一年一度的RSA大会这几天正在美国召开,今年的主题是“Better”,简短的一个词汇,反映出信息安全对于未来不断发展、更加完善的愿景——安全,让明天更加美好。今年的议程包括了传统的密码学专家研讨会、创新沙盒竞赛、数据保护、人才培养、DevSecOps、安全教育与培训、安全合规管理等话题。
值得一提的是,在有着“网络安全风向标”之称的创新沙盒环节中,10家入围网络安全厂商现场展示自家的前沿技术,这10家厂商涵盖了各种技术,包括:资产管理、DevOps、云安全、数据安全和固件安全等。最终在今年2月5日获得了1300万美元A轮融资的Axonius被评为RSAC 2019 创新沙盒“最具创新能力创业公司”。而根据以往的经验,获此殊荣的公司在未来能够保持强大的创新能力和势头。
创新沙盒作为“风向标”,涉及到的关键词反应了当前业内对于某些领域的重视程度。根据公开的信息统计,此次峰会全球共有736家机构参展,其中有近42%为云安全和网络安全领域相关企业。而在所有参展机构所涉及领域及演讲主题中,云安全已然超过网络安全和数据安全,跃居热门关键词第一。云安全毫无疑问是今年RSA的重要热点。
01 云资源池特性有助于改善安全性
可以预测到的是,今后云将不仅仅是新的工作负载部署目标,还代表着改善安全的潜在方法。云资源转瞬即逝的属性也可用于提升安全,其瞬时特性应被更加有效地利用来改善网络安全态势。
安全云服务资源池化过程中要解决的主要问题是可扩展性、可管理性和可靠性。
可扩展性:资源池的容量可以根据用户业务需求的增加进行弹性的扩充
可管理性:在资源池化之后系统具有对资源池的统一监控调度和分配的能力
可靠性:池化之后的资源池具有统一的一体化的协同处理和容错能力,不会因为特定物理安全设备单元的故障或失效影响到整个资源池的正常运作
云垒采用了安全资源池,将安全服务资源池化,租户可以选购不同的安全服务产品,包含WEB应用防火墙、网页防篡改、网站安全监测、云堡垒机等服务,所有安全产品的日志数据和攻击数据都将汇集在态势感知系统上,进行安全大数据分析,数据的打通以及网络安全态势可视化功能,方便企业及时了解整体网络安全态势,做出安全决策。
02 安全将更加智能
AI在网络安全中的应用在这几年一直热度不减。 在Gartner发布的“2019年十大数据与技术趋势”的文章中,预测增强型分析(Augmented analytics)、持续型智能(continuous intelligence)、可解释型人工智能(explainable AI)、数据与分析(data and analytics)等几项技术将在最近3~5年内发生重大改变,不难发现安全行业即将进入人工智能与传统安全技术激烈融合、快速生长的新时代。
云垒引入Gartner的自适应安全模型,通过虚拟化的安全设备(轻代理或安全插件)持续检测企业业务系统风险和运行情况并确认风险等级,提供快速风险响应和处置能力,并对攻击进行溯源分析和预测,最终通过安全加固、安全策略升级等方式预防风险事件的再次发生,持续的检测、响应、预测和分析,最终达到自适应隔离。
03 合规需求与日俱增
在本次RSA大会的最火热的创新沙盒环节,有三家参赛厂商都提到了GDPR(《通用数据保护条例》)这个关键词,并从各个维度阐述了方案。对于我国来说,以《网络安全法》“等保2.0规范”为代表的各类法律法规,对企业在合规性方面提出了更高的要求,某种程度上也是对技术发展的倒逼。
《网络安全等级保护安全设计技术要求》中对于云平台和租户的安全职责进行了清晰的划定,云计算平台下安全责任共担模型。云计算平台的等级保护定级和按照等级的保护工作由云服务方负责,对于大型云计算平台可以将云计算基础设施平台及辅助支撑系统划分为不同的等级对象,各自独立定级。云租户在云计算平台上部署的软件及相关组件可以构成等级保护定级对象,针对其的具体定级和按等级开展的保护工作由云租户负责。
云垒云安全平台体系以践行等保2.0为目标,充分利用云计算的最新技术(软件定义网络SDN技术),从网络和通信安全、设备和计算安全以及应用和数据安全,帮助云平台基础设施满足云等保要求,同时也帮助租户层的应用系统满足等保的要求。
04 EDR技术热度不减
终端安全仍然在今年展台上占有重要地位,EDR技术在去年大热过后,今年已成为终端安全的标配,为企业安全提供了基础的保障。端点是网络安全领域的重要资产,无怪乎市场更加青睐更加紧密集成的、功能齐全的端点安全套件。
云垒吸收了EDR技术的核心优势,并结合安全狗自身的威胁情报优势和其他云安全技术的积累,从事前、事中、事后三个阶段,从资产聚合、反杀伤链、入侵响应三个维度来看待主机安全问题,通过主机EDR能力的增强,反哺SIEM或SOC平台,最终达到全网自动响应已知威胁的能力以及对未知定向攻击的检测告警能力。
云安全平台的多层次检测体系包括以下几个层面:
网络层:可以识别和拦截网络层面的异常流量攻击行为,包括扫描行为、漏洞探测行为、异常访问行为等,并对攻击IP进行标记。
应用层:可以识别网站应用、数据库应用、FTP、端口、账号、进程等应用资产,协助用户进行资产管理和资产变更分析;检测数据库、WEB容器和其他组件应用资产的配置缺陷;可以全面识别针对网站应用的各种漏洞攻击、网页后门上传等恶意行为以及恶意的网页篡改行为,并对攻击IP进行标记;可对网站进行脆弱性和可用性监控,同对具备发现暗链和挂马的能力。
系统层:可以识别针对系统层面的恶意篡改、提权、病毒入侵(rootkit)等方面的入侵行为并进行拦截;发现操作系统和应用系统漏洞,并提供补丁修复;监测文件和账号完整性,及时发现篡改行为;可对(云)主机操作系统进行基线核查,在应用系统上线前进行配置基线检测,可以极大降低上线后安全评估和加固的成本。
RSA大会作为网络安全行业发展的重要“风向标”,每年抛出的重要议题,无不展示了当前行业发展的重要脉络。安全狗作为领先的云安全厂商,持续针对业内关注的核心问题进行追踪研究,并提前进行布局,确保解决方案的前瞻性。我们希望能与业内的众多安全企业一道,建设更加有效的合作生态,正如大会主题“Better”一样,希望通过构建安全生态为创造一个更好、更安全的世界而共同努力!