当前位置:安全客 >> 内参详情

【RSA最前线】RSA 2017总结:九大趋势影响未来安全产业

2017-02-17 18:25:35 阅读:11932次

刚刚闭幕的2017 RSA 大会,作为安全行业的重要风向标,为行业展示了重要的技术趋势与方向。

总结来看,安全重要性被再度提升,成为影响企业业务的要素。此外,安全产业的协作,安全产品的整合与平台化,云安全,机器学习在安全领域的产品化,终端一体化,威胁情报精细化都是本次大会透露的重要趋势。

趋势一: 从IT驱动安全到业务驱动安全

在RSA大会上,安全重要性再次被提升。

作为EMC的一部分,RSA在EMC被收购后,成为Dell Technologies的一部分。在RSA开幕主题演讲时段,Dell Technologies公司 CEO Michael Dell意外亮相,做了简单的致辞。他认为, 安全技术在企业管理层得到全所未有的重视——“受到高度关注”,而且安全不再被视为技术问题,而是业务与风险问题。Dell表示,在整个社会都在经历数字化转型之际,安全是企业业务数字转型的关键。Dell 的现身验证了对RSA品牌与安全业务的重视。

RSA CTO Zulfikar Ramzan在题为“为混乱而规划”主题演讲中表示,随着安全日益成为业务问题,安全产业正从技术角度关注安全转向业务角度。

安全专家认为,安全从IT驱动转向BT(Business technology)驱动,从之前关注基础架构等转向关注业务安全,这也从另一个侧面说明安全越来越重要。此外,大会主题还突出了机会带来的力量,强调商业机会推动安全技术的进步和产业的发展,

在行业层面,从本次大会一些产业领袖演讲中可以明显感受到整个产业对于协同和联合的认同,正如2017年RSA会议的主题Power of OpportUNITY,突出了最后的UNITY,强调团结和联合起来,共建安全生态,对抗黑客攻击。

http://p6.qhimg.com/t011ea7663e324de4c9.jpg

趋势二:产业协作应对安全挑战成潮流

安全企业一直都在呼吁: 在日渐严重的安全威胁面前,无法依靠单个企业来应对,需要安全产业协作应对。在2017 RSA大会上,安全产业内的协作进一步得到了加强。

今年1月成立的网络安全威胁联盟(Cyber Threat Alliance)迎来了新成员:思科与Check Point。加上原来的Fortinet、Intel Security、 Palo Alto Networks 和Symantec,创始成员增长到6个。这个非营利性的联盟旨在进行网络犯罪威胁情报共享,向安全厂商、政府部门以及非营利机构开放。

Splunk公司与 AlgoSec在RSA期间发布新闻,称 AlgoSec将加入Splunk的自适应响应计划(Adaptive Response Initiative),利用端到端的情景与持续响应改善企业的安全运营。

Intel Security 高级副总裁兼总经理Chris Young认为,安全行业需组建类似美国NBA那样的梦之队,来应对安全挑战。“安全产业只有协作应对,才能赢得安全之战。”

微软公司总裁Brad Smith认为,安全产业需要呼吁政府来促进产业协作。他认为政府部门成立类似数字日内瓦公约的组织,指定网络安全规则。安全产业自身则需要进行协作。“即使是在民族主义情绪高涨之际,我们全球的技术产业需要成为可信中立的数字瑞士。”

http://p7.qhimg.com/t01c5f0ee5d20ab39ac.png

微软公司总裁Brad Smith呼吁数字日内瓦公约的组织

趋势三:安全产品走向整合,平台化趋势成共识

360企业安全集团高级副总裁袁沈钢表示,今年RSA大会感觉最深刻的是安全产品正在走向整合,让用户的安全防护可以更加简便。“安全行业的这种整合,可以让用户享受到安全防护的简便”。对用户来说,仅仅是安全防护——这个IT与业务正常运行的支撑需求,就需要与20-30个安全产品供应商打交道,对于很多没有安全团队的企业来说,实在是难以应付。“随着安全产品的逐步整合,企业用户将只需要通过2-3家供应商就能满足安全需求。”

360企业安全集团副总裁梁志勇也认为,业界安全专家对于安全产品的平台化趋势已达成共识,这种“未来安全平台”将会带来集成、自动化与跨厂商的威胁情报共享,从而可以有效解决目前安全方案过于复杂、成本高,响应变化比较慢,以及投资回报不理想的问题。

埃森哲安全全球执行总监Kelly Bissell也认为,企业用户正在寻求整合安全供应商,转向更加集成的解决方案,以实现更高效的安全战略。

Palo Alto Networks公司 CEO Mark McLaughlin在题为“即将到来的颠覆式安全变革“演讲中指出,近年来的数据泄露频发,新兴威胁不断出现,这表明当前的安全模式已经无法奏效,这需要企业转向基于平台的安全新模式。

