互联网+ 电子商务 智能家居 地理信息 智能制造 信息安全 3D打印 工业4.0 人工智能 光伏 新能源汽车 消费品 集成电路 移动支付 汽车 数据中心
2017人工智能·甲秀论剑分论坛
当前位置:首页 > 产业动态 > 实时动态 > 正文

蓝盾股份首席技术官杨育斌在“2017中国网络信息安全高峰论坛”发表主题演讲

发布时间: 2017-04-21 14:55     来源: 满天星

  2017年3月16日,主题为“共享时代的网络信息安全”的“2017中国IT市场年会——网络信息安全高峰论坛”在北京香格里拉酒店隆重举行,携手业界大佬围炉网络盛宴,共议安全大势。蓝盾股份首席技术官杨育斌,发表了题为:《大安全生态与全要素安全的思考》。
  以下为演讲实录:
  蓝盾股份首席技术官杨育斌
  今天最后一个演讲者,刚刚赛迪发布了去年的市场报告,是有300多亿的市场规模,我想这是纯产品的量,有300多亿。
  很有意思的是,可能大家都看到这个消息了,《科技日报》有一个报道,关于两会信息安全议题的报道。说是到2020年有万亿级的市场,信息安全。我就想如果300亿到万亿,在短短的4、5年间能出来,这是火箭般的速度。那么它这里面的观点,国家要求实现安全可控的技术设施。然后现在技术的发展,从有边界的网络变成无边界的移动互联网--云。那么从引导的方向80%的危险可能发生在内部,从堵到防,然后信息安全可能不单只是一个企业,或者是一个政府单位的问题,还有包括个人。去年发生了雪域事件也让大家意识到了个人信息安全的重要性,当然还有大数据的普及导致的一些风控、隐私的问题。
  那么这里有一个很有意思的市场,其实在2015年的时候,中国的信息安全市场已经是670亿了,数字是非常欣喜的数据,表明咱们这个产业是欣欣向荣的。如果说泛安全的话,或者说大安全的话,可能不能体现这个万亿是从何而来的,当它覆盖到云计算的6000亿的市场规模,大数据的4000亿,移动互联网的1万亿,如果按10%,建议不低于10%,如果在10%投入产值的规模下,那么我们确实可能能算出千亿,甚至万亿的市场规模,那么具体怎么做。我们如何从纯安全问题变成大安全生态圈的问题。国家把网络空间安全作为第五维度的安全,海陆空、太空之外的第五维度。如果反过来将安全能力输出到前面四个维度,无论是在陆离安全的智慧城市建设中,海洋安全的国防、军事建设中,在天空安全的移动网络的建设中,包括太空,墨子不是上天了嘛,还有各方各面,每个人的应用场景中,我们形成了大安全的应用生态链。
  那么在大安全的应用生态链,我们能做什么呢?我们需要做的可能不单只是卖一个产品,或者是卖一种服务,我们更需要做安全能力的输出。将安全能力、技术能力、服务能力、方案能力输出到各行各业,让各行各业理解安全、重视安全。这个是2月份在RLC大会上非常关注的重点的关键词,那么大会的主题叫英031731,也就是说让大家团结出来。我认为这些关键词是我们需要输出的安全能力,数据、感知、危险、风险、云、物联网、隐私、人工智能等等的安全能力。
  那么当我们输出这些安全能力的时候,到一些传统的行业里面,比如说在工业,在一些生产企业,那么他们对安全的理解,还是比较浅显的。那么我们能不能用一些比较他们懂的语言跟他们去交流安全问题呢?我就想到了在生产领域里面,经常提到的生产安全的一些,叫做全要素安全。那么这张图呢,我从网上截下来的。那么在工业生产领域里面的,一个叫全要素安全的闭环管理体系。那么里面有三全叫全要素安全,全方位监管,全过程监控。那么全要素指的是人、物、环境。全方位指的是行业、单位、岗位。全过程指的是生产前、中、后。
  那么大家会不会觉得非常的熟悉,我们的等保不正好跟这个有点关联,包括我们对《网络安全法》。因此呢,我们跟有关部门、一些客户去交流了什么叫全要素。那么举了一个例子,在铁路运输安全中,左手边是有一个闭环。那么人、设备、外部环境、内部环境。人、设备、环境加起来要全要素。而环境有一个内部小环境和外部大环境。人员包括生产人员,这个叫体制内人员,那么还有呢,就是体制外人员。体制外人员包括什么呢?包括乘客,包括对铁路运行怀有企图的危险分子,那么这些是外部人员。设备包括铁路运行的基础设备、安全设备、灾害预报设备、救援设备等等设备。那么还有环境,环境就包括了内部小环境,就是作业环境。以及外部大环境,社会环境,自然环境。如果是非常恶劣的天气下,铁路有可能停运。比如说前几年的冰灾,那么有可能会停运。
