网络安全技术发展趋势

网络安全技术发展趋势自从1991年第一届开始，美国RSA大会已经整整走过25年，如今成为国际信息安全领域里规模最大、最具影响力的产业盛会，每年来自全球的信息安全领导者、专家、从业者以及媒体都会在这里聚集展现关于Security（安全）最新的领域研究成果及共同面临的难题。世界各地的用户同时云集在此寻找最新的技术，最新的产品。RSA2015大会的主题是“变革：挑战当今的安全理念”（TheChange：Challengestoday’ssecuritythinking）。威胁情报（threatintelligence）、大数据（bigdataanalytics）和可视化（visibility&visualization）并不是此次大会上提出的新的技术观点。而到这一届，这三个技术词汇几乎成为所有技术展商的“必备”特性，从移动安全、恶意代码检测、对抗APT、工业控制系统安全、到相对传统的终端安全、应用安全、数据安全、网络安全等等，无不强调自身所具备的数据分析和可视化能力，就像算数和几何几乎是所有自然科学的基石一样。图1RSA2015安全热词所谓“Change”首当其冲是对传统安全的冲击，如考虑安全威胁和防护最基本的出发点，以及解决安全问题的思路。RSA主席AmitYoran在名为“EscapingSecurity’sDarkAges”主题演讲中提到，随着科学技术的快速发展，各种创新日新月异，然而安全却处于黑暗时代（DarkagesofSecurity），各类安全事件层出不穷。“Themapdoesn’tfittheterrain”，当我们使用各种复杂的防御安全机制，也无法阻挡恶意入侵，即使是RSA公司自身也曾发生过数据泄露事件，更别说像Target等大型公司的安全事件所带来的影响。边界变得模糊和脆弱、攻击者使用了未知0day漏洞，采用古代的城堡式的网络安全体系，将重要资产（例如数据中心、企业网等）使用高高的城墙团团围住，已经不能适应这些新兴变革。一直指引我们做安全的路线图也许一开始就是错误的，只有从根本改变安全理念和安全防御思维，从城防转向塔防，创新安全技术，对安全事件及时响应，阻断攻击者的攻击链（KillChain）。所谓“Change”，就是重新审视挑战，寻求新思维和革新。随着计算环境的不断变化，安全边界的模糊化，以及新的攻击方式的不断涌现，正印证了AmitYoran在主题演讲中说到的“Tallerwallswon'tsolveourproblem”，以“塔防”角度不断将“城墙”垒高的安全建设思路已经走到了瓶颈，安全建设的实践必须发生改变。图2网络攻击生命周期从近年的安全实践来看，威胁情报（ThreatIntelligence）已经是非常重要的一环。通过威胁情报，也即在第一时间了解自身信息资产所面临的新漏洞（老漏洞新攻击方法）、新攻击工具和方法、威胁环境变化等，这是安全活动和决策的重要依据。2014年，Fortinet、IntelSecurity、PaloAlto、Symantec等安全公司构建了工业界第一个网络威胁联盟（CyberThreatAlliance），分享相关的威胁情报，全面提升威胁态势感知能力；Novetta、Bit9、Cisco、FireEye等安全公司和网络服务提供商也组成了网络安全联盟（CyberSecurityCoalition），进行知识与技术分享、提高安全认知、政策建议等内容，以更有效的打击网络犯罪。从以各种单体的检测、防护的“城堡”体系，到以大数据、互联为基础的“ThreatIntelligence”，其实就是从攻击对抗的角度不断的进行改进与演化。在不断变化的计算环境和越来越复杂的网络，“Change”将会始终贯穿于安全行业的发展，专业化、系统化、智能化等越来越关键，大规模的安全情报系统和专家社会网络系统相互融合，通过“云”、“设备”、“人”的线上线下协同工作，构建一体化高效、智能的解决方案，将会成为网络安全建设新的思路。目前创新公司都在“威胁情报”、“数据分析”和“可视化能力”三个方面大做文章，期望在火热的安全市场上占领一席之地；或者是通过与热点技术的结合，以更好的吸引投资者的眼光。而传统大牌安全厂商在这些技术的应用上更为广泛，美国FireEye公司提出的FireEye-As-A-Service的概念，就是通过线上专家服务与线下设备的有效结合，组成技术、专家和智能的闭环，为更好的为客户交付安全能力。在漏洞评估领域的领头厂商Qualys此次在RSA大会上发布了全新的CloudAgentPlatform，通过在本地部署的系统（台式机、workstation、服务器、虚拟机）、动态云环境（如AWS、Azure云服务器）或移动终端平台（笔记本电脑）上安装轻量级Agent，以持续搜集和整合漏洞数据和合规检查数据，并上传到QualysCloudPlatform以进行更进一步的分析和关联，并可以将这些数据从Qualys云平台通过公开API传送到第三方工具，如SIEM、大数据分析平台（Splunk）、helpdesk系统等。在今年的“创新沙盒”这十家入围的创新公司里，初步统计有7家公司都是直接利用或间接利用大数据分析技术、情报与可视化为核心竞争力。例如Cybereason：基于大数据分析进行用户行为识别和关联分析来分析企业内的潜在数据窃取行为；FortScale：以色列的安全技术服务商，通过大数据、安全情报，为企业客户提供用户行为和大数据分析；VECTRA：基于机器学习及大数据分析进行网络攻击检测平台；SecurityDo：基于大数据分析的安全事件管理；Ticto：可视化身份认证；SentinelOne：下一代的终端防护产品，提供云情报服务；NexDefense：通过对工控设备间流量的建模，通过大数据分析技术来实现工控异常行为检测。