间一样。如果我们能够在这个时间内迅速的发现问题,并且采取有力的措施,是可以很好的解决或者避免我们的风险的进一步扩大的。

从另外一个角度来说,我们看到传统安全建设一个很重要的弊端,就是防御的思路。被动挨打始终不是一个有效解决问题的方法,我们的安全防御没有办法在事前知道我们有哪些风险的可能性,在事件发生的时候,我们也没有办法快速的去应对这些紧急爆发的问题,事后我们也没有办法及时发现问题并且止损,这就是我们现在所面临的问题。我们传统的信息安全的建设,是没有办法解决我们现在面临的格局的。大家过去在做安全规划的时候一般是不同片区、不同位置、不同类型的安全手段,比如说我要买防火墙、我要买IPS、我要买病毒防御等等,这些碎片化的攻击方式采用的是应对个别问题的处理思路,我们常说的叫头痛医头,脚痛医脚。碎片化的方式确实能够解决一部分的应急问题,但是没有从根本上帮助我们构建一个防御体系、构建一个完整的安全框架。

还有一个问题是,我们这种业务需求的复杂度,在响应的过程中,其实又面临到另外一个痛苦的过程。我们看到安全产品非常复杂,这种复杂度会进一步的影响我们在安全建设上的有效性,也就是我们常说的很难落地。所以这种复杂的方案它需要我们有大量的高端人才,才能够帮助我们去把它用好,能够真正的利用这些手段来构建我们的安全能力。各位,我们有那么多资源能够拥有这样专业的强大的团队吗?所以从这几个问题的角度来看,我们会发现我们的安全建设其实是走入了一个误区,我们总是在做一些头痛医头,脚痛医脚的建设方式。

在这里我想跟大家来探讨的是,我们应该要建设一个能够回归到安全建设本质目标的安全体系。这个体系它将能够真正的帮助我们去构筑我们在数字化转型道路上的安全能力。我们从三个角度来看这个问题,首先我们认为,这个从时间的角度来说,我们需要一个能够从事前、事中、事后具备的完整风险闭环管理的融合安全的架构。第二从空间的维度来说,我们应该要围绕着我们的全业务链去构筑一个立体防护的框架。第三从部署的角度来说,我们应该要能够简单易用、灵活。在事前、事中、事后我们需要闭环管理能力,所谓事前就是在IT日常建设过程中,我们有没有能力自动识别我们的IT资产,我们能不能动态的去了解在我们的整个业务网内,我们所有的这些资产它的一些漏洞的情况、风险的情况,我们能不能智能的去检查我们的安全策略到底是否匹配、是否有效。

在安全事件爆发的过程中,我们能不能结合云端的一些情报分享、安全服务,借助外部专家的力量,来帮助我们在安全的业务过程中,可以持续的增强我们的业务能力。这就是我说的立体防护,大家看一下,我们怎么去落地的问题。过于复杂的安全技术方案,是阻碍我们提高安全建设有效性的最重要的拦路虎。所以我们想要让我们的安全建设不是摆设、不是买回来就放在我们的机架上的开机设备而已,我们要让运营团队真正运用、掌握好它。同时在这个过程中,我们要能够让很低的成本便捷开展日常的安全运营,否则这些东西在一定时间的流转之后,就会变成纸上文章,没有办法有效的落地。

所以说,从体系思考的角度来说,我们要想真正拥有一个好的安全架构,我们需要从融合安全、立体防护到简单有效这几个维度去思考我们的安全建设的整体思路。在这个过程中,我们就会发现有一个问题,即使我们用这种思路去决策、思考我们的安全建设,我们会发现,我们现在所拥有的能力是不具备的,不管说我们自身的能力还是供应商、厂商给我们的能力。比如说融合安全,我们能不能有效的发现我们的资产,能不能发现我们内网的风险、各种业务上的一些异常行为,我们能不能去做到我们的全局安全可视,让我们看清楚业务的整体状态。我们认为,新型的安全架构要想有效落地需要具备三个落地,第一是全网安全感知可视能力,第二是动态感知能力,第三是闭环联动能力。我接下来围绕着三点,结合深信服的产品特点,跟大家做一些简单介绍,让大家有一个比较直观的感受。