  那么它这里谈到的是三个要素的良好,并不能保证整个系统的正常运行,全要素要相互作用、合理管控。因此我就产生了一些思考,我们在信息安全,或者说网络空间安全中,我们能不能把全要素安全,这个管理体系引进进来,我觉得是可以的。那么我们在网空安全里面提到的GRC治理风险合规,首先在治理层面是由政府去推动的,从法律法规上面,比如我们的《网络安全法》。那么从合规层面,像等级保护,行业应用PC、IDS等等一堆合规性的法案。那么还有来自风险,其实这个图,我觉得跟刚才大潘的理念是一样的,就是政府的力量在推动。那么包括一些合规性的,包括从危险层面来的力量,而不单只是供给侧和需求侧。
  那么因此在引入GRC之后,我就发现我们很多从技术角度去思考的产品设计,包括产品推动力,其实是不完善的。比如说SOC,如果由乙方单位的人,那么我相信SOC可能让你非常失望。那么最重要的,我们从刚才的GRC来考虑的话,那么技术层面、设备层面,我就说传统的防火墙是通过安全设备收集漏,然后再做一些综合分析,那么这个够吗?如果这张图里面你看到是不够的,因为需要做一个完善的威胁分析的话,或者是把画像,入侵画像或者信息泄漏画像给刻画出来的话,你需要大量的数据,需要打大量的标签。而网络设备可能给不了你那么丰富的数据,所以你需要原始包,我非常同意阿里、百度提的观点,需要原始包的分析,给他做大量的标签去刻画。
  那么同时我们很多甲方单位在卖SOC的时候,忽略了什么呢?忽略了人。为什么呢?刚才提到了像铁路安全的案例,人是必不可缺的要素,没有培训良好的使用人员。没有一套流程让事件能够进行智能化的处理的话,那么是用不起来的。当然这里面最缺的是什么呢?是环境。一个SOC在单位里面,可能只能收集内部的数据环境,其实你需要外部的环境。包括威胁情报、态势分析,去把威胁整个全貌给组合起来。
  那么因此在全要素里面呢,我们从最初的,最右手边的安全设备技术发现的威胁,到整个内部情报员,也就是说内部要环境,包括流程发现的,人发现的威胁能够组合起来。人发现和流程发现的情报能够组合成威胁的内部的视觉。那么我们同时还需要什么呢?外部的情报员,包括了一些情报组织,包括一些开源的情报交换组织的情报员,才能够把流量进来之前有什么事情发生了,包括流量出去了,是不是访问到恶意的网址。那么这些情报是外部的情报员,把这些外部的情报员组合起来,你能把一个事件完整的组合起来。
  那么不知攻,应知防。需要了解怎么防,我们需要先知道黑客是怎么攻进来的,我先说进来的问题。我们就说两种人嘛,一个就是外部的人,体制外的人想进来窃取东西。一个就是体制内的人,想把东西给弄出去。那么从外部来说呢,这个黑客的过程,他是采取这样一些步骤,如果做信息安全的,大家都知道。通过踩点、武装、投放、利用、植入、超重等等去完成他想达到的目标。那么在这个全过程监控里面呢,当然我们信息安全已经有很多的解决方案。无论是在踩点,我们通过蜜罐或者是外部情报员,黑客在投放的过程中,我们是不是通过一些边界类的产品或者终端类的产品找到他,他在利用东西,已经取得的权限和漏洞往外投递东西的时候,我们如何去进行数据防泄露等等,都有非常完善的产品,但是这些产品都是片面的,它只能解决一个点的问题,而不能解决全局的问题。那么因此需要一个安全的体系,把这些碎片的点全部集中在一起,进行一个大数据的智能分析。
  那么ASA呢,也是这两年非常流行的,基本上大部分的安全公司都在朝这个方向,如何利用大数据,如何做一些更加深度的关联分析。那么对于APT这样的高级威胁,我们还可以利用分析在网络里面,终端上面的各个点进行全面的响应。包括在网络层,在终端层,通过网络流量的分析,通过网络的取证,当然如果做了更细的话,要进行包的分析,以及在终端层进行终端行为的分析和终端的取证。
  那么这里面呢,刚才说到了对体制外的想进来,那么我们对于体质内的,可能受感染的,或者安全意识有问题的,甚至有一些内部泄露的路径。需要用户与实体关系行为分析模式,比较流行的叫UEBA。那么它会将用户的访问行为,用户的网络行为,用户的上下文以及环境的一个整体的,组合在一块,进行行为建模,规则关联。更高级一点,通过AI的这种学习,人工智能去发现一些不正常的行为,进而去进行一些更加深度的挖掘。因为发现一些不正常的行为,我想说你通过UEBA发现不正常的行为是正常的,但是要从这种正常的不正常行为里面去找出实际有意义的情报,是需要交互的。那么需要跟体制外的外环境进行交互,他到底发出去的地方发到哪里去了,包括他进来的渠道和发出去是不是有关联。那么这里面的关联呢,是在小环境里面的安全设备,或者一组安全设备能做的。需要安全情报,需要威胁情报,需要更多大量的路径相关的分析。
