各位领导、各位专家、各位嘉宾上午好,很荣幸能够有机会代表赛门铁克介绍我们关于大数据安全或者叫做安全大数据的一些体会。
我今天给大家介绍的题目叫做大数据时代的信息安全。相信大家都了解最近一两年内,在IT圈里面最时髦的名词可能是云计算,大数据,SDN,这种技术的变化,这种分析和计算模式的变化到底给我们带来了什么。我们认为它给我们带来了很大的挑战,也给我们带来了很大的机会。为什么我们说它带来了很大的挑战呢?因为我们的日常生活,企业经营对于数据依赖性越来越高,数据量越来越大了。怎么实现这种规模数据的防护,应该说是我们面临的一个很大的挑战,很大的一个问题。
我们为什么说这也是一个大机会呢?我们认为新的云计算的环境,新的大数据的分析方法,给安全分析,安全预警,安全管理,安全防护带来了新的思路,新的机会,它可能会改变未来信息安全的技术格局。
我们来看大数据不管带来的挑战也好,机会也好,它具有什么样的特性。首先大量的事件,大家都知道发生了,企业里面要把安全事件全部收集起来,我记得一个一个数据,每天千万兆防火量产生的数据量是一千万条,当一个技术人员看到一千万条事件和记录,他能做什么呢?什么也不能做。大量的事件,我刚才讲的仅仅是防火墙的例子,从安全视角来看,可能有管理类的,技术类的,有威胁攻击类的,有弱点类的,也有资产状态类的数据信息。这些数据应该是,我们说大量,数量非常非常巨大。还有一个特色,应该说我们现在一个经常提到的名词安全治理,安全治理有人说安全好象是有点像中医疗法,头痛可以医脚,技术上解决不了的问题可以通过管理上解决,管理上解决不了的事情可以通过技术起一些辅助的作用,我想这是第二大特点。
第三大特点,安全一定要有很快的反应速度。我记得上大学的时候,那时候有一个很有名的电影,叫开枪为他送行。做安全可以为他安全送行吗,当事件都发生了,那个时候开枪是送行还是什么,安全需要很快的反应速度,这三点看起来像什么呢?他就是大数据的三个V,就是大数据思路给我们安全管理,安全控制带来的新的思路和新的启发。
我们说为什么要安全大数据呢?安全大数据能够帮助企业解决什么问题。其实有一个很明显的现象,假如说一个企业有CSO的话,你问他说这个企业安全状态到底什么样,你有多少设备,有多少终端,有多少服务器,服务器是什么操作系统,怎么配置的,网络结构什么样。小企业通常说不清的,稍微大一点的说的清吗?在座可能有很多用户,你能准确到十位数说清你企业终端数多少吗,你能马上列出来终端操作系统有多少种,有多少类吗,我相信可能很难有人非常准确的讲清楚。
安全圈里面通常有规划岗和管理岗,他需要了解什么,他做下一年规划的时候,管理考核的时候需要了解,在了解通常的宏观信息的前提下,他要了解企业的基础状态。我经常碰到一些企业做安全规划的人,把我们叫去说这个项目你们过去在省公司,省里面实施项目,你们对这个更了解,能不能介绍一下情况,因为我不了解情况可能没有办法更好的做下一年的规划。
安全岗可能还有一个人做考核,考核到底现状是什么样,到底你的数据中心里面有多少主机是弱口令,有多少应用存在着弱口令,有多少补丁该打。你的整个病毒感染率的指标是什么,这些数据从哪儿来。到了发生问题,发生事件的时候,有人来紧急相应了,他可能先要你网络结构,先要你设备操作日制,这些数据从哪里来。这些问题会导致和目前安全大数据有一句话,我觉得结合的会非常贴切。关于大数据有一句话叫做除了上帝谁都需要用数据说话,我这里想提一个问题,关于你们企业的安全,你掌握了多少数据,你有多少数据。
