去年的RSA大会上,华为带来了云安全和物联网安全,而今年的RSA 2018大会上,华为则着重介绍了自己的SDSec(软件定义安全)解决方案。
华为认为,在新的互联网环境下,企业需要应对三大挑战:未知威胁更善于伪装,难被发现;新型恶意软件传播速度加快,难被响应;安全部署效率低下,难以适应发展。可以说三大问题,都能总结为一个“慢”字。然而,天下武功,唯快不破。华为SDSec解决方案通过三大关键能力,构筑主动防御体系,达成先敌一步的“快”。
检测智能:发现“快”
过去的检测问题在于固定式的打分方式过于僵硬。另外,操作系统层的监控容易被病毒伪装逃避,造成检测成功率下降。而对于加密流量,通过解密后分析又会对资源进行了大量的消耗,增加了发现威胁的时间。
SDSec解决方案采用人工智能进行检测。不只是使用打分制的直线模式,而是将威胁判断扩展到类似人脑神经网络的多维立体空间,更加立体化地对样本进行更精细的判断。对于加密流量,SDSec结合机器学习算法,在加密流量中提取多个行为特征,在不解密流量,不损耗网络性能的情况下,检测加密流量中的恶意流量。
SDSec采用的第三代沙箱创新性地对检测进行了改革。第二代沙箱技术在操作系统内对病毒程序进行探测;这个解决方案的问题在于,病毒也能反侦察到监控进程,从而对自己的行为与特征进行隐藏。而第三代沙箱技术不仅从行为打分上进行了行为机器学习的升级,更重要的是将检测从系统层转移到了Hypervisor层,从物理层面——一个对于操作系统层而言更加上帝视角的层面,对整个系统的读、写、执行进行监控。由于监测不存在于系统层,病毒甚至无法意识到自己被监控。
SDSec达成了快速检测***的目标,将平均检测时间(MTTD)降低到平均1天,威胁综合检出率提高到95%以上,为对抗争取了大量的时间。
处置智能:处理“快”
传统的防御措施由单点进行防御,缺乏设备之间的相互协作响应。各个安全部署只能各自响应,缺乏有效地感知整个网路中的威胁。同时对蜜罐的配置也守株待兔般集中于单点,命中率低。传统的SDN只能对网络设备或者安全设备单独进行池化的业务编排,而无法从整个网络架构获得实时的洞察力。
华为的SDSec对SDN进行了升级,在控制层实现对网络、安全以及第三方上安全能力的统一调度管理,从而以全网的角度进行了联动防御。而华为自身拥有的产品系列,可以为用户提供端到端的完整安全解决方案。用户可以使用厂商预设的自动化响应模板针对不同的情况预先制定处置方案,从而提升响应效率。用户也可以根据自己不同的应用需求自定义模板。另外,由于全网协防,使得整个系统能快速感知被感染主机,并且进行切断隔离,防止病毒进一步扩散。
而蜜罐系统不再是单点诱捕,而是对全网络的设备内置诱捕系统,通过华为自研的ENP芯片,在***非法扫描嗅探阶段,主动响应扫描,在全网散布诱饵,通过设备间的互动判断对方恶意行为。该方案既不影响部署,又没有成本上的增加,却能够主动对抗***的***。
华为的SDSec系统不仅利用了SDN对网络资源的调配,也发挥乐SDN在安全上的作用。因为全网的调控做到了资源的分配,从而帮助各个部件节省了自身的资源消耗。从结果上来看,MTTR(平均响应时间)也从7天下降到了平均1天。
运维智能:部署“快”
网络运维在过去面临对人员要求极高的困难,而安全运维更是难上加难。而由于不同业务间的网络需求也不相同,传统网管难以变通使得很难给用户提供个性化的解决方案。而传统的SDN虽然在编排上快捷了很多,但是运维,尤其是安全运维的难度依然很大,安全配置的效率非常低下。
华为的一个改变是不再基于一个固定的网络安全框架,而是针对应用来采取相对应的安全配置。通过安全控制器提供的场景化自助业务模型,用业务模板去匹配需要的业务安全需求;将应用安全策略自动应用到对应的安全资源池,实现业务敏捷要求;同时协同、联动SDN网络控制器,在业务变更扩展时对安全策略自动调整以及适应;最后简化对信息的读取,不再依赖于了解繁冗的网络信息,而是通过图形化的形式去读取安全业务的常用信息。SDSec帮助运维人员极大程度地减少了运维的难度与复杂度。
另外,华为也将机器学习融入运维当中。基于主机和网络探针,应用机器学习,自动生成应用安全策略白名单;通过流量学习,持续分析和验证已配置的安全策略的有效性,对安全策略的增减进行优化建议;通过安全策略的运行情况,分析当前业务应用上的问题,帮助运维人员和管理层更好地进行安全部署上的决策。
通过业务驱动的管理以及智能运维,SDSec帮助企业节省了成本的同时也加快了运维的处理速度:将曾经需要数天的部署时间降低到了数分钟。
华为的优势在于其硬件和通信设备,通过把安全整合到自身设备,形成完整的产品链,同时配合智能算法和优化部署,快速发现威胁并处理威胁,帮助用户打造一个安全的工作园区。