第一是全网安全可视,我们的资产和风险在传统的安全架构下是比较难被有效的感知到的,这是因为过去的一些安全技术的不足所导致的。我们现在要具备这种能力,我们需要做到什么呢?我们的核心资产的识别、我们业务的一些脆弱性的分析和一些风险的动态检测,这样才能够使得我们实时了解各个业务部门的业务过程中可能的一些风险。同时我们也有很多内部的一些用户行为风险可能性,我们要有风控的部门,风控的部门怎么才能够检测这些异常的行为,我们同样也需要对全网的安全具备可视的,我们要分析内部的用户以及绕过边界防御进入到我们内网的黑客的异常行为,并且区分合法用户和非法用户,然后让我们的安全团队可以快速、及时、有效的采取对应的安全措施。

在深信服的整个产品解决方案里面,我们非常强调对全网安全的可视能力,比如说我们有新增风险资产发现,我们对内网的可疑失陷业务的主机以及用户异常行为的分析,让我们了解内网的实际情况,所有这些东西都会以大屏的方式直接展示给我们的安全运营团队,我们对于这种实时的攻击、我们的安全态势以及我们内网的一些失陷主机的非法外联,都会有专门的页面呈现给我们的用户,让大家能够第一时间结合外部安全事件的情况去检测、去响应。在危险发生的时候,可以进行有效的取证和对入侵进行有效的处置。

第二个能力是动态感知能力,为什么说动态感知?我们会迁一些外包的安全服务,比如说每个季度或者每个月会有安全团队上门,带着一些扫描的工具,到我们的内网来对我们的内网的业务进行扫描分析,给我们一些业务漏洞和风险的报表。但是各位数字化转型意味着什么?我们可能在新增业务的过程中,这些就一定会使得我们内网的资产每天都在发生变化,所以我们需要能够去主动的识别这些新增的业务,减少新上线业务产生的风险在内部的扩散。同时我们会实时扫描整个内网的业务流量,对于这些业务流量去分析它潜藏的业务风险。比如说,我们发现某个业务系统它的流量里面使用的系统版本或者协议是最近刚刚爆出来的某个漏洞所对应的,我们就会把它以一个非常直接的方式展示到我们的安全运营团队面前,告诉他你的某某系统使用了某一个软件是有风险的,它最近的漏洞是什么样的,会给出处置建议。这些就是它能够动态地让我们的安全团队可以感知全网的业务情况,在安全事件发生的时候,我们也会结合过往全网分析的数据结果,来为我们的运维团队提供安全事件的应急处置的建议和辅助。

在深信服的解决方案里面,我们非常强调整个动态感知的算法,我们一方面是直接对整个内网的流量进行持续的检测,并且我们也会采集来自于一些防御的设备、流量的设备以及云端上的威胁情报,通过这些情报的整合和我们对内网的持续分析,我们可以对内网的风险行为进行检测,对一些异常的行为包括资产的一些异常流量进行检测,然后会对用户的一些行为进行关联性的分析。这样我们可以动态的去发现业务资产风险,动态的发现一些高级的安全威胁,发现一些内鬼的违规操作。

第三个是闭环联动能力,为什么要强调闭环?因为我们知道,从攻防的角度来说,防的成本一定是远远高于攻的成本的。从攻防的角度来说,我们一定要想办法提高攻击的成本,才有可能使得我们在拥有有限资源的情况下,去具备攻防对等的能力。所以我们会有很多的联动机制来去阻断黑客的一些入侵,比如说我们的下一代防火墙,我们的下一代防火墙在部署以后,它会发现在流量里面会有各种类型的攻击尝试,这些攻击尝试一旦经过我们的算法检测,发现是属于攻击行为,我们就会生成防火墙的规则,动态的去阻断。一个形象的说法,黑客攻击一会发现被切断了,他就会换一个来攻击,黑客的攻击就会被大幅减缓,使得我们拥有应急处理的时间周期。

