安全的价值依托于业务的发展,业务创造价值,而安全则是守护业务。在传统企业纷纷进行数字化转型的过程中,企业将自己的数据流、信息流和业务流进行了数字化的重构,实体资产和人力管理转变为数字资产与自动化、系统管理。
当传统企业还在进行艰难的数字化转型时,部分互联网企业已经进入下半场,开始智能化转型,数据流、信息流和业务流做进一步分析和优化,与之相对应的是快速发展的人工智能等新兴技术。
这些新技术带来的一方面是机遇,另一方面则是挑战。在新技术的催生下,对企业安全的攻击方式也开始迅速进化,以勒索软件为例,在很多传统企业尚不知数字货币为何物之时,黑客已经通过自动化技术生成大量快速随机传播的无差别攻击勒索程序,趁企业在迁入新环境尚立足不稳之际,一举攻破企业的安全防护体系,随即迅速传播,加密整个企业内网的数据文件,让企业饱受其害。
1、企业的内网环境和互联网的环境并不相同。
对企业来讲,大型企业在发展过程中往往会呈现向平台化发展的趋势,整个数字生态系统,以及在这整个生态系统中流转的数字资产在周期化的运行中,对它的安全考量、风险的防护是需要核心考量的因素。
对中小企业来说,对生产和生产环境、对数字资产的安全性要求同样是一个企业在运营过程中需要核心考量的因素。
出于对数据保密性、可用性和完整性的要求,60%-70%的企业在数字化转型中使用内网。但内网隔离的企业环境与互联网的环境并不相同,这导致了传统互联网安全厂商无法满足企业对终端杀毒的需求。
一方面,传统互联网安全厂商过于依赖云端的查杀能力,在互联网环境中借助云端查杀对病毒90%+的检出率,一旦进入企业内网,无法借助之前的云端查杀后,对新兴病毒的检出率就会大打折扣。
另一方面,很多传统制造型企业比如钢铁厂以及医院等民生机构,系统非常老旧。以Windows XP为例,很多互联网安全防护软件会出现严重的不兼容、不适应、无法安装和及时更新的问题,加之沉重的特征库会占用大量资源,影响企业的业务安全和生产效率。
此外,由于传统的针对端的安全防护是单点防护,兼容出现问题不说,企业的维护成本也非常高昂。在以往,单台或者少量的设备出现问题,往往可以请安全应急专家来进行维护和加固,维护和管理的成本也并不高。但伴随着安全环境的变化,一台被攻破、整个企业内网遭殃,企业在数字化转型中遭遇了新的难题。
2、AI之矛,勒索软件横行。
2015年,勒索病毒兴起,大肆进入我国。
2016年,勒索病毒大爆发。
2017年,5月12日WannaCry的肆虐,短短数小时内席卷全球150多个国家和地区。
2018年,GlobeImposter、GandCrab,短短半年出现了多个变种版本,感染用户数量创新高、破坏性超出以往。
在战场上让大量普通士兵重伤的,不是狙击,而是机关枪。同样,对大部分组织造成重大信息安全事件的威胁,不是有组织的定向攻击APT,而是大量快速随机传播的无差别攻击勒索程序。
狙击到机关枪的转变,反映了这些勒索病毒的一个相同点:都采用了自动化生成技术。而伴随着AI技术的发展,病毒攻击的未来的趋势是它们数量和样式会更多、传染更快、破坏力更强。
如果说早期的勒索软件是由人来编,在重新变化它的组织、操作与数据流后,导致原来的检测失效。
那现在就可以通过AI自动化技术自动生成恶意代码,它可以通过大量的数据和样本来机器学习恶意代码的运作方式,进而导致新病毒的产生呈现出指数级的增加。
通过AI的自动化技术生成新的恶意代码,攻击方有了新的火力支持,狙击枪进化成了自动化机关枪,在这个过程中防御方将要面临更高的安全风险,防御端检测面临的挑战也就更大了。
3、攻防升维
安全领域强调的是攻防对抗,当攻击方的能力增强之后,压力就转移到了防守方上。
攻是单点突破,找到一个点,并通过这个点渗入进去挖开他的防守体系,进而拿到内部网络更多的东西。
而防则不一样,防讲的是纵深防御,是面的问题更是点的问题,从面上讲,企业要全面去防;从点上来说,企业的安全防护就要做深做细,以前安全业内一直在讲木桶原理,指的是企业的安全体系是一个木桶,安全防护体系中如果有短板,如同水会从短板的地方流出来,攻击方也会从短板的地方侵入。
以勒索病毒为例,深信服安全专家邹荣新给我们分享了一个小故事:“WannaCry爆发时,我这边成立了安全应急团队,大概十个人左右的一个团队,我们从客户那边观察到,以前客户里头他一台机器出了问题,那就你的这台机器出问题,大不了把你机器重装就完了,现在病毒一进来以后,它会快速蔓延,可能在几分钟之内你的几百台、上千台机器就全部中招了。”
永恒之蓝利用微软的MS17010漏洞,攻击性之强覆盖面之广甚至可以让一个公司的全部几十台服务器短时间内全部被加影子账号。黑客利用美国NSA公布的信息来谋利、做破坏性的工作,这是之前所没有的变化。
