“老三樣”會思考：以威脅情報驅動安全産品演進

安全從來不是一成不變，但當我們聽慣了各種“下一代安全”時，難道就真的覺得“老三樣”不行了？事實上，防火牆、入侵檢測、防病毒這些老三樣們仍然占據着安全市場的出貨量主力。是以，市場一次又一次的告訴我們，它們依然有價值！

隻不過，它們在變。

如果把這些安全裝置、軟體比喻為手和腳的話，那麼變的是什麼，是不是缺少點什麼？對的，“大腦”！在360網神看來，安全産品該由規則驅動轉向威脅情報驅動，進而來說，資料則是安全的大腦，有了它才能讓手和腳更聰明、靈活。

威脅情報驅動如何讓安全“手腳腦并用”

過去基于簽名與特征碼來進行檢測與攔截的防禦體系不足以應對複雜多變的安全态勢，已經成為共識。如果回想下我們看過的很多古裝片中的場景，當把守城門的衙役拿着“罪犯”畫像欲對其進城實施逮捕時，很多時候無濟于事，因為他們檢查的對象往往進行了喬裝打扮。

回到現實網絡安全環境中也一樣，很多時候黑客把惡意樣本投遞到企業的内網中去，現在的防禦體系大多對這個檔案落地的一刻進行攔截和檢測，但這種檢測能力非常有限，因為惡意樣本也會“喬裝打扮”。對這時的防禦體系來說，能檢測得到就檢測，檢測不到就算了。

以上可以看作它們是以規則驅動的安全産品，顯然這個防禦等級并不高，并且看起來也有點“傻”。這時，安全要做的是什麼？即使入網的那一瞬間沒攔住，也要對它密切監控。

如果說過去完全依賴于規則下發進行的響應已經力不從心，那麼未來的安全靠什麼？

360網神的答案是“威脅情報”。

360網神近日釋出了基于大資料安全分析和威脅情報的新一代安全産品，360企業安全集團總裁吳雲坤表示，“360憑借多年積累的安全大資料，對最新威脅方式進行追蹤，形成了持續更新的威脅情報，并将威脅情報應用于安全産品中，開發出了一系列威脅情報驅動的新一代安全産品。”

360網神把威脅情報能力賦予了三大産品，包括新一代威脅感覺系統（360天眼）、新一代終端安全系統（360天擎）和新一代智慧防火牆（360天堤）。注意，無論是天眼、天擎還是天堤，他們并不是橫空出世的新産品，而是被賦予了大資料和威脅情報的“芯”。

威脅情報如何發揮作用？吳雲坤舉例，某金融機構智能列印機被黑，威脅情報會告訴你這個木馬帶來的攻擊鍊條是什麼，它的響應動作不是在智能終端上把這個木馬殺掉就結束了，而是要看和它相連的其他主要業務系統有沒有感染。并且，它也有可能因中招的木馬不一樣做出不一樣的響應動作。“有的是儲存現場進行調查、有的是要殺掉這個木馬、還有可能停止另外一個程序。”

有沒有發現，威脅情報驅動的安全産品之間是關聯的，也就是說在處理一個攻擊行為時安全防禦體系是展開協作的，它們協作的基礎是資料和情報，情報可能希望先做一個終端的保護、再做一個防火牆的政策、再回到大資料中心進行分析檢測、或者做其他下一步的動作，應對攻擊安全産品之間不再是孤立的。

是以，裝置+情報，一個手腳腦并用的的安全體系真正發揮作用了。

如何擷取威脅情報并實作自動化響應

既然情報這麼重要，如何擷取情報并讓它發揮價值也是考驗安全提供商的重要能力。吳雲坤強調，這要考驗大資料采集能力，很多企業在做規劃過程中都提到一個問題，要把資料留存。這種留存不是過去的告警留存，事實上過去的ids、防火牆、反病毒全是流程的告警資料，這顯然不夠，而是需要全量資料的采集和存儲能力。情報要發揮作用，要留存的包括終端、網絡、甚至是資産等原始資料，甚至到業務級的。

如果要衡量威脅情報驅動的安全防禦體系是否發揮最大價值，要依賴兩個條件，一是資料能不能收下來、二是情報的響應能不能由裝置完成。

吳雲坤指出，360網神推出由規則驅動轉向威脅情報驅動的新一代安全産品解決了三件事情：

第一解決了進階威脅的檢測與響應問題，所有的終端産品、防火牆支援全量資料采集，不僅僅是告警、還采集各類的行為，包括網絡方面的流量、快照、日志等。

第二能夠基于威脅情報做出自動化響應，如果說用1元錢衡量情報，那麼10元錢是檢測、100甚至1000元則是做響應。是以後面的事情更重要，360描繪的威脅情報驅動的新一代安全産品前面強調的是威脅情報、後面則是安全基礎設施，安全基礎實施以情報驅動，少一個都不行。為了基于威脅情報做出自動化響應，360已經完成對底下很多基礎設施包括防火牆、防病毒的改造。

三是為後續的各類安全資料的分析和挖掘提供資料基礎，甚至是非安全的事情。

“今天360的防病毒、防火牆和天眼的大資料營運系統形成了威脅感覺的業務閉環，未來無論是我們的無線安全、移動安全，包括雲安全等所有的産品概念都會這樣：資料要采回來、和情報進行結合、結合之後做響應。” 吳雲坤說。

據介紹，360的威脅情報來自三個方面：一是360自己的全球海量資料挖掘生成的威脅情報；二是通過交換方式或購買的商業威脅情報；三是内部威脅情報，也就是使用者自己産生的情報。

細緻入微的資料分析能力

通過對傳統安全産品的改造，360網神把防火牆、防病毒等變成了觸感豐富的“皮膚”，回報了豐富的資料，再加上基于大資料的威脅感覺系統，360反過來把安全基礎設施變成了可以被驅動的手和腳。的确，360網神建構了一個閉環、靈活和智能的安全防禦架構。

但不得不說，威脅情報驅動是一種分析技術，360是否又做的細緻入微呢？

吳雲坤把資料分析技術分為兩類，一是用“顯微鏡”看一個單點資料，比如一個樣本、一個url、一個dns、一個行為、一個流量等，二是用“天文望遠鏡”看資料與資料之間的關聯關系。

過去，所有的人都在研究第一類資料，把它看細，但資料大了之後更重要的是彼此之間的關聯。以美國反恐為例，過去是把電話解密，要看細、研究的越透越好。現在不是，它看誰之間打過電話、研究人之間的關聯關系，最後定位出誰是恐怖份子，而不是花大量成本解密通話内容。是以，研究資料之間的關聯關系可以找到很多異常。

做安全的公司都知道機器學習，但對于很多傳統安全公司來說，根本沒有做機器學習或剛開始起步。為什麼？因為對于他們來說，不缺攻防專家，但沒有資料科學家。

360不同，吳雲坤說，360是一家網際網路公司，資料科學家在做網際網路業務時已經有了，包括起初做qvm引擎搞搜尋的人。對于資料分析和機器學習，360有天然的基因。資料從存儲、分析、挖掘到得到情報的過程，360有領先的技術能力，例如5000億/秒的查詢次數，很多跟安全無關跟大資料技術積累有關，但反過來又作用于安全。

是以，有了支撐威脅情報分析的大資料技術，加上以威脅情報驅動的安全基礎設施，360網神為“老三樣”賦予了思考的能力。

====================================分割線================================

本文轉自d1net（轉載）