再比如说我们的全网安全感知平台,与下一代防火墙是可以联动的。防火墙的日志、交换机的流量分析会被全网安全感知平台基于大数据的一些分析模型去进行检测,结合我们云端的一些威胁情报,我们会识别到在我们内网的安全威胁,我们会下发阻断的指令,给到我们的下一代防火墙,这样下一代防火墙就会直接阻断入侵的流量。这个就是平台和产品的联动。

还有一个联动就是来自于云端和本地的联动,我们会有一些风险监测的服务,比如有很多客户会购买深信服网站的风险监测的服务,这个服务当我们发现客户的网站有被篡改或者被植入木马的风险的时候,我们会进行一些应急处置,我们会自动的替换被篡改的页面,并且下发管理员联动的微信,会把相应的一些事件信息发到绑定的管理员的微信上,通知管理员及时处理。如果他同时购买了我们的安全防御的能力,我们还会有远程的安全专家来结合我们具备的安全能力,帮助客户进行安全的事件处置。

总结来说,我刚才讲了,我们从融合安全、立体防护和简单有效这三个维度讲我们的安全建设的思路,也谈到了三个核心的能力。深信服发展了十几年的时间,目前已经构筑了一个比较完整的安全产品族,这个安全族可以解决客户的安全问题,构筑符合我刚才说的思路的安全框架。同时我们也有一些产业合作,我们会有一些合作伙伴进行合作,让他们的方案融入到我们的整体方案里面,为我们的用户提供更加完整的安全框架。我们在不同场景下的信息安全解决方案,我们面对广域网的分支机构会有互联和安全的解决方案,在数据中心私有云的环境下,我们也有全网安全感知风险防御的解决方案。这些都是深信服这十几年来长期以来构建的能力。

我们又给大家一些建议,在我们的安全预算有限的情况下,我们首先要考虑的是构筑关键边界的安全。我们刚才讲了,边界安全不足以解决整个安全问题,但是边界安全仍然是最重要的安全之一。如果你连边界安全都没有,就更不用谈说我们内部的其它安全问题。这个是第一步。第二步,我们要构建一个更加广泛的安全感知平台,我们对资产的发现动态感知能力的建设,这些都是需要及时投入的,因为这种投入将会使得我们更加有效的精准的去掌握我们的内网业务的实时情况。再下来才是我们的一些关键业务加固,还有对我们的核心业务生产区域全网的安全可视动态感知。最后面是采用一些外部的协作,利用优秀的专业的服务厂商来给大家提供自动化的服务。

这个就是深信服在这么多年安全的思考总结,今天跟大家简单的分享一下。我们一直有一个很简单的但是一直很秉持的观点,就是我们要做实用的安全,要让每个用户的安全建设更加有效、更加简单。也希望后面能有更多的机会跟大家一起来探讨,我们的数字化转型道路上的安全建设到底怎么做。各位朋友也可以到我们的展台,我们的展台有专门针对全网感知的一些方案,到底怎么落地有相应的展示和介绍。演讲到此结束,谢谢!

关键字:安全融合

原创文章 企业网D1Net

x 融合安全 立体保护 扫一扫
分享本文到朋友圈
当前位置:CIO新闻中心 → 正文

融合安全 立体保护

责任编辑:jackye |来源:企业网D1Net  2017-07-21 13:51:17 原创文章 企业网D1Net

2017 CIOC全国CIO大会7月20日在青海·西宁盛大举办,来自全国的300余位CIO共聚一堂,最接地气的观点、最实用的实战经验、最前沿的技术、最新的产品在此汇聚,碰撞出属于CIO的精彩火花。

以下为现场速记。

主持人:在昨天的大会上,张开翼总给我们介绍了深信服在云和超融合方面的进展,今天张开翼总将进一步介绍他们的拿手本行,我们接下来有请深信服副总裁张开翼为我们带来《融合安全 立体保护》,请大家掌声有请!