4、如何应对?传统特征杀毒的无力。
传统特征杀毒是基于病毒特征库方式进行杀毒,在面对新型病毒或变种持续产生的情况下,往往呈现被动、后知后觉的特点,缺乏快速响应机制。
另一方面,由于本地病毒特征库是有限的,当特征库与已知病毒样本不匹配时,查杀就会受限,这点在企业隔离网环境下失去云端查杀能力时表现得尤其突出。此外,由于特征数量不断增多,特征杀毒会加重终端资源以及运算成本。
最后,由于未实现一体化防护,会导致企业的管理运维量巨大。
攻击方可以用AI的技术来提升它的工具,提升它的效率,减少它的攻击代价。而攻防本身讲究的是个代价的问题,攻方究竟愿意用多少的资源来攻破一个目标,攻破过后能获得多少利益,那防御,则是企业愿意投入多少资源来防御到什么样的程度。
以往,大型企业可以投入巨额的资金来请业内的安全专家来进行人力的安全紧急响应,但是现在面对动辄有几栋楼之多的服务器,通过人力进行应急显然已经不再现实。
而对中小企业来说,就更难以承担高昂的安全维护成本。在这样的情况下,将预算放到端的检测和响应上,无论从效果还是花销上来看,都是更为明智的选择。
基于端的检测和响应来构建一个安全防护体系;通过云网端的融合做到点面结合来纵深防御;通过一个统一的管理平台来进行统一的安全管理;通过采用AI技术来应对自动化攻击;这些,就成为了应对攻方升级的不二法门。
5、技能进化:深信服新一代终端安全EDR和它的SAVE引擎
为了应对进化后的攻击方,作为防御方也应该完成它的进化。
对此,深信服提出了新的安全理念:面向未来,有效保护。面向未来,有效保护就是以明晰过去和现在的威胁和挑战为基础,预测未来趋势,并通过技能进化和智力进化提升预测、防御、检测、响应能力,持续应对新的风险和挑战,保障信息资产的保密性、完整性、可用性达到预期要求。
同时,基于“面向未来,有效保护”的安全理念,深信服也提出了新的安全架构,该架构的核心是“进化”——以“技能进化”和“智力进化”,持续提升保护的有效性。
技能进化就是从安全建设”以防御能力为核心”进化到“以检测能力为核心”。
反映到具体的端点上,则是深信服基于传统端点检测和响应EDR的进化,打造的下一代终端安全EDR。
EDR本身是一个很早就有的安全解决方案。但深信服通过在技能进化上具有里程碑意义的SAVE安全智能检测引擎,完成了创新。
SAVE安全智能检测引擎使用了创新的人工智能无特征技术,能够进行算法的自我优化、特性的自动提取,相比传统使用固定算法、人工提取特征的传统检测引擎来讲更具优势,能够对勒索病毒变种及其他未知病毒进行准确检测。
通过SAVE引擎,深信服新一代终端安全EDR,对未知病毒检出率高达97.8%,对已知病毒检出率高于99%,对与之前肆虐的Globelmposter勒索病毒,查杀成功率更是达到了100%。
SAVR引擎的背后是深信服每年行业内无出其右的研发投入(每年投入利润的20%以上)、由博士和博士后科研团队所组成的创新研究院在应对挑战时的勇于创新与坚守、和安全团队十多年来积累的丰富行业经验与安全知识库。
在数据方面,凭借着多年在企业领域安全防护的实战经验,深信服获得了大量的真实威胁数据信息尤其是企业所面临的恶意代码、恶意流量数据,为了进一步扩充数据的样本量,深信服也与诸如谷歌等公司合作,进行数据导入,提高辨别准确度。
在算法方面,深信服数据解析的角度也有创新之处,它更多的去从安全防护比如勒索软件的角度进行解构,然后再去尝试各种各样的算法。
通过人工智能赋予用户以持续进化的预警、防御、检测与响应能力,方能以不变应万变,在不同的场景中进化出不同的模式来应对威胁。
深信服通过AI技术打造了新一代终端安全EDR,又辅以了与网、云的结合。
深信服安全云脑作为威胁情报搜集和响应的中心,当发现到威胁情报后会第一时间推送给深信服新一代终端安全EDR与深信服新一代防火墙AF、安全感知平台SIP、上网行为管理AC等网络安全管理。
如果把深信服新一代终端安全EDR比作点的话,那么深信服新一代防火墙NGAF、安全感知平台SIP、上网行为管理AC就是面,通过点与面结合方能打造了一个完整的企业安全防护体系。深信服新一代终端安全EDR补齐的就是企业安全防护体系这个木桶的最后一块短板。
通过对云、网、端的融合,结合了EDR的全网安全设备联动机制是一整套的云管端闭环系统,解决了传统安全防护的体系弱点和能力缺失,可以高效实现病毒防护、具有对已/未知威胁的准确检测与发现、快速响应等功能。
而基于Agent加管理平台的部署模式,还可轻松实现资产盘点、合规审查,以及基于应用角色的微隔离防护和流量可视化管理等功能,让企业的管理管理能力足以应对新的威胁。
面向未来,有效守护!深信服新一代安全EDR将秉承深信服的安全理念。在寒夜来临之时,做企业安全的忠实卫士。