McLaughlin认为,这种平台安全模式不是当前安全厂商所兜售的安全平台,而是新一代的安全平台——关照可视化、分析和安全处置。

http://p2.qhimg.com/t015ddccc9a21e997a8.png

Palo Alto Networks公司 CEO Mark McLaughlin:安全产品平台化

McLaughlin认为,这种被称为的“安全平台2.0”的新平台将会带来更多创新、威胁情报共享、自动化、安全软件化,让产品部署更简便、使用更灵活,并出现新型的消费模式。

思科公司安全业务集团副总裁David Ulevitch也认为,改善安全态势的唯一途径是使用自动化手段,缩短威胁检测和响应的时间,而这需要消除单点解决方案的彼此隔离,无法互联的问题,从而转向平台与安全自动化。他认为实现这点的秘密武器就是云——云提供了无限的硬件、计算、存储和分析能力。

PAN发布的PAN-OS 8.0、思科公司发布的互联网安全网关Umbrella都体现新一代安全平台的特点——安全平台化,单点产品的深度整合。在RSA大会上,Splunk此前发布的自适应性响应计划(Adaptive Response Inititive)也得到更多企业参与。该计划旨在推动不同产品的协同,利用自适应安全架构,提供端到端的自动响应。显然,平台化的趋势在安全巨头间已形成共识。在RSA大会上,IBM发布了沃森安全服务,该服务将被整合到IBM新的Cognitive SOC平台中,将先进的认知技术与安全操作相结合,并提供应对终端、网络、用户和云端威胁的能力。此前,IBM收购了安全事件响应平台商Resilient Systems,将其整合进其SIEM平台QRadar;赛门铁克则发布了“业界最完整”的云安全解决方案,将传统的安全防护延伸到云端。

360企业安全则致力于推动单点解决方案的整合,形成终端、防火墙、高级威胁发现,以及云端的联动,推动威胁情报的共享,恰好迎合了国际安全的大趋势。

http://p1.qhimg.com/t01c0f0e33385bb6ea4.jpg

图:赛门铁克发布“最完整”的云安全方案

趋势四:云安全备受关注,新方案层出不穷

从最近几年RSA上的热点可以看出,云安全一直是近几年业界关注的重点,而在本届RSA现场,云安全同样是备受关注,新产品新方案层出不穷。“今年的RSA展馆里,在很多安全公司的展台上几乎都能找到Cloud这个关键词。

在本届RSA上,可以看到,很多安全公司认识到了云所带来的这些安全挑战,并从专业安全的角度给出了更佳优化的解决方案。

在本届RSA开场的创新沙盒比赛入选的十家创新企业中,Cato Networks就是一家是专注于云安全技术的初创公司。但与传统靠昂贵的安全设备投入和复杂的网络部署安全解决方案不同,Cato Networks为用户提供了一个敏捷可伸缩的云安全平台,即所谓的网络安全即服务(NSaaS)。这种方案的需求主要是由于现代企业已经突破了传统的集中式部署,分支机构和设备散布在全球各处。

Illumio也是本届RSA展会上具有代表性的公司之一,专注于数据中心和云计算环境的安全。Garner在2014年发布的《面向高级攻击的自适应安全平台》报告中,Illumio更是作为全球第一个将自适应安全平台产品化的厂商而备受关注。

Illumio的旗舰产品是 Adaptive Security Platform(自适应安全平台),使用了一种新的安全模型,把安全和底层的基础设施解耦,从而能够适应虚拟化数据中心环境下资产和应用的快速变化,动态保持安全策略的一致性和有效性。

在本届RSA上,360也对外发布了自己的云访问安全代理产品——云守,采用灵活的安全策略,通过认证、标记化和加密的方式,360云守可以确保云端和传输中的数据安全,而且通过性能优化措施可以在保证安全的情况下保留原有云应用功能,不影响用户云应用体验。帮助用户很好的解决了企业云应用的数据安全、云应用的安全管理、云应用的安全合规、指导企业员工使用安全的云应用和访问境外云应用的加速等问题。

http://p6.qhimg.com/t01b8109e663f42c019.png

360云访问安全代理产品——云守

趋势五:威胁分析驱动安全运营

从RSA看,业界现在越来越关注威胁分析,并把威胁分析提升到了企业安全运营的一个很重要层面。

融合云数据的威胁分析:威胁分析已经成为大数据安全分析、高级威胁检测一个非常重要的点,融合云数据的威胁分析成为一个方向,比如IBM的Waston in QRadar就是结合云数据来做的,它会从互联网上博客、论坛等地方把专家意见拉过来,将这些专家的意见结合到事件分析中,结合全网的数据和一些专家意见,可以提高分析的深度和分析的相关性,把整体事件的全貌还原出来。