深信服副总裁 张开翼

张开翼:感谢各位亲爱的CIO朋友们,又见面了。昨天跟大家分享了我们在云这方面的一些思路和方案,今天跟大家介绍一下我们的另外一块业务。但是我不会在这个会议上讲我们的产品,我们想更多的从根本上跟大家探讨。作为一个企业在数字化转型过程中,我们到底怎么去思考我们的安全建设的思路,我们怎么样去构建一个真正有效的安全防护体系。

虽然说安全一直是整个IT的重点讨论话题,但是我们很遗憾的看到,根据数据的统计,在中国整个安全投资占IT的投资比重只有1%到2%,这个远远低于整个欧美市场8%到10%的比例,理想值是15%。可以看到,我们在这个事情上面的投入差距是非常大的。从另外一个角度来说,我们看到这个事情在发生变化,为什么?第一是我们看到确实《网络安全法》等相关法规的颁布,使得责任主体开始重视各种各样的安全建设。第二是最近一两年大型的安全事件的发生,也促使了很多企业和单位开始去思考、开始去加大在安全方面的投入。

但是很遗憾的是,我们看到,以专业的眼光来看,非常多的安全投入其实是无效的,原因有很多。我们看到数字化转型的过程,来自外部的数据说,到了2019年在数字化转型上面的投入会增加60%。数字化转型意味着什么?意味着我们的数字化资产迅速增加,我们的整个暴露面也在迅速的增加。第二,云计算、IOT新技术的应用,也使得我们产生了更多的风险,这些风险是我们传统的安全技术和方案所很难有效解决的。从整个外部威胁的产业来看,黑灰产的产业在快速增加,而我们始终处于被动悲哀的壮大,攻防是不对等的。这是我们现在所面临的一个非常尴尬的局面。而从另一个角度来说,我们过去所投入的这些大量资源建成的安全体系,其实在面向这些新型的安全局势下是失效的。我们看到过去有大量的比如说防火墙、IPS等的采购,在现在的安全局势下是无能为力的。这个都是我们现在所看到的一些很痛苦、很尴尬的局面。

所以我今天想跟大家分享的内容,其实是想从根本上思考、讨论,作为一个企业的CIO,我们在布局和规划整个企业的安全建设的时候,我们到底遵循什么样的思路,我们怎么样思考构建一个真正有效的安全防护架构,来保护我们的数字化转型道路。首先我们要看一下,要回答一个问题,为什么我们长期依赖的这些安全技术、这些手段会失效,到底发生什么事情导致我们过去依赖的一些体系和方案没有办法应对现在的问题。昨天我们也花了很长时间讨论勒索病毒这个事件,我们也看到有一些CIO朋友们是有一些反思的。其实我们回顾这个事情的时候,我们会发现这次勒索病毒所利用的永恒之蓝的漏洞,可以说在4月份我们就已经得到微软发布的补丁,打了这个补丁我们就可以有效阻止这个病毒在我们内部的爆发。那为什么更新率为这么低呢?

第二,勒索病毒这种事件不是第一次发生,我们在过去的整个安全经验的梳理和回顾的过程中,我们为什么没有能够建立起面向勒索病毒这种事情的应急方案?在这个事件爆发的过程中,我们看到很尴尬的一些表现是,过去我们认为一些安全建设比较好的行业,比如说政府、金融、运营商、医院、能源行业等等,在这次事件中都出了问题。为什么他们的安全建设在我们看来是不错的,还会出问题?那些本来投入就不足的客户,在不同的安全事件里面又是什么样的局面呢?大家可以想象。所以我们说,连已知的漏洞我们防护起来都这么困难,那些未知的新型的变种我们怎么能够有效处理、怎么能够防御得住?

