下一代信息安全-基于情报感知的信息安全(内含情景感知安全的解读)

观点 作者:站内编辑 2014-10-27 07:55:15
之前转发的同志不好意思了,前一篇发了以后发现问题较多,删掉重新修订发一次。 前几天分享的一篇2014年信息安全趋势与总结(http://www.sec-un.org/gartner-information-security-trends-and-2014-summary.html)中提到了未来信息安全发展的一个重要方向,基于情境感知的安全。很多同学都反映,这个太扯蛋了,什么是情景感知啊。之前篮子同学也发了一篇,大数据与大规模网络安全感知( http://www.sec-un.org/large-scale-network-security-perceptions-and-big-data.html)里面也听到了网络安全感知的概念。 其实基于情境感知安全并不复杂,其核心就是情境。所谓情境感知,其中的一个应用方式就是通过Intelligence-Aware情报感知。说到Intelligence,大家可以想起来我之前分享过好几篇的Threat Intelligence了吧。今天就重点介绍一下这个Intelligence-Aware情报感知,各位借此也可以对什么是基于情境感知的安全有个粗浅了解。 这里又出现了一个新的潮词,IASC(Intelligence-Aware Security Control)基于情报感知的安全控制。目前在国际上已经比较普遍的认为其是信息安全发展的下一个方向。 目前传统信息安全解决方案和产品普遍面临以下四个问题: 传统的孤立的安全控制被攻击者绕过的几率日趋增加-面对新形态的APT攻击,传统的防火墙、入侵检测和防病毒难以起到作用; 基于人和业务流程的控制响应过慢-人来做响应太慢,自动化的攻击在几分钟内已经可以完成包括扫描、入侵、植入后门等一系列动作; 攻击者在攻陷外部系统后,普遍会向内部网络做进一步的渗透-黑客的攻击链更长,攻击面更大,渗透更深入; 安全相关数据分布在不同的系统中,不能有效统筹响应-单点发现的情报,不能有效地进行共享。 因此,安全技术的保护策略必须改变,未来的安全方案必然向自动化的行为学习,情报分享,高级分析,自适应等技术转变。 与之同时,威胁复杂度、速度、架构改变和分析能力都在驱动着安全技术的转变。 威胁复杂性的提升,要求我们的技术方案也需要进行适应,终端、服务器、应用系统、网络系统、安全系统之间需要能够进行关联互动; 速度的提升,完成一次攻击速度更快,响应的速度也需要进一步的提升; 架构的改变,IaaS、PaaS、SaaS、BPaaS逐渐的引入,传统安全技术已经不能满足需求,如SECaaS等已经成为新的趋势; 分析能力的提升,以前传统分析技术难以满足海量数据分析、复杂关联分析、实时性展示等需求,而大数据技术的成熟,让更复杂、更快速的分析成为可能。 那什么是基于情报感知的安全控制(即IASC)呢? IASC框架包括基于情境感知(分析Who、What、Where、How等问题,主要是进行深层管理分析),安全情报(情报的共享,以及利用安全情报进行响应),可机读的安全情报(即可以利用系统可识别的方式来进行情报交换)和实时情报共享交换架构。 这个我之前有篇基于说Threat Intelligence的,里面分享过我之前设计的一个架构(可参见 http://www.sec-un.org/smart-ppt-sharing-threat-information-sharing.html)。 情景感知的例子,在用户访问应用或数据的时候,通过基于对情景的综合分析通过认证、访问控制等方式进行安全控制。 简单的情景可包括: Who,低可信度的用户(比如已经中毒的用户,发现存在攻击行为的用户) What,来自不支持的Linux 终端的访问(客户端都是Win 7,突然来了个Linux来访问自然不正常) To What,访问敏感数据(是否访问的是敏感数据) When,周末凌晨的访问(这明显不是工作时间,访问也明显异常) Where,来自没有业务海外的访问(这也很明显异常) 基于情境感知的安全也没这么复杂吧。 了解完IACS,是不是发现这个跟数字公司和企鹅公司的客户端安全,或者是某宝的支付客户端安全控制看起来架构都是很像啊。 对,这就是我以为他们的下一步方向,客户端采集(病毒感染情况、恶意代码、终端其他信息……),云端判断分析形成情报(客户端信誉情况、支付风险情况、服务信誉情况……),然后做为下游安全控制的输入(可以包括客户端软件、支付系统、甚至防火墙等安全设备)。BAT3们,应该也都想到了吧^_^,这是一个新的生态圈。 逐渐进入重头,NG防火墙的下一代是啥!基于情报感知的防火墙! 1   去年我就给很多人灌输,数字公司啊、企鹅公司、某里啊,都会利用其端/云优势,杀入企业安全市场。怎么杀入呢,其中一个方式就是利用其在客户端、云平台中得到的传统安全公司得不到的安全情报,形成新一代的安全解决方案冲击企业市场。现在还没见人搞,让人捉急啊,没想明白的可以找我来培训一下怎么颠覆传统企业安全市场^_^。这当然不仅仅指的是形成单独的安全产品,还有新的服务形态。 部分内容系引用Gartner免费Webinar,感兴趣可去其网站搜索。 发完收工。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接