在不掌握数据,在不熟悉情况的前提下怎么样能够做到更好的企业的安全治理,企业的安全水平的提升。所以说我们说,在新的挑战或者新的机会,安全应该靠数据说话,安全应该靠全面的数据来说话,这应该是说,大数据分析,大数据方法给安全带来了新的机会和新的视角,其实它并不光是新的机会和新的视角,它也同时是一种新的技术。因为说起来大数据的分析方法,应该是说几年前或者十几年前在某一些行业里面就有了,最近变化只是说在存储上,比如说我们有了新的分析方法。有人可能会问了,说你讲这些东西其实我企业也在做,企业也在做事件管理,也在做资产管理,也在做弱点管理。你现在提出的方法和过去提出的方法有什么样区别,它能解决过去解决不了的什么问题。
首先我们说过去的常规的事件管理类的分析方法,我们说分析和呈现能力不够,分析是一个标准的关联性的,而且是内存关联性的,它的常见能力基本上是风险指标性的,而不是整体数据视图类的。举一个很具体的例子,大家都在谈APT,每一个厂家都会告诉你说我能够实时收集数据,分析方法,把攻击路径分析出来,帮助你把安全事件转变成安全事故,方便你运维,这些从技术上来讲都是基于内存级的管理分析技术,分析窗口多长呢?15分钟。如果是一个超过15分钟跨段的攻击,它还能分析到吗?我们先不讲说关联这种关联技术能不能够做很好的关联匹配,我们讲这种内存级的关联技术只有15分钟窗口,怎么样应对APT,这个APT可能因是两年前种下的,我们说震网,据调查在两年前相关的一些程序都已经进入到系统里面,怎么样做跨度超过两年、三年或者时间更长的关联分析,大数据的分析方法,这是大数据给安全带来的一个非常非常大的启发。我们说大数据可能会改变,很多人会说可能改变信息安全格局,我想要点就是在这里。
另外一点,过去的事件管理的产品更多的是注重于威胁视角,更多的是讲我刚才提到事件的关联分析,相对来说弱点视角或者是说政策合规视角相对都是比较弱的,我们为什么叫安全大数据?我们定义的,我们认为这个数据级不应该仅仅是攻击类或者资产类的。回头后面片子里面我会给大家介绍,我们认为一个标准的企业,安全大数据的结构应该有哪些内容来构成。
其实我们说现在常规类的产品还有一个非常非常大的问题,就是说处理容量,处理能力的问题,这完全是大数据的进化和变化能够带来的一个好处,我相信大家都很了解。
谈安全,今天其实这个会我参加很多届了,每一次都有新的面孔出现,新的厂家出现。我想问大家一个问题,安全圈里面有多少种产品,有多少个厂家。我觉得在中国一千家不算多,安全产品有多少种类,我觉得在中国说一百家也不算多,大家会有各式各样的视角,有从技术的视角,有从产品视角,有从实用的视角。要实现企业安全大数据的分析和用大数据方法对企业进行安全管理,我们首先要解决的一个问题是要定义一个企业的标准的防护框架或者模型,它不依赖于产品,应该是分类的。我们认为大概应该分成七类,后面会有介绍。
首先是身份权限的管理,我觉得更好的描述叫做标识管理。为什么我把这一点提到了第一位,给大家讲一个故事,08年的时候,我曾经给一个运营商,一个电信运营商做了奥运系统的安全监控,开幕式第二天有一台交换机报警,大家有点兴奋,说你监控一次奥运会不出点事好象很没有成就感,然后就查,说这个设备叫什么名,设备IP地址是192几几,说这个设备叫什么名?归谁管,在那儿?都不知道。我们说身份管理或者标识管理应该是把管理和技术结合起来的一个唯一的必须的渠道,当你发现是一个IP地址或者一台设备出问题的时候,你怎么样通过管理方法,管理手段去落实到责任部门,责任人。现在很多企业在做安全的时候,在考虑设计所有责任矩阵,这个责任矩阵和你监控类的产品,对应起来当你得到的仅仅是一个IP的时候,很多人共用一个帐号的时候怎么样把技术和管理关联起来,这应该是一个非常非常,这个人在什么时候操作是合法的,什么时候操作是不合法的。张三和李四,它的操作行为有什么判断基准,这都是和管理相关的,所以我们说首先第一大类要素应该是叫做身份管理或者是标识管理,这是把技术和管理沟通起来的一个非常非常重要的桥梁。