如果我们没有办法避免安全事件的发生,昨天乔总也说了没有绝对的安全,这个是目前来说一定是真理,没有绝对的安全。所以我们没有办法绝对避免安全事件的发生,但是我们能不能在事件发生之后的第一时间就能发现这些问题,并且找到一些有效的措施,来降低这些安全问题对我们的业务造成的风险。有一个经验数据说,在黑客入侵以后的48小时内,是应急处理的最佳时间,这就有点像地震后救援的72小时黄金时间一样。如果我们能够在这个时间内迅速的发现问题,并且采取有力的措施,是可以很好的解决或者避免我们的风险的进一步扩大的。

从另外一个角度来说,我们看到传统安全建设一个很重要的弊端,就是防御的思路。被动挨打始终不是一个有效解决问题的方法,我们的安全防御没有办法在事前知道我们有哪些风险的可能性,在事件发生的时候,我们也没有办法快速的去应对这些紧急爆发的问题,事后我们也没有办法及时发现问题并且止损,这就是我们现在所面临的问题。我们传统的信息安全的建设,是没有办法解决我们现在面临的格局的。大家过去在做安全规划的时候一般是不同片区、不同位置、不同类型的安全手段,比如说我要买防火墙、我要买IPS、我要买病毒防御等等,这些碎片化的攻击方式采用的是应对个别问题的处理思路,我们常说的叫头痛医头,脚痛医脚。碎片化的方式确实能够解决一部分的应急问题,但是没有从根本上帮助我们构建一个防御体系、构建一个完整的安全框架。

还有一个问题是,我们这种业务需求的复杂度,在响应的过程中,其实又面临到另外一个痛苦的过程。我们看到安全产品非常复杂,这种复杂度会进一步的影响我们在安全建设上的有效性,也就是我们常说的很难落地。所以这种复杂的方案它需要我们有大量的高端人才,才能够帮助我们去把它用好,能够真正的利用这些手段来构建我们的安全能力。各位,我们有那么多资源能够拥有这样专业的强大的团队吗?所以从这几个问题的角度来看,我们会发现我们的安全建设其实是走入了一个误区,我们总是在做一些头痛医头,脚痛医脚的建设方式。

在这里我想跟大家来探讨的是,我们应该要建设一个能够回归到安全建设本质目标的安全体系。这个体系它将能够真正的帮助我们去构筑我们在数字化转型道路上的安全能力。我们从三个角度来看这个问题,首先我们认为,这个从时间的角度来说,我们需要一个能够从事前、事中、事后具备的完整风险闭环管理的融合安全的架构。第二从空间的维度来说,我们应该要围绕着我们的全业务链去构筑一个立体防护的框架。第三从部署的角度来说,我们应该要能够简单易用、灵活。在事前、事中、事后我们需要闭环管理能力,所谓事前就是在IT日常建设过程中,我们有没有能力自动识别我们的IT资产,我们能不能动态的去了解在我们的整个业务网内,我们所有的这些资产它的一些漏洞的情况、风险的情况,我们能不能智能的去检查我们的安全策略到底是否匹配、是否有效。

在安全事件爆发的过程中,我们能不能结合云端的一些情报分享、安全服务,借助外部专家的力量,来帮助我们在安全的业务过程中,可以持续的增强我们的业务能力。这就是我说的立体防护,大家看一下,我们怎么去落地的问题。过于复杂的安全技术方案,是阻碍我们提高安全建设有效性的最重要的拦路虎。所以我们想要让我们的安全建设不是摆设、不是买回来就放在我们的机架上的开机设备而已,我们要让运营团队真正运用、掌握好它。同时在这个过程中,我们要能够让很低的成本便捷开展日常的安全运营,否则这些东西在一定时间的流转之后,就会变成纸上文章,没有办法有效的落地。

