360谭晓生:混合安全云“四两拨千斤”
企业面临的安全环境日趋复杂:每日新增/变种恶意代码数量达300万,每年发现的0DAY漏洞多达数千个,存在安全漏洞的网站占比为65.5%(360网站安全检测平台数据,2013),仅中国被APT木马控制的主机就达到1.5万台(CNCERT数据,2013),DDoS攻击泛滥(360网站卫士日均拦截6800万次CC攻击),尤其是针对DNS的攻击快速增长……
在威胁不断进化的情况下,企业安全供需矛盾愈发明显。尽管安全体系建设的理论在实践中得到升级,但无论从人、产品还是系统,并未形成行之有效的手段,其根本原因,是从事网络安全与从事网络犯罪的专业人才发展极不平衡。
针对网络安全面临的症结,360首席隐私官谭晓生在接受硅谷动力采访时指出,虽然斯诺登事件让企业加强了对安全的重视,但企业安全管理人员不足的问题还很严重,甚至不少企业根本没有安全专职管理人员。
这种情况导致的问题是,企业无法及时地觉察网络攻击。谭晓生提到某大型企业在年初遇到的情况:在外部暴露出明显的安全问题之后,工作人员检查内部安全设备发现告警,却没有人能够判断发生了什么情况。“安全专业性较强,安全设备的告警也有可能误报,普通IT管理人员不一定看明白,只有安全人员才能看出哪个是误报,哪个是真的有问题要深究下去。”他说。
四两拨千斤:“云聚”安全打破人才瓶颈
尽管安全领域的就业形势较好,学校也开始重视人才的培养,但在短时间内培养10万数量级的安全人员并不现实。谭晓生指出:“现在的老师也不懂安全,我们通过进校讲座等活动推进安全(教育),但这些人学成也得3~5年以后。”在人才存在缺口的阶段,如何最大化利用现有的安全人才,是目前破解安全供需矛盾的关键。为此,360提出了混合安全云解决方案。
据谭晓生介绍,安全云是利用后端的云收集前端企业部署的安全设备的相关信息(日志、告警等),结合云端的分析程序和安全管理人员(云中心或第三方),以少数人管理多个企业的方式,来突破安全管理人员紧缺的问题。
通过云计算的形式实现威胁防御并不新颖,在对公有云接受程度较高的美国,Fireeye的未知威胁防护即是把大量的用户设备直接连接公有云进行处理。然而,中国的管理体系导致企业连接公有云的主动性不高,出于对自身信息可控的考虑,更容易接受私有云的方式。
私有云以企业或政府机构为主体,依然属于组织自身安全管理能力的范畴,在其能力无法触及的底层安全问题,可以通过上报更“见多识广”的公有安全云的方式解决。谭晓生说:“公有云连接多个私有云和中小企业,有更多的攻击样本和更专业的安全服务人员。比如360这样的安全公司,运营一个大的公有云,数百名安全专家帮私有(安全)云排忧解难。”
安全云打造“智慧的大脑”
360提出的新安全模型为“云+端+边界”,通过“天眼”、“天机”与边界安全防御进行配合,实现全方位的安全管理。360混合安全云面向所有的安全设备开放,目前已经与网康、网神建立了合作伙伴关系。
在这个模型当中,安全云将传统的安全设备纳入安全防御体系之内,但云与终端、边界安全的职能又有所区分。谭晓生表示,安全云实现的是全局的管理,而防护动作依然需要终端和边界安全来执行。他说:“如果拿大脑和四肢来比喻,不管是终端还是边界,都是网络安全的‘四肢’,‘四肢’有触觉能感知到问题;‘大脑’(安全云)指挥,给予威胁一个防御的动作。动作不可能在云里实现,一定是在边界和终端上做。人和动物的区别在于人是智能的,而不是低级的防御。终端无法知道攻击的厉害,‘大脑’知道。智能的‘大脑’帮你了解更全局的情况,了解攻击来源和最终目的。”
本文转自:推酷网