我们说第二类叫做访问控制,谈完访问控制大家会说防火墙吧,我们说不仅仅是防火墙,它应该涉及到物理层面的,网络层面的,网络层面的是网络防火墙,物理层面的是门禁。现在有人有一个提法在所谓应用的电子门禁,我们说访问控制有物理层的,网络层的,系统层的,应用层的,业务层的,应该是包含各类的技术,各类的功能,我们说做一个企业整体的框架描述的时候,应该最重要的一点,访问控制不仅仅是网络防火墙,不仅仅是主机防火墙,不仅仅是门禁,它应该是一个全集。
行为安全,现在对于应用安全或者数据安全越来越重视了,我曾经做过一个银行的关于数据防泄露的咨询。当时我们花了很大力气要解决的问题是什么呢?当你传输一个超过100个用户帐号,超过100个用户身份证的文件的时候,你怎么样判断这个传输是一个正常的业务行为,还是一个数据偷窃或者数据泄露的行为。在有一些金融企业里面做运维的时候,他有很简单的行为要求习惯,因为他有变更日,比如说周三是规则系统变更,凡是周三以外所有的系统操作是违法的,我们说这是一种,这并不一定是用了某种技术攻击手段去进行供给,而是根据企业的业务需要,企业的策略要求定义的一种行为,这种行为管理,我们说它也可以是很多层的,在底层,在网络行为层可能会被IDS及IPS查到,在系统行为层通过日制分析到。应用行为层要靠数据分析来实现,比如说当银行发现你的帐号,你的卡,你的信用卡现在在日航新世纪消费200块,这不是问题,但是三分钟后在香港又消费了2000块,这种行为会不会有问题,我们说这是客户的消费行为。在一个电商或者一个有价的网银或者你做的任何充值网站,如果系统监控发现,你在从登录到做了一笔支付,总共只用了五秒的时间,大家觉得这是一个正常的人类的操作行为吗,一个人类能有这么快的速度在5秒钟内完成登录和支付吗。所以说行为检查,行为安全应该是在做业务安全或者数据安全时候非常非常重要的一个方向。
朝下是内容安全,大家想到的是什么呢?防恶意代码,防毒,数据加密,防数据泄露,这些内容应该是说,我们说是数据防护的一部分。然后安全从来都是讲CIA的,很重要的是可用性。目前被事实证明最有效的方法应该是说治理,企业里面要很好的执行的是实时的24小时的安全状况的监控,这些内容我们说构成了我们认为在大数据时代一个整体的防护的框架,它并不是特指某种产品,他只是分级的,只是帮助你能够规范化、标准化企业的防控内容和防护框架。
我们说完了防护框架,今天有人说你谈的是安全大数据,你介绍的是结构,安全大数据的结构是什么样子?我认为安全大数据的结构应该有六部分组成,首先是基础信息,然后是结构信息,然后是防护措施信息,然后是流量,全日制,然后是你相关的技术管理信息,还有一部分是说相关的外部支持。什么叫做基础信息,你有多少设备,这些设备是什么状态,而且这些基础信息其实并不仅仅针对于设备,大家还记得27001对于信息资产的定义是什么?设备软件人数据,这也是一个全视角,这些基础信息是你企业的IT状况的电子地图,电子地形图。你想去打一场仗没有地图怎么打,前两天跟一个企业负责安全的朋友开玩笑是,他要做评估,我说你们现在是基础状况不明,目标不清,怎么做现在也忽略。当然这是朋友私下里面开玩笑,大家想象一下我前面提到的问题,有多少企业从安全视角能够拿到全部基础数据信息,应该很少,这应该是一个很大的一块。然后说我们涉及到后面讲的结构信息,最底层是资产,一个资产组变成的就是结构信息,结构信息我们最长理解安全域边界防护,再朝上是说有了基础架构的情况,有了基础信息,你都有了什么样的防护方法和防护措施。12335里面一个很重要的安全评估模型定义说,我们说防护手段可以减轻一些,你防护手段到底有什么。
