李丽
安全信息共享已成为安全策略中最关键的因素之一,与此相对应的是企业的动态安全体系。那么维系动态安全体系的核心又是什么?答案是——可执行的(actionable)威胁情报。
如何让情报“可执行”
作为Fortinet首席安全战略官的Derek Manky,同时也是一位业界知名的网络安全专家,他的研究和意见曾被国际上许多相关机构采纳,并用于构造主动的网络安全的未来,对全球打击网络犯罪的战争产生了积极影响。
在2018 ISC互联网安全大会在北京召开之际,Derek Manky又一次来到中国。这一次,Derek Manky带来的正是FortiGuard安全实验室对全球网络威胁态势的最新研究成果。他特别谈到,2018年第二季度在中国检测出230万病毒的攻击,新的恶意软件相比较第一季度出现了很多变种。
IP地址、恶意软件、流量行为和域名是网络攻击的基本组成部分,他们可以很容易地改变和移动。而应用威胁情报的目标就是要在攻击链条任何一点上阻断它,并利用威胁情报进行响应。
熟悉Fortinet的人都知道,FortiGuard安全实验室在Fortinet 2000年成立之初便已建立,这也是Fortinet区别与其他安全厂商的独特之处。目前其全球威胁研究与响应团队每年处理超过65万亿次安全事件,以提取及时和相关的威胁情报。
不过,当前地下黑客暗流涌动,攻击范围和种类无所不及,但是目前还不可能有一家厂商可以掌握所有情报。四年前,Fortinet作为牵头人与McAfee、赛门铁克和Palo Alto共同创建了网络威胁联盟CTA。随后思科、Checkpoint也加入了该组织。如今的CTA已经扩大成为拥有保护世界各地客户能力的英雄联盟。
Fortinet认为实施有效的威胁情报收集和共享流程是任何安全策略的重要组成部分。同时,从多个信息来源收集威胁情报,然后进行分析处理和关联,才是威胁情报的价值所在。
“可怕的是如今地下暗网已经开始形成了联盟,这使得安全情报联盟越来越重要。我们必须通过联盟和合作的方式,来共享安全威胁情报。Fortinet中国技术总监张略在采访中对记者表示说。
“通过网络威胁联盟提供的情报,我们会进行分析,并通过IOC整合到我们的Security Fabric安全架构中的各个安全组件。如果没有这些分析和整合,这些情报只能是死情报,而我们要提供的一定是可执行的情报。”Derek Manky如此谈到。
对于Derek Manky谈到的可执行的情报,是指通过整合和分析后FortiGuard提供的威胁情报,搜集并不只是特征库,而且会提供相关攻击方法的信息和攻击场景的背景信息。详细到诸如渗透进入网络的工具是什么、攻击是如何在流量中隐藏或逃避检测的、哪些数据被窃取了,以及攻击如何回传到它的命令与控制服务器等等详细特征。
在过去的六年中,Fortinet开发了AI机器学习体系,超过120亿的可疑程序, 通过计算机的编码放到沙盒里进行相关的反病毒技术的研发。
正是通过这项基于人工智能的检测系统,Fortinet在零日恶意软件的检测中,截止到目前共检测出570个零日漏洞。要知道,一般安全厂商在零日漏洞的检测和发现能力普遍是20~30个,最多一百个。
整合的情报,联动的安全
從Fortinet Security Fabric的问世那日起,也就意味着Fortinet的安全策略是希望通过一个架构,把包括网络安全的每一个层次联合起来。现在的Fortinet要做的是将企业数字空间和数字科技的所有领域整合进一个安全体系,这个安全体系能够提供连续、可信的业务保障与运行。
“Security Fabric一直在不断更新变化,并在不停进行整合。”Derek Manky谈到的整合包含两个层面,一是产品上的深度集成,二是合作生态系统的整合。
以前文中提到的沙盒为例,作为Fortinet Seurity Fabric 安全架构的一部分,FortiSandbox在企业整个攻击面上与Fortinet安全解决方案集成,包括NSS实验室推荐级的 FortiGate NGFW、Fortinet IPS、FortiWeb和FortiClient解决方案,自动共享威胁情报,从而在网络的不同维度都建立起有效的防御。
我们知道,提高云环境中的安全性能很具挑战性,鉴于需要处理的数据量非常之多,云端安全有可能变得成本更高或成为瓶颈。而Fortinet正是通过提高可见性和控制力来缩小云端受攻击面。这其中的挑战就包括Fortinet对FortiGate 安全设备进行了重大优化,使设备的单核处理速度比之前的基准值快三倍,增加了在单一虚拟机中选择16、32或更多CPU核心的容量选项。
IT和OT的融合以及BYOD带来的周边设备激增,都使企业网络的攻击面不断被放大。而通过收购Bradford Networks,将其技术高度整合在Security fabric架构中,将其安全管控扩展到了网络边缘,也增强了Security fabric架构中IOT安全方案的交付能力。
在不断进化的攻击面前,防御一方也应该进行相应的进化,这是豪无疑问的。如今的Fortinet又提出了“群体智能”这一概念,也就是彼此连接,情报共享,形成群体智能。这也是Fortinet“整合、协同,联动”安全架构的意义所在,在不同的攻击维度建立安全响应机制。帮助用户构建一套足以和敌方抗衡的智能Security Fabric网络,是不变的核心。