安全策略對(duì)癥下藥你需要 “可行動(dòng)”的情報(bào)

李麗

安全信息共享已成為安全策略中最關(guān)鍵的因素之一，與此相對(duì)應(yīng)的是企業(yè)的動(dòng)態(tài)安全體系。那么維系動(dòng)態(tài)安全體系的核心又是什么？答案是——可執(zhí)行的（actionable）威脅情報(bào)。

如何讓情報(bào)“可執(zhí)行”

作為Fortinet首席安全戰(zhàn)略官的Derek Manky，同時(shí)也是一位業(yè)界知名的網(wǎng)絡(luò)安全專家，他的研究和意見(jiàn)曾被國(guó)際上許多相關(guān)機(jī)構(gòu)采納，并用于構(gòu)造主動(dòng)的網(wǎng)絡(luò)安全的未來(lái)，對(duì)全球打擊網(wǎng)絡(luò)犯罪的戰(zhàn)爭(zhēng)產(chǎn)生了積極影響。

在2018 ISC互聯(lián)網(wǎng)安全大會(huì)在北京召開(kāi)之際，Derek Manky又一次來(lái)到中國(guó)。這一次，Derek Manky帶來(lái)的正是FortiGuard安全實(shí)驗(yàn)室對(duì)全球網(wǎng)絡(luò)威脅態(tài)勢(shì)的最新研究成果。他特別談到，2018年第二季度在中國(guó)檢測(cè)出230萬(wàn)病毒的攻擊，新的惡意軟件相比較第一季度出現(xiàn)了很多變種。

IP地址、惡意軟件、流量行為和域名是網(wǎng)絡(luò)攻擊的基本組成部分，他們可以很容易地改變和移動(dòng)。而應(yīng)用威脅情報(bào)的目標(biāo)就是要在攻擊鏈條任何一點(diǎn)上阻斷它，并利用威脅情報(bào)進(jìn)行響應(yīng)。

熟悉Fortinet的人都知道，F(xiàn)ortiGuard安全實(shí)驗(yàn)室在Fortinet 2000年成立之初便已建立，這也是Fortinet區(qū)別與其他安全廠商的獨(dú)特之處。目前其全球威脅研究與響應(yīng)團(tuán)隊(duì)每年處理超過(guò)65萬(wàn)億次安全事件，以提取及時(shí)和相關(guān)的威脅情報(bào)。

不過(guò)，當(dāng)前地下黑客暗流涌動(dòng)，攻擊范圍和種類無(wú)所不及，但是目前還不可能有一家廠商可以掌握所有情報(bào)。四年前，F(xiàn)ortinet作為牽頭人與McAfee、賽門鐵克和Palo Alto共同創(chuàng)建了網(wǎng)絡(luò)威脅聯(lián)盟CTA。隨后思科、Checkpoint也加入了該組織。如今的CTA已經(jīng)擴(kuò)大成為擁有保護(hù)世界各地客戶能力的英雄聯(lián)盟。

Fortinet認(rèn)為實(shí)施有效的威脅情報(bào)收集和共享流程是任何安全策略的重要組成部分。同時(shí)，從多個(gè)信息來(lái)源收集威脅情報(bào)，然后進(jìn)行分析處理和關(guān)聯(lián)，才是威脅情報(bào)的價(jià)值所在。

“可怕的是如今地下暗網(wǎng)已經(jīng)開(kāi)始形成了聯(lián)盟，這使得安全情報(bào)聯(lián)盟越來(lái)越重要。我們必須通過(guò)聯(lián)盟和合作的方式，來(lái)共享安全威脅情報(bào)。Fortinet中國(guó)技術(shù)總監(jiān)張略在采訪中對(duì)記者表示說(shuō)。

“通過(guò)網(wǎng)絡(luò)威脅聯(lián)盟提供的情報(bào)，我們會(huì)進(jìn)行分析，并通過(guò)IOC整合到我們的Security Fabric安全架構(gòu)中的各個(gè)安全組件。如果沒(méi)有這些分析和整合，這些情報(bào)只能是死情報(bào)，而我們要提供的一定是可執(zhí)行的情報(bào)。”Derek Manky如此談到。

