「老三樣」會思考以威脅情報驅動安全產品演進

安全從來不是一成不變，但當我們聽慣了各種「下一代安全」時，難道就真的覺得「老三樣」不行了？事實上，防火牆、入侵檢測、防病毒這些老三樣們仍然佔據著安全市場的出貨量主力。所以，市場一次又一次的告訴我們，它們依然有價值！

只不過，它們在變。

如果把這些安全裝置、軟體比喻為手和腳的話，那麼變的是什麼，是不是缺少點什麼？對的，「大腦」！在360網神看來，安全產品該由規則驅動轉向威脅情報驅動，進而來說，資料則是安全的大腦，有了它才能讓手和腳更聰明、靈活。

威脅情報驅動如何讓安全「手腳腦並用」

過去基於簽名與特徵碼來進行檢測與攔截的防禦體系不足以應對複雜多變的安全態勢，已經成為共識。如果回想下我們看過的很多古裝片中的場景，當把守城門的衙役拿著「罪犯」畫像欲對其進城實施逮捕時，很多時候無濟於事，因為他們檢查的物件往往進行了喬裝打扮。

回到現實網路安全環境中也一樣，很多時候黑客把惡意樣本投遞到企業的內網中去，現在的防禦體系大多對這個檔案落地的一刻進行攔截和檢測，但這種檢測能力非常有限，因為惡意樣本也會「喬裝打扮」。對這時的防禦體系來說，能檢測得到就檢測，檢測不到就算了。

以上可以看作它們是以規則驅動的安全產品，顯然這個防禦等級並不高，並且看起來也有點「傻」。這時，安全要做的是什麼？即使入網的那一瞬間沒攔住，也要對它密切監控。

如果說過去完全依賴於規則下發進行的響應已經力不從心，那麼未來的安全靠什麼？

360網神的答案是「威脅情報」。

360網神近日發布了基於大資料安全分析和威脅情報的新一代安全產品，360企業安全集團總裁吳雲坤表示，「360憑藉多年積累的安全大資料，對最新威脅方式進行追蹤，形成了持續更新的威脅情報，並將威脅情報應用於安全產品中，開發出了一系列威脅情報驅動的新一代安全產品。」

360網神把威脅情報能力賦予了三大產品，包括新一代威脅感知系統（360天眼）、新一代終端安全系統（360天擎）和新一代智慧型防火牆（360天堤）。注意，無論是天眼、天擎還是天堤，他們並不是橫空出世的新產品，而是被賦予了大資料和威脅情報的「芯」。

威脅情報如何發揮作用？吳雲坤舉例，某金融機構智慧型印表機被黑，威脅情報會告訴你這個木馬帶來的攻擊鏈條是什麼，它的響應動作不是在智慧型終端上把這個木馬殺掉就結束了，而是要看和它相連的其他主要業務系統有沒有感染。並且，它也有可能因中招的木馬不一樣做出不一樣的響應動作。「有的是儲存現場進行調查、有的是要殺掉這個木馬、還有可能停止另外乙個程序。」

有沒有發現，威脅情報驅動的安全產品之間是聯動的，也就是說在處理乙個攻擊行為時安全防禦體系是展開協作的，它們協作的基礎是資料和情報，情報可能希望先做乙個終端的保護、再做乙個防火牆的策略、再回到大資料中心進行分析檢測、或者做其他下一步的動作，應對攻擊安全產品之間不再是孤立的。

所以，裝置+情報，乙個手腳腦並用的的安全體系真正發揮作用了。

如何獲取威脅情報並實現自動化響應

既然情報這麼重要，如何獲取情報並讓它發揮價值也是考驗安全提供商的重要能力。吳雲坤強調，這要考驗大資料採集能力，很多企業在做規劃過程中都提到乙個問題，要把資料留存。這種留存不是過去的告警留存，事實上過去的ids、防火牆、反病毒全是流程的告警資料，這顯然不夠，而是需要全量資料的採集和儲存能力。情報要發揮作用，要留存的包括終端、網路、甚至是資產等原始資料，甚至到業務級的。