重视场景分析:RSA有一个主题演讲关注基于人的行为的攻击链分析,这个演讲的关注点都在场景分析上,其基本意思是不光要知道这个威胁是怎么回事儿,还要非常清楚地知道整个的攻击场景是怎么回事儿,攻击链条是怎么一回事,它的来龙去脉是什么样的,分析的时候要把整个攻击的链条还原出来。

Splunk的UBA、微软的sysmon、初创公司SentinelOne的attack story都是基于场景的分析,重视场景化分析也是360天眼在产品化当中重点考虑的方面。攻击事件不再是一个孤零零的事件,它应该有一个全貌,把整个黑客的攻击链条还原出来。在威胁分析的云数据结合方面,360已经结合在了一起,在新版本的NGSOC中,最重要的一个能力就是场景分析,在其中定制了大量的业务场景分析的各种story在里面。

趋势六: 人工智能和机器学习进入产品化

在今年RSA大会的各种场合,人工智能都是谈论的热点,人工智能和机器学习开始进入产品化。创新沙盒十家入选公司,三家都和人工智能有关;主题演讲更是请来了Google前CEO Eric Schmidt做访谈;大量的小公司聊一聊,都声称自己使用了人工智能的技术。

http://p3.qhimg.com/t01375e40b1e3a38ec0.png

Google前CEO Eric Schmidt

比如,Splunk推出了Aktaion组件,就是做机器学习分析的,它通过机器学习处理业务数据,能逐渐去学习业务数据当中哪些业务出现异常,然后直接报出来。

Splunk提到很典型的一个场景是如何检测勒索软件。勒索软件会有下载阶段、数控阶段、数据传输、感染等不同的阶段,不同的阶段,它的网络行为和本地行为的那些数据、日志是不一样的,通过机器学习,利用海量的正向样本和恶意样本的分类,就能够分出哪些是属于勒索软件的行为。就可以发现谁感染了勒索软件、哪些勒索软件可能已要开始起作用了,提前感知到,然后去做一些判定。Splunk在机器学习和人工智能方面最关注的是误报率,通过对算法的调整,已经可以很好地对某些场景,比如勒索软件做到低于千分之一的误报率。

另外一个典型的例子就是IBM的沃森。沃森在医疗方面已经成功应用。在安全方面,沃森可以学习所有安全专家的意见,收集安全专家在Twitter、博客等发表的意见,尤其是在一些新型攻击发生时安全专家的意见至关重要,把这些东西形成一些专家的报告,通过人工智能学习的方式把它给结合进来,就能给本地的数据带来一定的帮助。安全运营平台的目的是把安全专家处理的步骤自动化,不仅仅是内部的安全专家,还有全网的安全专家都能够去结合起来为我提供服务。沃森的产品化的效果还是有待观察。

360的NGSOC组件里的流量探针也已经使用了机器学习技术,在检测基于服务器端的攻击,以及基于网络攻击这方面,通过机器学习去做相关的判定,相关的检出率和误判率都已经达到了比较满意的效果。

但安全专家认为,基于机器学习的技术成熟度、产品使用效果,目前还没有特别多案例。通过与一些公司交流,大多都在早期技术原型,或早期客户验证阶段。比如:patternEX公司声称可以学习用户使用过程的反馈,用来改进异常检测算法,这是解决异常检测误报率问题的好思路,但还没有具体的客户案例。

相信,明年RSA大会可以看到一些基于人工智能技术的新产品成熟落地。

趋势七: 终端安全成熟,追求一体化解决方案

终端安全依然是RSA的一个热点,在终端安全领域,EDR依然是热点,同时所有厂商都在致力于补齐自己的短板,提供一体化终端保护完整解决方案。赛门铁克、卡巴斯基、趋势等传统终端安全厂商逐渐的在补齐EDR,而以EDR起家的新兴的终端安全厂商致力于补齐防病毒等拦截能力,像Carbon Black这样的新兴厂商还开始做基于行为分析的行为拦截功能。基于云和人工智能的威胁分析来解决传统杀毒无法解决的未知威胁问题,也成为很多终端安全厂商探索的一个方向。

RSA表现出的终端安全趋势正好与Gartner魔力象限报告中对于企业终端防护平台的市场定位相吻合:这是一个集成解决方案,其中包括了以下能力:防病毒、个人防火墙、端口和设备控制以及漏洞评估、应用控制和应用沙箱、企业移动管理、EDR检测与响应、数据保护和终端数据防泄漏。

http://p1.qhimg.com/t0186a23a4691621a5f.jpg

图:Carbon Black推出的端点检测安全软件方案中有云端威胁分析功能

360企业安全的终端安全方案——天擎展示了行业领先性: 一开始就致力于“规划-实施-合规-攻防”的全生命周期能力,提供一体化的终端保护解决方案,在传统防病毒能力上与赛门铁克等传统终端安全厂商一样具有领先的能力和积累,而在EDR布局中又比传统终端安全厂商更早,跟进速度更快,与新兴安全厂商处于同样的领先水平。从RSA看,360终端安全多年前开创并应用的云查杀和QVM人工智能引擎,目前正在成为终端安全领域普遍跟进的方向。在1月31日Gartner发布的企业终端防护平台魔力象限报告中,360企业安全集团凭借360天擎优秀的表现,连续第三次入围,这也是唯一入选该魔力象限的国内安全厂商。

趋势八:威胁情报成为必需品后,开始追求精细化

从RSA看,威胁情报已经成为一个必需品,不仅仅必须要有威胁情报,用威胁情报去连通整个环节,而且开始更多的关注怎样选择适合的威胁情报,订阅威胁情报时需要去评定它,需要知道自己的行业需要什么样的威胁情报,威胁情报的质量开始成为安全运营中关注的重点。

现在的威胁情报很多,但是不同的行业用户需要的威胁情报是不一样的,比如说能源行业、教育行业关注和政府行业关注的威胁情报是完全不一样的。

据悉,360企业安全已经在这方面进行了一些实践。比如威胁情报在与防火墙结合落地的时候,中小企业根本就不关注什么是APT,而更关注于勒索软件、泄密行为或者病毒、木马等普通的威胁,但政府机构会很关注APT,所以360会针对中小企业用户的防火墙和政府机构的防火墙推送不同的威胁情报。

http://p7.qhimg.com/t013ec6e56a286d4113.jpg

图:Fireeye报告中对SOC的好坏进行了评定的曲线

Fireye在RSA上发了一个报告,对于SOC平台的好坏进行了评定,他在批判不好的SOC平台的同时,也提出了什么叫成熟的SOC平台。Fireye给出了一条曲线,在这条曲线越低级的时候,出现的误报会越多,用户就会疲于应对误报问题,不能发现一些真正有效的攻击。Fireye认为,越是成熟的SOC平台,越是成熟的安全运营团队,就会更关注于威胁情报,也会关注于威胁分析。通过威胁情报去精准地产生一些有效的线索,帮助用户去进一步做扩散,通过威胁分析去进一步扩散出来。

360去年推出了NGSOC(下一代SOC),相对于传统SOC最大的不同可以帮助企业回溯历史,因为对于企业来说回溯历史的成本是最高的。所有的事情只会发生一次,如果没有把数据记录下来,不对历史数据去做回滚分析,就无法做出评定。如果有了这些历史数据再去评定威胁情报就容易很多,直接通过历史数据回放就可以看到,知道当时发生了哪些攻击事件、通过威胁情报能够曝出多少,这可能也是最佳的威胁情报的评定方式,实践是检验真理的唯一标准。

趋势九:勒索软件成为七大致命攻击之首

http://p0.qhimg.com/t01022c35c4c14e1790.jpg

在RSA的一个专题演讲中,勒索软件被定为七大致命攻击之首,成为最受关注的安全威胁。从Datto和SentinelOne的数据来看,勒索软件的目标从医疗、交通、政府、酒店等行业,开始出现向IoT、工控,以及公有云领域扩展的趋势。如果勒索软件进入IoT行业和工控行业,比如勒索软件从攻击电脑和服务器加密锁定数据和文件转向锁定酒店的门禁、电梯控制系统等,锁定酒店所有的门只有缴纳赎金才能打开,锁定电梯只有缴纳赎金后才能停下来,其造成的威胁将是灾难性的。

佐治亚理工学院的安全研究人员对勒索软件如何潜在影响工业控制系统(ICS)进行了一项研究。他们开发了一种新型的勒索软件,并模拟勒索软件接管水处理厂的控制系统,攻击者将控制可编程逻辑控制器( PLC )并执行带有严重后果的命令。模拟攻击旨在突出工业控制系统的漏洞,包括工业设施(如制造厂、水和废水处理设施)的控制系统,以及用于控制自动扶梯、电梯、HVAC 系统的楼宇智能管理系统,他们也在RSA上展示了勒索软件入侵 PLC 设备。

除了针对勒索软件的技术防范措施外,针对防范勒索软件的相关服务也成为一个关注点,在RSA上,SentinelOne与360这两家展台仅靠的公司,都推出了敲诈先赔服务,对遭遇勒索软件攻击中招的客户提供先赔服务。


本文由 安全客 原创发布,如需转载请注明来源及本文地址。
本文地址:http://bobao.360.cn/news/detail/22.html

参与讨论,请先 | 注册 | 匿名评论
发布
用户评论
无任何评论