所以说,从体系思考的角度来说,我们要想真正拥有一个好的安全架构,我们需要从融合安全、立体防护到简单有效这几个维度去思考我们的安全建设的整体思路。在这个过程中,我们就会发现有一个问题,即使我们用这种思路去决策、思考我们的安全建设,我们会发现,我们现在所拥有的能力是不具备的,不管说我们自身的能力还是供应商、厂商给我们的能力。比如说融合安全,我们能不能有效的发现我们的资产,能不能发现我们内网的风险、各种业务上的一些异常行为,我们能不能去做到我们的全局安全可视,让我们看清楚业务的整体状态。我们认为,新型的安全架构要想有效落地需要具备三个落地,第一是全网安全感知可视能力,第二是动态感知能力,第三是闭环联动能力。我接下来围绕着三点,结合深信服的产品特点,跟大家做一些简单介绍,让大家有一个比较直观的感受。

第一是全网安全可视,我们的资产和风险在传统的安全架构下是比较难被有效的感知到的,这是因为过去的一些安全技术的不足所导致的。我们现在要具备这种能力,我们需要做到什么呢?我们的核心资产的识别、我们业务的一些脆弱性的分析和一些风险的动态检测,这样才能够使得我们实时了解各个业务部门的业务过程中可能的一些风险。同时我们也有很多内部的一些用户行为风险可能性,我们要有风控的部门,风控的部门怎么才能够检测这些异常的行为,我们同样也需要对全网的安全具备可视的,我们要分析内部的用户以及绕过边界防御进入到我们内网的黑客的异常行为,并且区分合法用户和非法用户,然后让我们的安全团队可以快速、及时、有效的采取对应的安全措施。

在深信服的整个产品解决方案里面,我们非常强调对全网安全的可视能力,比如说我们有新增风险资产发现,我们对内网的可疑失陷业务的主机以及用户异常行为的分析,让我们了解内网的实际情况,所有这些东西都会以大屏的方式直接展示给我们的安全运营团队,我们对于这种实时的攻击、我们的安全态势以及我们内网的一些失陷主机的非法外联,都会有专门的页面呈现给我们的用户,让大家能够第一时间结合外部安全事件的情况去检测、去响应。在危险发生的时候,可以进行有效的取证和对入侵进行有效的处置。

第二个能力是动态感知能力,为什么说动态感知?我们会迁一些外包的安全服务,比如说每个季度或者每个月会有安全团队上门,带着一些扫描的工具,到我们的内网来对我们的内网的业务进行扫描分析,给我们一些业务漏洞和风险的报表。但是各位数字化转型意味着什么?我们可能在新增业务的过程中,这些就一定会使得我们内网的资产每天都在发生变化,所以我们需要能够去主动的识别这些新增的业务,减少新上线业务产生的风险在内部的扩散。同时我们会实时扫描整个内网的业务流量,对于这些业务流量去分析它潜藏的业务风险。比如说,我们发现某个业务系统它的流量里面使用的系统版本或者协议是最近刚刚爆出来的某个漏洞所对应的,我们就会把它以一个非常直接的方式展示到我们的安全运营团队面前,告诉他你的某某系统使用了某一个软件是有风险的,它最近的漏洞是什么样的,会给出处置建议。这些就是它能够动态地让我们的安全团队可以感知全网的业务情况,在安全事件发生的时候,我们也会结合过往全网分析的数据结果,来为我们的运维团队提供安全事件的应急处置的建议和辅助。

在深信服的解决方案里面,我们非常强调整个动态感知的算法,我们一方面是直接对整个内网的流量进行持续的检测,并且我们也会采集来自于一些防御的设备、流量的设备以及云端上的威胁情报,通过这些情报的整合和我们对内网的持续分析,我们可以对内网的风险行为进行检测,对一些异常的行为包括资产的一些异常流量进行检测,然后会对用户的一些行为进行关联性的分析。这样我们可以动态的去发现业务资产风险,动态的发现一些高级的安全威胁,发现一些内鬼的违规操作。

