如今,以APT攻击为代表的新型威胁越来越普遍,使得传统的安全技术越来越难以抵御,建立可以有效对抗新型威胁的防御和检测体系成为当前网络安全最迫切的工作。出席本届RSA大会的360公司副总裁谭晓生表示,“传统的安全防御手段很难应对这些全新的安全挑战,未来基于大数据安全分析和威胁情报将成为信息安全行业的主流。”
360公司副总裁谭晓生接受媒体采访
在连续两届的RSA大会上,大会主席阿米特·约伦(Amit Yoran)发出安全行业需要“根本性变革”的同样呼吁。去年RSA大会的主题是变革,今年阿米特发表“睡者醒来”的主题演讲,认为“安全防御是个失败的战略,未来业界应该增加在安全检测技术上的投资。“作为提升安全检测能力重要手段的威胁情报,其重要性自然更加凸显。
威胁情报成信息安全防御主旋律
如果威胁情报在去年的RSA大会上还只是一个热门词汇,那在今年的RSA大会上所展示的相关服务显示,威胁情报的应用正在逐步走向成熟。一方面威胁情报结合SIEM(安全信息事件管理)、威胁检测和终端防护等产品开始走向落地,显著提升传统安全产品检测威胁的能力。另一方面,一些专注在威胁情报领域的公司,也将自己的情报源作为服务提供给其他安全厂商。
为了顺应信息安全发展的趋势,安全厂商近期推出的安全产品都力图利用好威胁情报服务,提升安全产品的检测能力。360公司作为拥有全球领先的威胁情报能力的安全厂商,很早就在探索将威胁情报应用于传统的安全产品,实现威胁情报的落地。
据360威胁情报中心负责人韩永刚介绍,360发布的大数据智慧防火墙、大数据安全分析与态势感知系统(SOC)、新一代威胁感知系统、终端安全产品等,都充分结合了大数据安全分析和威胁情报源,大大提升了安全产品的威胁检测能力。这些产品和解决方案相互之间还可以实现更好的协同防御,全面提升企业的安全防护能力。
360在本届RSA大会期间向全球用户展示了其领先的威胁情报实力。其中包括全球唯一 一个面向全互联网提供DDoS监测和告警服务的系统—— DDoSMon。据360安全专家介绍,从目前的数据看,对于全球成规模的DDoS事件,DDoSMon基本都会在第一时间成功探测检出,在准确度和及时性方面都有非常好的表现。同时360还能结合多种数据源,对某些种类的DDoS攻击,还有更多后台僵尸网络主控的发现机制,从而能更好地帮助用户看到攻击的深层内幕。
威胁情报也离不开连接保护
今年RSA大会的主题是“Connect to Protect”连接保护,一方面表示我们需要保护连接,即时连接的世界为我们提供了巨大的好处,但它也有一个缺点,恶意攻击者运用越来越成熟的攻击手段来窃取我们的数据,扰乱我的生活。另一方面,这一主题强调知识的共享以及业界的协作在应对网络安全威胁上的重要性。
谭晓生表示,360对安全防护也一直持开放合作的态度,努力加强与业界在威胁情报等方面的合作。据悉,目前360已向业界开放了自己的部分威胁情报服务——2015年9月360发布了国内首个网络安全威胁情报中心;2015年12月,360威胁情报中心的基础信息查询平台正式上线,可供国内企业与用户查询。未来360威胁情报中心还将发展成为威胁情报的信息共享与协作平台,在威胁情报生态环境建立中发挥作用。