华为从根本上做出转变,致力于未知威胁检测和快速诊断,让网络可信:
· 从被动到主动
我们不再只是基于特征进行粗放式威胁检测和防御,也不只是在企业部署了华为安全产品后才进行威胁检测和防御。在遵守各个国家/地区法律法规、不涉及侵犯隐私的前提下,华为全球部署黑洞、蜜网系统,采集安全事件与样本,为IP、URL和文件构建信誉。企业部署华为安全产品之后,即可享受到华为全球信誉云的服务和评估,信誉评级低于指定水平的对象会被筛选出来,当作可疑对象进行下一步深入检测,绝大多数正常业务不会感知到因为安全检测带来的延迟。90%以上的安全威胁可以由此被消除,而不会带来业务延迟。
· 从技术为本到客户为本
过去,当所谓红色代码、熊猫烧香、CIH等安全事件爆发后,所有的专业安全厂商比拼的都是谁先获得样本,谁先在实验室里定义出特征,然后是谁能够防御。但这些事情都是厂商自己在唱戏,客户通常要很多天后才能获取更新、得到防御、避免进一步的损失。华为把以往只放在专业安全厂商实验室里的技术产品化,部署到客户网络中和云端,直接为客户提供服务,把未知恶意软件的防御响应时间缩短到“分钟”级、甚至“秒”级。其中最具代表性的就是沙箱技术,华为可以为客户提供PE沙箱、移动沙箱、Web沙箱等多种类型的产品子类,被信誉体系筛选出来的少量可疑对象直接导入沙箱进行模拟分析,判断其过程和结果是否恶意,是否有威胁,然后做出放行与否的判断。当前业界流行的APT攻击,绝大多数都是来自或通过未知恶意软件达成,这意味着华为沙箱技术可以实现对APT攻击的有效防御。
· 首次把大数据用于安全防御
当前,对企业威胁最大的安全攻击者不再是以前那些炫耀技术的黑客和愤青们了,而是雇佣黑客来达成商业或政治目的幕后黑手,或者企业内部的恶意窃取者或破坏者,这意味着许多时候要防的不再是一段代码或Flood冲击,而是人,这是传统安全永远也无法企及的领域,即使现在业界也鲜有有效的解决方案。华为通过在自身遍布全球5大洲的企业专网和IT系统上的成功实践,把大数据应用于企业信息安全防御。通过对网络设备、安全设备、终端系统和业务系统的事件采集,在大数据平台上进行关联分析,从而能够发现非法的攻击行为。
举例来说:某个时刻,认证系统发生了一次正常合法的认证授权请求,该用户随即访问了与其权限匹配的文件系统,并下载了关键文档,然后正常退出登录;过了几分钟后这样的过程又发生了一遍。这在一个超过10万人的企业中非常正常,但大数据系统却发现了问题:第一次访问时该用户所在地理位置是中国北京、在公司外部远程接入,但几分钟后的第二次访问却发生在美国加州硅谷。通过网络系统controller排除了合法用户使用代理服务器的可能性后,基本就可以确定这是一起非法盗号入侵事件了,第二次访问会直接被阻断并发出告警。如果网络情况比较复杂,不能排除使用代理服务器的可能性,系统则会进一步关联文件系统,从而发现该用户属于无线部门,第二次访问的文件却是和自己业务完全不相关的终端业务,由此进一步确认该行为的非法性。我们甚至可以关联差旅系统确认该员工当前应该处于哪个城市、关联考勤系统确认该员工是否休假、关联HR系统确认该员工是否有离职倾向、关联CRM系统确认该员工是否正在参与公司重大项目等等。这就是大数据的魅力,但同时也是大数据的门槛所在——几乎每个企业客户都会有定制化的业务诉求,只有具备相当研发实力、安全积累和成功实践的厂商才能够提供解决方案。
可控、可用、可信的敏捷网络,才是真正安全的下一代网络,才能让客户平滑演进到真正质量可控、业务可用的ICT新时代。
