随着联网设备的增加,安全威胁的来源变得更为广泛。预计到2019年连网设备达到200多亿,而这些联网设备的类型也将更加多样性。大量智能终端访问企业内部数据的需求,以及移动办公、BYOD的兴起,对于企业安全防护带来新的挑战。
攻防态势严重失衡
在互联网+时代,接入设备数量的增长,黑客攻击的入口增多,防范的难度也随之叠加。分析显示,当前安全威胁态势的特点有三大表现,首先企业公有云、私有云的应用,云化趋势迫使形势越来越复杂。其次,攻防时间严重失衡,黑客入侵的周期非常短,75%的攻击在一天内破译,而检测以及修复漏洞,需要几天、几个星期甚至上月的时间。第三,资源短缺,受成本因素影响,企业IT安全预算相对缺乏,专业的安全运维人员缺乏,迫使企业需要利用更少的资源,更快地解决严重的威胁。
其中,首要解决的是攻防时间失衡问题。从入侵到发现再到修复的全过程,入侵阶段是以分钟来计算,攻击成本非常低。对于防守者,发现入侵环节可能需要几个月甚至几年的时间。甚至一些大的银行、大型连锁零售商,其入侵事件在一年多之后,被媒体公布或者出现黑市信息交易,方才知道被攻击,可见发现入侵的环节存在短板。
同样,由于安全开发人员不足,发现入侵后的修复时间也远高于攻击时间。普遍的修复时间需要一周以上,甚至需要花费几个月的时间完全清理掉被攻击的痕迹,时间的失衡是阻碍安全防御的关键。
在此基础上,黑客的攻击是多渠道的,比如发送钓鱼邮件,网页欺诈页面、U盘感染等方式。然而预算有限的企业通用的安全策略,仅在关键点部署必要设备,其他的点无法防范,因此采用安全防范的措施都是孤立防护。
让安全架构协同互联
那么,如何让安全策略变得完善?让安全架构具备通过过去的事物进行学习和自适应的能力。简单说,就是变被动攻击为主动防御,一方面尽可能的提高黑客攻击的成本,延长攻击的周期;另一方面,在攻破后采用更短的时间发现和修复,从而缩小攻击产生的影响。
英特尔安全事业部北亚区售前技术总监郑林先生
因此,一旦发现威胁,需要将威胁情报共享给其他的安全设备,而安全厂商间也需要开放合作,实现威胁情报共享。协作的安全架构即安全设备之间要协同、互联,从黑客活动里面获得实时洞察力。基于这个理念,Intel Security在去年发布了数据交换层(DXL),这个数据交换层。不管黑客试图攻击哪个点,一旦触发了某一个安全手段,企业网关通过引擎发现有可能是危险的,同时会将威胁情报传递到端点,传递给邮件网关,即便防火墙、IPS还没有发现这一特征,其他组件也可以从Web安全网关得到这个情报,更新本地的知识库。
而随着安全产品的增加,基于API的集成方式凸显不足。如果利用上百个安全产品,通过点到点不同产品之间用不同的API集成,其中任何一个产品变动或技术更新,这个API将面临重写,API效率不足。
API集成方式性能不足正转向协作性的通信架构DXL生态,DXL是新的通信架构,采用开放标准,只要遵循这种标准,基于任何厂商的产品之间都可以互联互通,在生态系统里共享信息。目前加入DXL生态都是一些赛门铁克、Forescourt等国外厂商,未来也将联合国内厂商,共同完善DXL生态。
构建多维度生态体系
当前黑客们之间的合作井井有条,产业链已经是分工合作,这也就要求安全厂商之间以更开放的心态紧密合作。单打独斗很难与黑客进行抗衡,开放和合作是未来三到五年的一个大的趋势,也是对企业用户的有力保障。
在生态系统方面,Intel Security(McAfee)不仅有协作性的通信架构DXL,同时基于威胁情报等联盟,打通新的安全互联的生态系统,这里面有迈克菲的解决方案,包括迈克菲为主导的安全合作团体SIA(Security Innovation Alliance)创新联盟,联盟成员为Intel Security的业务比较互补的公司,产品可由 ePO统一管理,目前该联盟有一百多家厂商。
而基于威胁情报合作,Intel Security 构建CTA(Cyber Threat Alliance)联盟, 主要由安全业务与McAfee比较相近的厂商组成的联盟,交换威胁情报。通过这种开放的生态系统,以及威胁情报交换的机制,再加上Intel Security自身具备的针对未知的威胁分析的技术,能够形成这么一个开放集成的安全系统。不管客户系统是部署在云端,还是在本地,以及安全产品和设备的类型与供应商,Intel Security都能够统一地进行威胁情报交换,形成联防的体系。相信这样开放的生态也将不断完善用户的安全体验,提升安全防御效率。