  那么这里举一个例子,这个例子非常简单,但我想说明这个意思。首先你要对人,根据岗位的情况进行风险指数的建模。那么这个模型呢,会不断的根据他的异常行为进行累加,累加到一定程度之后,可能就能判断这种不正常的正常行为,可能就是危险。比如说在1月8号下午6点20分,这位员工提出了离职申请,那么我们可以把他的风险级别提高,把他备注为一个关注员工。那么这时候他的风险指数是40分,在1月12号4天之后,这是真实案例的简化版。4天之后呢,晚上10点12分,那么这个员工通过远程登录的方式进到他的电脑,这个登录时间与其平时的办公时间是背离的,再加上之前已经累计的风险指数,他的风险指数变成了60。那么之后在他登录到这个系统的一个小时以后,在网管位置发现有大文件往云端传,而且这些文件是压缩、加密的文件,那么这时候风险指数会更高,达到80。因为这个故事还没有完,到底上传到哪里去了,包括这个文件里面含的什么,还有待分析。当这个风险指数达到指标以后,我们有必然引入一些安全分析师对这起事件进行追踪,包括进行取证。
  那么同时发现高级威胁,从外部来的高级威胁,实际上现在有很多种技术,最古老的像特征库,到沙箱,到这两年热炒的人工智能、机器学习。那么它将发现高级威胁的时间从几周缩短到几日,甚至到现在的几个小时。其实我很同意前面有专家说的,技术点不是驱动力。比如说沙箱取代了特征库,(沙箱)英033147一直在强调特征库已经过时了,但是你看沙箱英033150去年的报表跌得一塌糊涂。因为对高级持续攻击防护的实际要求远远没有大家想象的那么大。那么去年又火了一个公司叫sealns英033205,它将终端安全又带火了。为什么呢?通过终端安全个人行为建模的方式,基地学习的模式,让安全的判断和安全的预警更加准确。那么采取的路线或者采取的方案跟我刚才描述的差不多的意思,当然我们做的比它差远了,是我们学习的目标。这表面了,其实技术是可以将一些维度缩短的。比如说发现威胁的时间维度,发现威胁的准确性。
  那么我们蓝盾这几年发展也算是比较迅猛,国家政策和行业方面的驱动力。那么同时我们也提出了智慧安全的整理体系,那么这里面最重要的跟我刚才分析的三全理念是一样的。我们通过全要素、全过程、全流程去进行合理的产品和方案的集成。那么这里面特别是引入了一些外部的知识源,外部环境源。我们自己也建了一个威胁分析云,包括特征库、运沙箱,包括目前正在去研究的AI引擎,去补充我们在内环境产品能力的不足。
  这是我们在云端外环境引入的一些技术,我不一一介绍了。那么同时呢,我们将外环境引进的技术呢,放在我们所有的安全环境里面,形成一个智慧感知安全引擎的能力。无论是在我们的边界产品,还是终端产品,还是安全管控产品,我们可以跟外环境的威胁情报进行全面、智慧的分析。同时呢,我们在云端也布局了虚拟安全组建,让我们的边界产品,比如说墙、审计这一类的,把它变成虚机放才云端进行一个安全的服务。那么同时这些虚拟组建也可以通过API的方式给第三方进行管理,比如说公有云。而且我们的虚拟组建呢,跟传统的安全、硬件安全产品可以进行有机的结合。包括位片通道,包括策略的统一,包括全流程的追踪,可以进行有机的结合。
  那么同时我们针对网站,专门推出了云防线3.0,现在是3.0版本了。我们提供网站的安全服务,漏扫危险情报安全运维和态势感知,同时我们可以把安全能力以API的方式提供给厂家,或者是合作的一些单位。我感觉现在如果作为甲方去卖产品,那可能是一个很失败的策略。现在想的是怎么把产品中的安全能力,变成可以嵌入到客户业务中的解决方案。无论是在云端,无论是在大数据解决方案中,无论是在物联网端,或者在工控封闭的产品里面,都要把它变成一个能力。那这是我们的态势感知,以及一些环境风险的关联分析,将内部和外部的风险结合在一起解决。
  这是内部知识产权安全的热力图,当问题已经跳出本身的网络能够探测的范围内,那我们可以结合威胁追踪,外部的情报员进行威胁的追踪和定位。那么以上是我的一些思考,从安全行业的整个发展的趋势,我认为是需要将我们的产品能力变成一些软能力,无论是在虚拟端也好,在移动端也好,还是在各种未来不可预见的设备上,我们都要把它变成一个能力,这样我们才能把市场做到千亿,甚至万亿,谢谢大家。

收藏