如果要衡量威脅情報驅動的安全防禦體系是否發揮最大價值，要依賴兩個條件，一是資料能不能收下來、二是情報的響應能不能由裝置完成。

吳雲坤指出，360網神推出由規則驅動轉向威脅情報驅動的新一代安全產品解決了三件事情：

第一解決了高階威脅的檢測與響應問題，所有的終端產品、防火牆支援全量資料採集，不僅僅是告警、還採集各類的行為，包括網路方面的流量、快照、日誌等。

第二能夠基於威脅情報做出自動化響應，如果說用1元錢衡量情報，那麼10元錢是檢測、100甚至1000元則是做響應。所以後面的事情更重要，360描繪的威脅情報驅動的新一代安全產品前面強調的是威脅情報、後面則是安全基礎設施，安全基礎實施以情報驅動，少乙個都不行。為了基於威脅情報做出自動化響應，360已經完成對底下很多基礎設施包括防火牆、防病毒的改造。

三是為後續的各類安全資料的分析和挖掘提供資料基礎，甚至是非安全的事情。

「今天360的防病毒、防火牆和天眼的大資料運營系統形成了威脅感知的業務閉環，未來無論是我們的無線安全、移動安全，包括雲安全等所有的產品概念都會這樣：資料要採回來、和情報進行結合、結合之後做響應。」吳雲坤說。

據介紹，360的威脅情報來自三個方面：一是360自己的全球海量資料探勘生成的威脅情報；二是通過交換方式或購買的商業威脅情報；三是內部威脅情報，也就是使用者自己產生的情報。

細緻入微的資料分析能力

通過對傳統安全產品的改造，360網神把防火牆、防病毒等變成了觸感豐富的「**」，反饋了豐富的資料，再加上基於大資料的威脅感知系統，360反過來把安全基礎設施變成了可以被驅動的手和腳。的確，360網神構建了乙個閉環、靈活和智慧型的安全防禦框架。

但不得不說，威脅情報驅動是一種分析技術，360是否又做的細緻入微呢？

吳雲坤把資料分析技術分為兩類，一是用「顯微鏡」看乙個單點資料，比如乙個樣本、乙個url、乙個dns、乙個行為、乙個流量等，二是用「天文望遠鏡」看資料與資料之間的關聯關係。

過去，所有的人都在研究第一類資料，把它看細，但資料大了之後更重要的是彼此之間的關聯。以美國反恐為例，過去是把**解密，要看細、研究的越透越好。現在不是，它看誰之間打過**、研究人之間的關聯關係，最後定位出誰是恐怖份子，而不是花大量成本解密通話內容。所以，研究資料之間的關聯關係可以找到很多異常。

做安全的公司都知道機器學習，但對於很多傳統安全公司來說，根本沒有做機器學習或剛開始起步。為什麼？因為對於他們來說，不缺攻防專家，但沒有資料科學家。

360不同，吳雲坤說，360是一家網際網路公司，資料科學家在做網際網路業務時已經有了，包括起初做qvm引擎搞搜尋的人。對於資料分析和機器學習，360有天然的基因。資料從儲存、分析、挖掘到得到情報的過程，360有領先的技術能力，例如5000億/秒的查詢次數，很多跟安全無關跟大資料技術積累有關，但反過來又作用於安全。

所以，有了支撐威脅情報分析的大資料技術，加上以威脅情報驅動的安全基礎設施，360網神為「老三樣」賦予了思考的能力。

***********************************=分割線******************************==

「老三樣」會思考以威脅情報驅動安全產品演進

精簡微軟老三樣輸入法

CSS 知識整理三樣式

MVC框架（三）樣式和布局

「老三樣」會思考 以威脅情報驅動安全產品演進

精簡微軟老三樣輸入法

CSS 知識整理 三 樣式

MVC框架（三）樣式和布局

相關推薦

「老三樣」會思考以威脅情報驅動安全產品演進

CSS 知識整理三樣式