第三个是闭环联动能力,为什么要强调闭环?因为我们知道,从攻防的角度来说,防的成本一定是远远高于攻的成本的。从攻防的角度来说,我们一定要想办法提高攻击的成本,才有可能使得我们在拥有有限资源的情况下,去具备攻防对等的能力。所以我们会有很多的联动机制来去阻断黑客的一些入侵,比如说我们的下一代防火墙,我们的下一代防火墙在部署以后,它会发现在流量里面会有各种类型的攻击尝试,这些攻击尝试一旦经过我们的算法检测,发现是属于攻击行为,我们就会生成防火墙的规则,动态的去阻断。一个形象的说法,黑客攻击一会发现被切断了,他就会换一个来攻击,黑客的攻击就会被大幅减缓,使得我们拥有应急处理的时间周期。

再比如说我们的全网安全感知平台,与下一代防火墙是可以联动的。防火墙的日志、交换机的流量分析会被全网安全感知平台基于大数据的一些分析模型去进行检测,结合我们云端的一些威胁情报,我们会识别到在我们内网的安全威胁,我们会下发阻断的指令,给到我们的下一代防火墙,这样下一代防火墙就会直接阻断入侵的流量。这个就是平台和产品的联动。

还有一个联动就是来自于云端和本地的联动,我们会有一些风险监测的服务,比如有很多客户会购买深信服网站的风险监测的服务,这个服务当我们发现客户的网站有被篡改或者被植入木马的风险的时候,我们会进行一些应急处置,我们会自动的替换被篡改的页面,并且下发管理员联动的微信,会把相应的一些事件信息发到绑定的管理员的微信上,通知管理员及时处理。如果他同时购买了我们的安全防御的能力,我们还会有远程的安全专家来结合我们具备的安全能力,帮助客户进行安全的事件处置。

总结来说,我刚才讲了,我们从融合安全、立体防护和简单有效这三个维度讲我们的安全建设的思路,也谈到了三个核心的能力。深信服发展了十几年的时间,目前已经构筑了一个比较完整的安全产品族,这个安全族可以解决客户的安全问题,构筑符合我刚才说的思路的安全框架。同时我们也有一些产业合作,我们会有一些合作伙伴进行合作,让他们的方案融入到我们的整体方案里面,为我们的用户提供更加完整的安全框架。我们在不同场景下的信息安全解决方案,我们面对广域网的分支机构会有互联和安全的解决方案,在数据中心私有云的环境下,我们也有全网安全感知风险防御的解决方案。这些都是深信服这十几年来长期以来构建的能力。

我们又给大家一些建议,在我们的安全预算有限的情况下,我们首先要考虑的是构筑关键边界的安全。我们刚才讲了,边界安全不足以解决整个安全问题,但是边界安全仍然是最重要的安全之一。如果你连边界安全都没有,就更不用谈说我们内部的其它安全问题。这个是第一步。第二步,我们要构建一个更加广泛的安全感知平台,我们对资产的发现动态感知能力的建设,这些都是需要及时投入的,因为这种投入将会使得我们更加有效的精准的去掌握我们的内网业务的实时情况。再下来才是我们的一些关键业务加固,还有对我们的核心业务生产区域全网的安全可视动态感知。最后面是采用一些外部的协作,利用优秀的专业的服务厂商来给大家提供自动化的服务。

这个就是深信服在这么多年安全的思考总结,今天跟大家简单的分享一下。我们一直有一个很简单的但是一直很秉持的观点,就是我们要做实用的安全,要让每个用户的安全建设更加有效、更加简单。也希望后面能有更多的机会跟大家一起来探讨,我们的数字化转型道路上的安全建设到底怎么做。各位朋友也可以到我们的展台,我们的展台有专门针对全网感知的一些方案,到底怎么落地有相应的展示和介绍。演讲到此结束,谢谢!

关键字:安全融合

原创文章 企业网D1Net

电子周刊
回到顶部

关于我们联系我们版权声明隐私条款广告服务友情链接投稿中心招贤纳士

企业网版权所有 ©2010-2024 京ICP备09108050号-6 京公网安备 11010502049343号

^