我们到了前三个基本上是静态的,然后是说动态的。收来的安全事件日制,这里面我特别提到了一点,我们说流量或者是行为。就像前面讲的那句话一样,我们认为其实企业安全大数据的母体是企业全数据,从大数据的视角来看企业全部数据都可能可以作为安全大数据分析的一个基础。
第五类和第六类定义为技术类和管理类的信息,这种技术标准,我们做合规,合规的依据在哪里,我们做管理,管理的标准在哪里。前几类数据都是企业内部的状态的数据,最后一类总不能关起门来吧,外面的世界是什么样子,现在有什么样,流行什么样的威胁,目前哪类漏洞最多。相信大家可以试想一下,当你拥有了企业的全部的这些数据的时候,这意味着什么呢?大数据里面有一句说法,叫得数据者得天下,我们也可以反过来问一点,大家认为这些数据哪些跟安全没有关系,企业到底是否拿到了全部的数据。这是我们建议的一个建设企业安全治理环境或者安全管控环境的简单的模型,这里面我想特别的说,塔尖上这一层,在3月份的2C大会上,应该是在旧金山开的,赛门铁克CTO给出一个统计数据,说安全大数据分析师的职位从2001年开始纳入美国的统计范围之后,这几年里面失业率为零,平均工资是最高的。我们说在大数据分析领域可能会有各式各样职业,其中有一个职业是安全大数据分析师,因为大数据的核心并不一定是说能够完全的自动化,大数据的分析师是要有懂业务的,懂分析方法和模型的人参与的。所以我们的观点,未来随着大数据的发展,大数据分析师的职业会越来越火爆,随着安全大数据的发展,安全大数据分析师的职位会越来越重要,它会对企业越来越有价值,企业除了要拿到数据之外,还要能够有分析的能力。
我们给出一个概要的框架,这是赛门铁克我们认为做企业安全大数据的时候,应该分的层次,每个层面应该解决的问题,最上层当然是老板级的,CSO,下层是具体的技术执行人员,安全国内通行的讲法,我们说动静,防御是对台的,合规是事前的。其实在安全里面,在大数据视角来看,我个人认为所谓的事中事前事后已经模糊了,因为每次你做的任何一个,哪怕是过去一个攻击的事后处理都是你下一次的事情。安全大数据能够帮助你把所有的事情尽量在前面解决,尽量挖掘前面的内容和信息,这是我们给出的解决方案的架构建议。其实比较荣幸的给大家介绍一下,事实上我个人认为赛门铁克是目前世界上最大的安全大数据服务厂商,我们有一个覆盖全球的智能网络,这里面有一些数据,是每小时分析16亿条数据,在全球应该说将近200个国家和地区部署了检测设备,它能够帮助我们分析互联网上,当然这个服务,这个系统主要是假设在互联网上,他监控互联网上威胁变化,我们知道赛门铁克每年会发布互联网报告,很多买了赛门铁克产品用户会享受到数据预测类,数据分析类的服务。
最后我们的观点,安全服务越来越重要了,将来尤其是对中小企业安全即服务,服务的基础是什么呢?服务的基础是数据,没有数据你谈何服务。实现这个服务,现在目前还不存在包治百病的分析模型和分析算法,有一个职业非常重要,安全大数据分析师,通过分析师,通过大数据的算法,通过IT技术的进步,我相信很快就会有一个全新的安全管理,安全分析的模型,为企业信息安全治理提供更好的手段和方法。
我今天介绍到这里,谢谢大家。
TAG: 的 解决方案 我们 日常生活 依赖性
