美国当地时间3月4日,全球网络安全领域的顶级盛会RSA Conference 2019正式拉开帷幕,来自世界各地的顶级信息安全企业、各行业 IT 决策者、资深安全专家以及学术界的领军人物齐聚美国旧金山,共同探讨安全产业发展趋势与前沿技术。RSA大会精英云集、精彩不断,深信服安全专家亲临现场,结合中国企业的现状,梳理以下安全趋势供大家参考:
资产梳理成为全球网络安全最新风向标
今年RSA大会最火爆的信息莫过于在有着“全球网络安全风向标”之称的创新沙盒环节,Axonius斩获该项目的冠军。据了解,Axonius其主打产品是网络安全资产管理平台。该平台主要帮助用户梳理工作网络中存在哪些资产和设备,确认是否符合该单位的安全保护要求。
深信服一直认为,安全建设必须在安全可视的基础上,任何人都无法保护“未知”东西的安全性。因此,如果没有完整的、详细的主机资产清单,安全运维人员就无法确保组织的安全。且资产的所有者与资产的关联关系不够清晰,安全责任难以落地。
对此,深信服通过全面部署应用深信服终端检测与响应系统,实现全网终端资产的全面管理功能,管理对象包含业务服务器主机和用户PC终端。盘点每台终端设备的名称、IP地址、MAC地址、所属组织、责任人、资产编号、资产位置等信息。使每台终端资产信息清晰展示,每个安全事件责任到人,从而将安全管理工作落实到位。
AI技术进一步融入文件、行为、流量检测
AI在网络安全中的应用在这几年一直热度不减。 在Gartner发布的“2019年十大数据与技术趋势”的文章中,预测增强型分析(Augmented analytics)、持续型智能(continuous intelligence)、可解释型人工智能(explainable AI)、数据与分析(data and analytics)等几项技术将在最近3~5年内发生重大改变,在十大技术中,至少有6项与人工智能、机器学习技术密不可分,不难发现安全行业即将进入人工智能与传统安全技术激烈融合、快速生长的新时代。
往年AI在安全领域更多的是一种理论探讨,今年在RSA上看到的是大量人工智能在安全领域的落地实践,包括在文件、行为、流量等方面检测上的应用。比如利用AI实现的用户行为分析应用技术(UEBA),能够快速帮忙组织发现诸如上班怠工、外泄数据等的异常用户行为。
深信服在人工智能与安全领域融合的应用中也取得不少前沿性的成果。比如研制的基于人工智能的DGA域名检测引擎,不仅能够判断域名是否恶意,还能准确预测出该恶意域名属于哪个家族。通过家族分类信息,安全运维人员能够更快更准确地作出响应。
当然,AI并非万能。一方面应当拥抱AI,运用AI来解决过去解决不了的问题,并利用AI的泛化能力来对未知威胁进行有效防御;另一方面,应当对AI保持一种客观的认识。只有充分了解AI的利与弊,才能真正的让AI在安全领域落地开花。
合规性依然受到行业重视
在本次RSA大会的最火热的创新沙盒环节,有三家参赛厂商都提到了GDPR(《通用数据保护条例》)这个关键词,并从各个维度阐述了方案。不少展商也展示了基于GDRP、CCPA(加州隐私法案)等合规需求的解决方案,可见合规建设依然是当前的重点,甚至倒逼技术的发展。
深信服在GDPR保护方向上也做了很多的创新投入,通过行为感知智能识别网络外发数据中的个人隐私信息,包含身份证号、手机号、社保账号等,记录相关信息,并实现及时告警。
此外,在国内,国家对加强网络安全法制建设也提出了明确的要求。国家公安机关作为国家网络安全执法机关之一,已经在《网络安全法》基础上将网络安全等级保护制度作为网络安全合规的重点工作予以推进,并已经出具一系列具体要求和实施措施。
因此,在面临日益复杂的新技术与趋严化的外部监管环境,深信服建议企业应主动对网络安全合规及其相关的网络安全等级保护工作投入更多资源,及时识别业务环节中与网络安全合规相关的业务或系统,以及其潜在的合规风险,并采取迅速有效的安全保护措施以应对安全合规要求。
基于托管的检测与响应
在此次大会上,基于托管的检测与响应方案也让人眼前一亮。比如创新沙盒参赛商Capsule8带来的混合环境中的实时0day攻击检测、溯源和响应平台,主要的技术创新就是结合了人工智能及类边缘计算的检测模型以提高检测速度。此外将专家知识与检测引擎结合,提高识别准确率,如果将专家支持包装为独立的服务,即为云中的MDR服务。
整合了专家的安全经验和机器学习进化以及永不休息的优势,这一点跟深信服在2018年新发布的安全托管服务MSS的思路不谋而和。通过安全运营平台的7*24小时监测,帮助用户持续评估风险并通过高级安全专家的7*24小时云端值守,帮助用户持续对抗攻击和快速响应。
基于ATT&CK攻击框架的EDR检测
终端安全仍然在今年展台上占有重要地位,EDR技术在去年大热过后,今年已成为终端安全的标配,为企业安全提供了基础的保障。当然,今年的EDR,也有了不少的突破与创新,比如基于 ATT&CK(对抗战术、技术与常识)攻击框架的EDR产品。
ATT&CK是在公共和私营公司、学术机构和政府机构的帮助下建立的一个全球性网络对手战术和技术知识库。该知识库提供了一套对安全违规事件进行评估的通用框架。
利用 ATT&CK 的客观与开放测试,用户将能够提供自身安全保障能力,还能确定基于ATT&CK的EDR产品是否具备检测高级威胁的能力,有助于推动整个端点检测与响应市场的顺利发展。
对行业趋势准确把握,才能更好地解决用户需求,提供更加简单有效的安全解决方案。深信服作为前沿的安全厂商,已经在各个产品上做了整体的布局。从RSA大会的风向标上也进一步验证了深信服整体解决方案的前瞻性。深信服将始终走在行业趋势前沿,为用户提供面向未来,有效保护的安全!