随着网络云化,安全防御边界愈加模糊,同时威胁的数量和种类随着大量的应用和设备的使用而倍增,每天都会产生许多未知的新型攻击,传统防御手段无法有效的识别,导致威胁检测及响应处置的周期变长。对于电信网络,新型网络攻击将可能发生在骨干和城域网络、云数据中心、B2B等各个场景。当电信基础设施进入云化后,安全能力成为弹性资源池,特别是对于5G网络,不同的切片需要不同的安全功能,同时在B2B场景,安全作为增值服务需要匹配业务的快速发放。华为提出SDSec(Software-definedSecurity, 软件定义安全)解决方案,构建全网主动防御体系。该方案可使威胁检测、威胁处置及安全运维更为智能,提高运营商网络基础设施和企业IT网络抵御威胁的能力,提升安全运维效率,实现业务快速发放,降低运维成本。
一
智能检测和分析,威胁综合检出率提高到95%
运营商通常会部署从网络边界到终端的所有安全产品,但什么功能都具备的防御战线并不意味着能有效对抗威胁,当前客户的普遍问题是,对现网安全设备防护效果没底,对威胁事件无法判断,更不能有效检测未知威胁。同时,在运营商IT环境每天产生的日志是海量的,管理员会被淹没在巨量的日志信息中,无法做出及时有效的分析处理。另外,这些日志都是基于单点事件的告警,对入侵和攻击链的全局缺乏多点异常关联,无法识别新型复杂攻击的入侵意图,直接影响对威胁的准确判定。
华为SDSec解决方案首先确保了单点检测有效,从源头过滤“噪声”,基于关键资产信息、动态威胁变化和专家分析经验,生成有效过滤条件,做好一级收敛。第二,结合AI机器学习算法实现多点分析的准确性,这里的核心是构建针对“威胁场景”的高级规则,含单场景检测模型,和含日志、情报、流量异常等的多维综合判定算法,这是二级收敛。黑客已经利用机器学习生成智能的恶意软件,可以预测未来攻与防的对抗必定是人+机器的对抗,需要以更聪明的大数据安全分析大脑,结合海量黑白样本的学习训练,研究黑客入侵意图和攻击手法,来最终做出预测和判定。
二
自动化处置,平均响应时间降低到1天以内
除了主动发现威胁,对企业更重要的是如何快速响应和处置,最大程度减少损失。威胁和安全响应就是一场时间赛跑,42%的新漏洞在纰漏30天内被黑客利用,企业响应的时间远大于30天,打的就是时间差。去年5月份“名声大振”的勒索软件WannaCry使用SMB(Server MessageBlock)漏洞来感染计算机,并将病毒传播给新的受害者,影响超过24万受害者。WannaCry本身的技术性不强,但传播快、感染范围广。尽管所有厂商都纷纷宣称可以检测到WannaCry,但客户最关注的不是你能否“检测”到,而是第一时间定位被感染计算机,及时拦截防止内部横向扩散,对并已感染终端快速进行修复。
华为SDSec解决方案可协同全网来遏制威胁,结合云端或本地沙箱分析能力,快速检测未知蠕虫病毒,除了一些常规动作,比如在出口防火墙封堵445端口(WannaCry攻击采用的端口),升级IPS(IntrusionPrevention System)特征库等,更关键的是可以通过安全控制器联动接入层交换机,及时隔离已经被感染的计算机,利用网络的各个神经末梢采集流量,定位感染路径,并联动终端软件自动化清除蠕虫病毒,批量推送补丁,辅助员工配合来修复漏洞,自动化发布工具恢复加密文件。除了技术手段,更重要的是还要与员工教育、补丁推行等管理手段和流程结合,真正做到“智能、近实时处置”,将威胁响应的时间缩短到目标24小时内。
三
智能安全运维,安全运维成本降低80%
海量安全策略运维一直是运营商和中大型企业的头号难题。以一个中型规模数据中心为例,仅防火墙策略就有几万条,策略基于IP语言,业务的每次更新都需要调整防火墙策略,每天的策略更新量达到上千;业务下线,IP地址回收,不会及时通知网络安全维护部门,策略的提交责任人也不一定会取消策略,这种情况管理员很难发现,导致大量过期的安全策略堆积没人“敢动”;另外,遇到搬迁数据中心的场景,安全策略的迁移将成为一个“老大难”, 策略需要重新生成配置,手工操作花费数周时间才能完成。最后,还有重复策略的问题,同一应用多人都可以申请策略,可能会造成重复策略,策略总数膨胀。
智能运维的核心是“以业务驱动的安全策略”,从IP机器语言升级到基于应用的高级语言,建立应用到IP的自动映射,通过安全控制器将安全策略的生命周期与业务的生命周期紧密捆绑,在业务上线、变更和下线时,实时感知变化,自动翻译“业务的策略”到最终设备可执行的IP策略,省去人工干预。更重要的是,还可以通过安全控制器分析对应用的互访关系进行可视分析,在机房搬迁场景自动生成策略白名单,免去繁重的人工重新配置工作量;对于策略的合理性,如重复冗余、冲突和过期的策略,也可以通过观察分析应用互访流,策略命中率,进行动态的调整和优化,及时删除重复策略、下线过期策略。通过动态流量分析,还可以验证预上线策略的有效性,确保策略定义和实际执行保持一致。
华为SDSec解决方案在运营商、政务云等重要行业场景实现了规模商用,以安全控制器和安全分析器为核心,横向使能“一整张网络”,实现以业务驱动的云、网络和安全的上下协同,并以“威胁入侵意图”学习为核心,动态定制采集和检测,基于AI机器学习创新对恶意文件、C&C(command andcontrol server)、内部流量异常的主动分析,使能全网神经末梢节点自动快速遏制威胁,帮助客户提升安全分析和运维的智能化、自动化程度,解放管理员简化安全运维,保护客户关键基础设施稳固,业务永续。
领取专属 10元无门槛券
私享最新 技术干货