對(duì)于Derek Manky談到的可執(zhí)行的情報(bào)，是指通過(guò)整合和分析后FortiGuard提供的威脅情報(bào)，搜集并不只是特征庫(kù)，而且會(huì)提供相關(guān)攻擊方法的信息和攻擊場(chǎng)景的背景信息。詳細(xì)到諸如滲透進(jìn)入網(wǎng)絡(luò)的工具是什么、攻擊是如何在流量中隱藏或逃避檢測(cè)的、哪些數(shù)據(jù)被竊取了，以及攻擊如何回傳到它的命令與控制服務(wù)器等等詳細(xì)特征。

在過(guò)去的六年中，F(xiàn)ortinet開(kāi)發(fā)了AI機(jī)器學(xué)習(xí)體系，超過(guò)120億的可疑程序， 通過(guò)計(jì)算機(jī)的編碼放到沙盒里進(jìn)行相關(guān)的反病毒技術(shù)的研發(fā)。

正是通過(guò)這項(xiàng)基于人工智能的檢測(cè)系統(tǒng)，F(xiàn)ortinet在零日惡意軟件的檢測(cè)中，截止到目前共檢測(cè)出570個(gè)零日漏洞。要知道，一般安全廠商在零日漏洞的檢測(cè)和發(fā)現(xiàn)能力普遍是20～30個(gè)，最多一百個(gè)。

整合的情報(bào)，聯(lián)動(dòng)的安全

從Fortinet Security Fabric的問(wèn)世那日起，也就意味著Fortinet的安全策略是希望通過(guò)一個(gè)架構(gòu)，把包括網(wǎng)絡(luò)安全的每一個(gè)層次聯(lián)合起來(lái)。現(xiàn)在的Fortinet要做的是將企業(yè)數(shù)字空間和數(shù)字科技的所有領(lǐng)域整合進(jìn)一個(gè)安全體系，這個(gè)安全體系能夠提供連續(xù)、可信的業(yè)務(wù)保障與運(yùn)行。

“Security Fabric一直在不斷更新變化，并在不停進(jìn)行整合。”Derek Manky談到的整合包含兩個(gè)層面，一是產(chǎn)品上的深度集成，二是合作生態(tài)系統(tǒng)的整合。

以前文中提到的沙盒為例，作為Fortinet Seurity Fabric 安全架構(gòu)的一部分，F(xiàn)ortiSandbox在企業(yè)整個(gè)攻擊面上與Fortinet安全解決方案集成，包括NSS實(shí)驗(yàn)室推薦級(jí)的 FortiGate NGFW、Fortinet IPS、FortiWeb和FortiClient解決方案，自動(dòng)共享威脅情報(bào)，從而在網(wǎng)絡(luò)的不同維度都建立起有效的防御。

我們知道，提高云環(huán)境中的安全性能很具挑戰(zhàn)性，鑒于需要處理的數(shù)據(jù)量非常之多，云端安全有可能變得成本更高或成為瓶頸。而Fortinet正是通過(guò)提高可見(jiàn)性和控制力來(lái)縮小云端受攻擊面。這其中的挑戰(zhàn)就包括Fortinet對(duì)FortiGate 安全設(shè)備進(jìn)行了重大優(yōu)化，使設(shè)備的單核處理速度比之前的基準(zhǔn)值快三倍，增加了在單一虛擬機(jī)中選擇16、32或更多CPU核心的容量選項(xiàng)。

IT和OT的融合以及BYOD帶來(lái)的周邊設(shè)備激增，都使企業(yè)網(wǎng)絡(luò)的攻擊面不斷被放大。而通過(guò)收購(gòu)Bradford Networks，將其技術(shù)高度整合在Security fabric架構(gòu)中，將其安全管控?cái)U(kuò)展到了網(wǎng)絡(luò)邊緣，也增強(qiáng)了Security fabric架構(gòu)中IOT安全方案的交付能力。

在不斷進(jìn)化的攻擊面前，防御一方也應(yīng)該進(jìn)行相應(yīng)的進(jìn)化，這是豪無(wú)疑問(wèn)的。如今的Fortinet又提出了“群體智能”這一概念，也就是彼此連接，情報(bào)共享，形成群體智能。這也是Fortinet“整合、協(xié)同，聯(lián)動(dòng)”安全架構(gòu)的意義所在，在不同的攻擊維度建立安全響應(yīng)機(jī)制。幫助用戶構(gòu)建一套足以和敵方抗衡的智能Security Fabric網(wǎng)絡(luò)，是不變的核心。