攻易守難？不妨借助AI與軟件定義安全來個“劇情”反轉

說起企業安全問題，作為一名安全管理員恐怕會有一肚子的苦水，企業出了安全事件，第一個“背鍋”的就是自己。麵對當前的企業業務和辦公環境，網絡安全也變成了攻易守難，CSO的苦惱可不是一點點。

如果總結CSO們的苦惱，大致可以分為三點：一是風險被動響應；二是不能全局掌握安全態勢；三是安全運維難題。

CSO麵臨的工作可能是這樣的

無論哪一個CSO都想讓自己建立的安全體係保障的企業安全高枕無憂，不過“敵人”的存在不可能讓你如願以償。

首先以檢測來說，威脅檢出率較低、漏報較高是不得不承認的普遍狀況。尤其對於隱藏在加密流量下的惡意威脅，在不解密的情況下，也沒有有效檢測手段識別安全風險。在攻擊者和防守者拉鋸戰的狀況下，威脅檢測周期長也讓防守者處於下風。

其次在威脅處置方麵，傳統的安全防禦體係，構築在拓撲中不同的部署位置，已經從單點部署演進到了分層部署階段。但是分層部署的方案，仍然不足以解決高級威脅需要在長時間、全空間才能發現的安全風險。對於安全事件的響應隻能夠各自為戰，對於同一網絡內的威脅，比如某台終端中了勒索軟件病毒，其他網絡中的終端，如果不是同一安全設備防禦的，無法快速感知並迅速獲得免疫能力。

第三，運維的複雜性也漸成為安全管理的障礙，過去對於安全網元的管理，通常是通過網管或者SDN控製器來進行。網管主要所做的為配置管理、性能管理、計費管理、告警管理及簡單安全業務管理。通常通過命令行(CLI)或網關協議SNMP等來通信，其中SNMP需要IT人員特別了解安全特性對應的MIB節點信息，各個廠家的標準也不統一，因而學習成本很高、配置依賴手工、易用性較差。

基於AI技術的華為智能軟件定義安全（SDSec）解決方案

所以，被苦惱纏身的CSO對安全方案也有了新的訴求，即：從被動防禦到主動防禦；從單點防禦到全網協防；從人工運維到智能運維。

針對如此狀況，華為在全聯接大會期間發布智能軟件定義安全（SDSec）解決方案，首次在軟件定義安全領域引入智能理念，從而實現“檢測智能”、“處置智能”和“運維智能”。

華為交換機與企業網關產品線安全網關領域總經理宋端智

華為交換機與企業網關產品線安全網關領域總經理宋端智表示，“華為智能軟件定義安全解決方案，通過基於AI技術的威脅檢測、軟件定義網絡與安全的聯動防禦以及安全策略智能調優，幫助企業在數字化轉型的道路上防患於未然。”

在檢測智能方麵，華為基於深度神經網絡技術，將威脅判斷從一條直線擴展到類似人腦神經網絡的多維立體空間，在高維度多拐點的樣本空間裏，可以實現對“黑白”樣本的更精細判斷。即便是針對加密流量，也可在不解密的條件下，通過流探針提取報文特征（例如報文長度分布，時間分布），上報給CIS大數據分析平台進行學習訓練後，也能檢測其是否含有惡意威脅。此外，華為通過在Hypervisor層預設內存物理頁麵的保護屬性，從而具備天然免疫主機躲避。MTTD（平均檢測時間）由業界平均水平84天下降到1天，威脅綜合檢出率提升至95%以上。

在處置智能方麵，華為在控製器層可以實現對網絡（交換、路由等）、安全（防火牆、IPS等）以及第三方（終端、探針等）上安全能力的統一調度管理，依托華為自身端到端產品和解決方案的完整性，可以提供給用戶一體、可視、全局的體驗。MTTR（平均響應時間）由業界平均水平7天下降到1天。

在運維智能方麵，華為通過聯動SDN控製器進行安全拓撲發現，動態識別業務變化，並實現業務策略自動映射到安全策略，以及對策略冗餘度（有沒有重複和交叉）、命中率（有沒有使用）進行分析，部署（上線、變更、下線）時間從天->分鍾級，節省人力50%；通過聚類算法機器學習，可視化應用和應用分組“業務畫像”，將業務應用和安全策略自動關聯，實現安全業務可視化，並自動比對原有策略和實時調優。

SDSec三層架構：“大腦、中樞神經、四肢”協同聯動

華為SDSec解決方案，由軟硬件下一代防火牆、入侵防禦檢測係統、DDoS攻擊防禦係統、沙箱、大數據智能安全分析係統、SDN控製器，以及全新發布的安全控製器SecoManager組成。如果以人的視角，SDSec由三層架構組成。

分析器：相當於“大腦”以大數據智能安全分析係統（CIS，CyberSecurity Intelligent System）為核心組件，該組件具備對包括APT高級可持續威脅在內的各類安全威脅，可基於大數據、AI技術進行精準檢測、態勢感知、Kill-Chain溯源等。輔助的分析器還包括華為FireHunter沙箱，能夠實現50餘種常見文件類型檢測，基於動態行為的捕獲和學習，可實現對“灰色”文件的判斷，並聯動執行器進行智能處置。

控製器：相當於“中樞神經”，以SecoManager安全控製器為核心組件。該組件定位於麵向多租戶的全生命周期安全策略管理、業務編排。可以獲取SDN控製器拓撲和資源管理輸入，結合分析器的智能檢測結果，以及從采集器中收集的數據，對執行器進行業務管理和策略優化。

執行器（采集器）：相當於“四肢”，執行器/采集器主要負責安全防禦動作的采集上報和執行。上報的形式可能包括日誌、事件、Metadata、NetFlow、漏洞、信譽等等，執行的動作可能包括告警、阻斷、報表呈現、短信通知等等。執行器/采集器包括三種主要形態：以交換機、路由器為代表的數通網元，以防火牆為代表的專業安全網元，以及以探針為代表的第三方網元。

所以，通過引入AI技術，華為SDSec帶來的價值十分明顯：將傳統數以天計的MTTD和MTTR降低至小時級，並可實現萬條安全策略的分鍾級部署。這恰恰也消除了開文談到的CSO麵臨的煩惱，讓“攻易守難”來個大反轉。

原文發布時間為：2017年10月23日

本文作者：陳廣成

本文來自雲棲社區合作夥伴至頂網，了解相關信息可以關注至頂網。