如何讓情報“可執行”
作為Fortinet首席安全戰略官的DerekManky,同時也是一位業界知名的網絡安全專家,他的研究和意見曾被國際上許多相關機構采納,并用于構造主動的網絡安全的未來,對全球打擊網絡犯罪的戰争産生了積極影響。
在2018ISC互聯網安全大會在北京召開之際,DerekManky又一次來到中國。這一次,DerekManky帶來的正是FortiGuard安全實驗室對全球網絡威脅态勢的最新研究成果。他特别談到,2018年第二季度在中國檢測出230萬病毒的攻擊,新的惡意軟件相比較第一季度出現了很多變種。
IP地址、惡意軟件、流量行為和域名是網絡攻擊的基本組成部分,他們可以很容易地改變和移動。而應用威脅情報的目标就是要在攻擊鍊條任何一點上阻斷它,并利用威脅情報進行響應。
熟悉Fortinet的人都知道,FortiGuard安全實驗室在Fortinet2000年成立之初便已建立,這也是Fortinet區别與其他安全廠商的獨特之處。目前其全球威脅研究與響應團隊每年處理超過65萬億次安全事件,以提取及時和相關的威脅情報。
不過,當前地下黑客暗流湧動,攻擊範圍和種類無所不及,但是目前還不可能有一家廠商可以掌握所有情報。四年前,Fortinet作為牽頭人與McAfee、賽門鐵克和PaloAlto共同創建了網絡威脅聯盟CTA。随後思科、Checkpoint也加入了該組織。如今的CTA已經擴大成為擁有保護世界各地客戶能力的英雄聯盟。
Fortinet認為實施有效的威脅情報收集和共享流程是任何安全策略的重要組成部分。同時,從多個信息來源收集威脅情報,然後進行分析處理和關聯,才是威脅情報的價值所在。
“可怕的是如今地下暗網已經開始形成了聯盟,這使得安全情報聯盟越來越重要。我們必須通過聯盟和合作的方式,來共享安全威脅情報。Fortinet中國技術總監張略在采訪中對記者表示說。
“通過網絡威脅聯盟提供的情報,我們會進行分析,并通過IOC整合到我們的SecurityFabric安全架構中的各個安全組件。如果沒有這些分析和整合,這些情報隻能是死情報,而我們要提供的一定是可執行的情報。”DerekManky如此談到。
對于DerekManky談到的可執行的情報,是指通過整合和分析後FortiGuard提供的威脅情報,搜集并不隻是特征庫,而且會提供相關攻擊方法的信息和攻擊場景的背景信息。詳細到諸如滲透進入網絡的工具是什麼、攻擊是如何在流量中隐藏或逃避檢測的、哪些數據被竊取了,以及攻擊如何回傳到它的命令與控制服務器等等詳細特征。
在過去的六年中,Fortinet開發了AI機器學習體系,超過120億的可疑程序,通過計算機的編碼放到沙盒裡進行相關的反病毒技術的研發。
正是通過這項基于人工智能的檢測系統,Fortinet在零日惡意軟件的檢測中,截止到目前共檢測出570個零日漏洞。要知道,一般安全廠商在零日漏洞的檢測和發現能力普遍是20~30個,最多一百個。
整合的情報,聯動的安全
從FortinetSecurityFabric的問世那日起,也就意味着Fortinet的安全策略是希望通過一個架構,把包括網絡安全的每一個層次聯合起來。現在的Fortinet要做的是将企業數字空間和數字科技的所有領域整合進一個安全體系,這個安全體系能夠提供連續、可信的業務保障與運行。
“SecurityFabric一直在不斷更新變化,并在不停進行整合。”DerekManky談到的整合包含兩個層面,一是産品上的深度集成,二是合作生态系統的整合。
以前文中提到的沙盒為例,作為FortinetSeurityFabric安全架構的一部分,FortiSandbox在企業整個攻擊面上與Fortinet安全解決方案集成,包括NSS實驗室推薦級的FortiGateNGFW、FortinetIPS、FortiWeb和FortiClient解決方案,自動共享威脅情報,從而在網絡的不同維度都建立起有效的防禦。
我們知道,提高雲環境中的安全性能很具挑戰性,鑒于需要處理的數據量非常之多,雲端安全有可能變得成本更高或成為瓶頸。而Fortinet正是通過提高可見性和控制力來縮小雲端受攻擊面。這其中的挑戰就包括Fortinet對FortiGate安全設備進行了重大優化,使設備的單核處理速度比之前的基準值快三倍,增加了在單一虛拟機中選擇16、32或更多CPU核心的容量選項。
IT和OT的融合以及BYOD帶來的周邊設備激增,都使企業網絡的攻擊面不斷被放大。而通過收購BradfordNetworks,将其技術高度整合在Securityfabric架構中,将其安全管控擴展到了網絡邊緣,也增強了Securityfabric架構中IOT安全方案的交付能力。
在不斷進化的攻擊面前,防禦一方也應該進行相應的進化,這是豪無疑問的。如今的Fortinet又提出了“群體智能”這一概念,也就是彼此連接,情報共享,形成群體智能。這也是Fortinet“整合、協同,聯動”安全架構的意義所在,在不同的攻擊維度建立安全響應機制。幫助用戶構建一套足以和敵方抗衡的智能SecurityFabric網絡,是不變的核心。