云计算、大数据、移动办公、物联网、工业控制等技术的发展,改变了网络安全的外延和内涵。同时,新型网络安全攻击技术和手段层出不穷,病毒变种增多,攻击智能化,过去对信息安全威胁和风险的认知已不再适用,建立基于云、管、端的纵深协同防御体系成为趋势。
云安全能力中心是目前业界主推的一套云、管、端联动的防御体系。它基于“云、管、端”联动的下一代网络安全架构建设,通过海量数据汇聚、构建云端闭环结构、打造情报生态系统;结合大数据、人工智能、多引擎、云计算,构建起以海量云查特征库,云端沙箱阵列,云端情报利用为核心能力的安全能力中心。
紫光股份旗下新华三集团的云安全能力中心,在一般的核心能力之上增加了智能、协同、联动等功能,将云安全能力中心推到了一个新的阶段。
丰富的AI引擎
利用人工智能对原本模糊、非线性的海量数据进行甄别,有效提升大数据的安全检测效率、准确度,并进行自动化的检测。面对未知威胁,采用云计算和大数据分析技术,很大程度上解决数据来源广泛性、数据充分性、分析模型有效性的问题。在新华三集团的云安全能力中心中,AI主要用在:
(1)利用AI进行未知威胁检测。通过AI技术对大量黑白样本进行训练,提炼文件多维特征,构建病毒画像,抵御勒索、挖矿及新型病毒变种,达到检测未知文件能力。另外,通过AI模型可以进行URL分类、DGA域名检测、恶意Webshell检测、恶意PE检测等。
(2)利用AI进行智能运维。通过终端和边界设备上传的异常日志进行全局关联分析、异常行为建模分析,新华三集团云安全能力中心可以使溯源取证与风险预测可视化。通过平台的AI分析能力,还原攻击链,对事件进行溯源分析,实现威胁检测、响应、溯源的自动化安全运营闭环,提升运维效率。
(3)利用AI进行情报生产。云安全能力中心依托云端数据,对安全日志中URL、域名等信息进行提炼,综合沙箱分析出的IOC生产新的情报,实现情报实时更新。
(4)利用AI进行数据隐私保护。云端作为各个态势感知局点的信息共享和计算协同中心,构成联邦学习架构;采用差分隐私等技术确保AI模型参数传输过程中不泄露用户的隐私。
云管端协同联动
新华三集团云安全能力中心通过打通网络、端点、云端的安全资源,并基于算法、数据、联动机制,结合全球情报构建了整体的协同防御能力,将各维度能力进行深度聚合,实现情报共享、威胁互认,最终实现风险的自动化处置。
结合安全设备之间、态势感知和云端的智能联动,可构建安全事件快速响应机制,包括边界安全网关对可疑IP的一键封锁,终端安全软件对可疑文件的一键隔离/查杀等。与传统的应急响应流程相比,联动快速响应不仅能够缩短安全事件的处置时间,避免事件危害的进一步扩散,而且还能提升安全设备的利用效率。
图1 云安全能力中心协同联动
借助云安全能力中心立体安全防护解决方案的威胁情报功能,系统可第一时间获知全球最新发生的威胁事件,对于紧急严重的情报可以在云端用标准的格式化语言下发到终端,给出推荐处理方案。
图2 云安全能力中心策略更新
新华三认为:传统的以边界防护为中心的安全体系存在固有缺陷,但并非毫无价值,它们能够很好地应对已知威胁,并发挥着重要作用。云安全中心解决了传统安全设备无法联动以及缺少全局视角问题,实现了“云网端立体防护”、“云端分析边界防护”、“态势感知主动防御”的安全防护能力。现阶段云安全中心技术更趋于成熟,使得防御从孤岛转向智能化协同联动,构建更有效的安全防护体系。
相关新闻: