安全的價值依托于業務的發展,業務創造價值,而安全則是守護業務。在傳統企業紛紛進行數字化轉型的過程中,企業將自己的數據流、信息流和業務流進行了數字化的重構,實體資產和人力管理轉變為數字資產與自動化、系統管理。

當傳統企業還在進行艱難的數字化轉型時,部分互聯網企業已經進入下半場,開始智能化轉型,數據流、信息流和業務流做進一步分析和優化,與之相對應的是快速發展的人工智能等新興技術。

這些新技術帶來的一方面是機遇,另一方面則是挑戰。在新技術的催生下,對企業安全的攻擊方式也開始迅速進化,以勒索軟件為例,在很多傳統企業尚不知數字貨幣為何物之時,黑客已經通過自動化技術生成大量快速隨機傳播的無差別攻擊勒索程序,趁企業在遷入新環境尚立足不穩之際,一舉攻破企業的安全防護體系,隨即迅速傳播,加密整個企業內網的數據文件,讓企業飽受其害。

1、企業的內網環境和互聯網的環境并不相同。

對企業來講,大型企業在發展過程中往往會呈現向平臺化發展的趨勢,整個數字生態系統,以及在這整個生態系統中流轉的數字資產在周期化的運行中,對它的安全考量、風險的防護是需要核心考量的因素。

對中小企業來說,對生產和生產環境、對數字資產的安全性要求同樣是一個企業在運營過程中需要核心考量的因素。

出于對數據保密性、可用性和完整性的要求,60%-70%的企業在數字化轉型中使用內網。但內網隔離的企業環境與互聯網的環境并不相同,這導致了傳統互聯網安全廠商無法滿足企業對終端殺毒的需求。

一方面,傳統互聯網安全廠商過于依賴云端的查殺能力,在互聯網環境中借助云端查殺對病毒90%+的檢出率,一旦進入企業內網,無法借助之前的云端查殺后,對新興病毒的檢出率就會大打折扣。

另一方面,很多傳統制造型企業比如鋼鐵廠以及醫院等民生機構,系統非常老舊。以Windows XP為例,很多互聯網安全防護軟件會出現嚴重的不兼容、不適應、無法安裝和及時更新的問題,加之沉重的特征庫會占用大量資源,影響企業的業務安全和生產效率。

此外,由于傳統的針對端的安全防護是單點防護,兼容出現問題不說,企業的維護成本也非常高昂。在以往,單臺或者少量的設備出現問題,往往可以請安全應急專家來進行維護和加固,維護和管理的成本也并不高。但伴隨著安全環境的變化,一臺被攻破、整個企業內網遭殃,企業在數字化轉型中遭遇了新的難題。

2、AI之矛,勒索軟件橫行。

2015年,勒索病毒興起,大肆進入我國。

2016年,勒索病毒大爆發。

2017年,5月12日WannaCry的肆虐,短短數小時內席卷全球150多個國家和地區。

2018年,GlobeImposter、GandCrab,短短半年出現了多個變種版本,感染用戶數量創新高、破壞性超出以往。

在戰場上讓大量普通士兵重傷的,不是狙擊步槍,而是機關槍。同樣,對大部分組織造成重大信息安全事件的威脅,不是有組織的定向攻擊APT,而是大量快速隨機傳播的無差別攻擊勒索程序。

狙擊步槍到機關槍的轉變,反映了這些勒索病毒的一個相同點:都采用了自動化生成技術。而伴隨著AI技術的發展,病毒攻擊的未來的趨勢是它們數量和樣式會更多、傳染更快、破壞力更強。

如果說早期的勒索軟件是由人來編,在重新變化它的組織、操作與數據流后,導致原來的檢測失效。

那現在就可以通過AI自動化技術自動生成惡意代碼,它可以通過大量的數據和樣本來機器學習惡意代碼的運作方式,進而導致新病毒的產生呈現出指數級的增加。

通過AI的自動化技術生成新的惡意代碼,攻擊方有了新的火力支持,狙擊槍進化成了自動化機關槍,在這個過程中防御方將要面臨更高的安全風險,防御端檢測面臨的挑戰也就更大了。

3、攻防升維

安全領域強調的是攻防對抗,當攻擊方的能力增強之后,壓力就轉移到了防守方上。

攻是單點突破,找到一個點,并通過這個點滲入進去挖開他的防守體系,進而拿到內部網絡更多的東西。

而防則不一樣,防講的是縱深防御,是面的問題更是點的問題,從面上講,企業要全面去防;從點上來說,企業的安全防護就要做深做細,以前安全業內一直在講木桶原理,指的是企業的安全體系是一個木桶,安全防護體系中如果有短板,如同水會從短板的地方流出來,攻擊方也會從短板的地方侵入。

以勒索病毒為例,深信服安全專家鄒榮新給我們分享了一個小故事:“WannaCry爆發時,我這邊成立了安全應急團隊,大概十個人左右的一個團隊,我們從客戶那邊觀察到,以前客戶里頭他一臺機器出了問題,那就你的這臺機器出問題,大不了把你機器重裝就完了,現在病毒一進來以后,它會快速蔓延,可能在幾分鐘之內你的幾百臺、上千臺機器就全部中招了。”

永恒之藍利用微軟的MS17010漏洞,攻擊性之強覆蓋面之廣甚至可以讓一個公司的全部幾十臺服務器短時間內全部被加影子賬號。黑客利用美國NSA公布的信息來謀利、做破壞性的工作,這是之前所沒有的變化。

4、如何應對?傳統特征殺毒的無力。

傳統特征殺毒是基于病毒特征庫方式進行殺毒,在面對新型病毒或變種持續產生的情況下,往往呈現被動、后知后覺的特點,缺乏快速響應機制。

另一方面,由于本地病毒特征庫是有限的,當特征庫與已知病毒樣本不匹配時,查殺就會受限,這點在企業隔離網環境下失去云端查殺能力時表現得尤其突出。此外,由于特征數量不斷增多,特征殺毒會加重終端資源以及運算成本。

最后,由于未實現一體化防護,會導致企業的管理運維量巨大。

攻擊方可以用AI的技術來提升它的工具,提升它的效率,減少它的攻擊代價。而攻防本身講究的是個代價的問題,攻方究竟愿意用多少的資源來攻破一個目標,攻破過后能獲得多少利益,那防御,則是企業愿意投入多少資源來防御到什么樣的程度。

以往,大型企業可以投入巨額的資金來請業內的安全專家來進行人力的安全緊急響應,但是現在面對動輒有幾棟樓之多的服務器,通過人力進行應急顯然已經不再現實。

而對中小企業來說,就更難以承擔高昂的安全維護成本。在這樣的情況下,將預算放到端的檢測和響應上,無論從效果還是花銷上來看,都是更為明智的選擇。

基于端的檢測和響應來構建一個安全防護體系;通過云網端的融合做到點面結合來縱深防御;通過一個統一的管理平臺來進行統一的安全管理;通過采用AI技術來應對自動化攻擊;這些,就成為了應對攻方升級的不二法門。

5、技能進化:深信服新一代終端安全EDR和它的SAVE引擎

為了應對進化后的攻擊方,作為防御方也應該完成它的進化。

對此,深信服提出了新的安全理念:面向未來,有效保護。面向未來,有效保護就是以明晰過去和現在的威脅和挑戰為基礎,預測未來趨勢,并通過技能進化和智力進化提升預測、防御、檢測、響應能力,持續應對新的風險和挑戰,保障信息資產的保密性、完整性、可用性達到預期要求。

同時,基于“面向未來,有效保護”的安全理念,深信服也提出了新的安全架構,該架構的核心是“進化”——以“技能進化”和“智力進化”,持續提升保護的有效性。

技能進化就是從安全建設”以防御能力為核心”進化到“以檢測能力為核心”。

反映到具體的端點上,則是深信服基于傳統端點檢測和響應EDR的進化,打造的下一代終端安全EDR。

EDR本身是一個很早就有的安全解決方案。但深信服通過在技能進化上具有里程碑意義的SAVE安全智能檢測引擎,完成了創新。

SAVE安全智能檢測引擎使用了創新的人工智能無特征技術,能夠進行算法的自我優化、特性的自動提取,相比傳統使用固定算法、人工提取特征的傳統檢測引擎來講更具優勢,能夠對勒索病毒變種及其他未知病毒進行準確檢測。

通過SAVE引擎,深信服新一代終端安全EDR,對未知病毒檢出率高達97.8%,對已知病毒檢出率高于99%,對與之前肆虐的Globelmposter勒索病毒,查殺成功率更是達到了100%。

SAVR引擎的背后是深信服每年行業內無出其右的研發投入(每年投入利潤的20%以上)、由博士和博士后科研團隊所組成的創新研究院在應對挑戰時的勇于創新與堅守、和安全團隊十多年來積累的豐富行業經驗與安全知識庫。

在數據方面,憑借著多年在企業領域安全防護的實戰經驗,深信服獲得了大量的真實威脅數據信息尤其是企業所面臨的惡意代碼、惡意流量數據,為了進一步擴充數據的樣本量,深信服也與諸如谷歌等公司合作,進行數據導入,提高辨別準確度。

在算法方面,深信服數據解析的角度也有創新之處,它更多的去從安全防護比如勒索軟件的角度進行解構,然后再去嘗試各種各樣的算法。

通過人工智能賦予用戶以持續進化的預警、防御、檢測與響應能力,方能以不變應萬變,在不同的場景中進化出不同的模式來應對威脅。

深信服通過AI技術打造了新一代終端安全EDR,又輔以了與網、云的結合。

深信服安全云腦作為威脅情報搜集和響應的中心,當發現到威脅情報后會第一時間推送給深信服新一代終端安全EDR與深信服新一代防火墻AF、安全感知平臺SIP、上網行為管理AC等網絡安全管理。

如果把深信服新一代終端安全EDR比作點的話,那么深信服新一代防火墻NGAF、安全感知平臺SIP、上網行為管理AC就是面,通過點與面結合方能打造了一個完整的企業安全防護體系。深信服新一代終端安全EDR補齊的就是企業安全防護體系這個木桶的最后一塊短板。

通過對云、網、端的融合,結合了EDR的全網安全設備聯動機制是一整套的云管端閉環系統,解決了傳統安全防護的體系弱點和能力缺失,可以高效實現病毒防護、具有對已/未知威脅的準確檢測與發現、快速響應等功能。

而基于Agent加管理平臺的部署模式,還可輕松實現資產盤點、合規審查,以及基于應用角色的微隔離防護和流量可視化管理等功能,讓企業的管理管理能力足以應對新的威脅。

面向未來,有效守護!深信服新一代安全EDR將秉承深信服的安全理念。在寒夜來臨之時,做企業安全的忠實衛士。