进击！网络安全“复仇者联盟”.docVIP

进击！网络安全“复仇者联盟” 　　曾几何时，好莱坞电影里的超级英雄都是独自拯救世界的“狠角色”，直到“复仇者联盟”的出现。而正义的化身们开始“打群架”也是因为对手越来越强大。 　　现实中，一方面是个人和企业对网络依赖的广度和深度都在增加，而另一方面则是网络威胁越来越强大。今天，网络安全没有幸存者，或许，协同才是出路。 　　美国电影《复仇者联盟》讲的是钢铁侠、美国队长、雷神托尔、绿巨人、黑寡妇和鹰眼侠六位超级英雄集结在一起，组成了复仇者联盟，携手应对邪神的故事。从独自拯救世界的超级英雄，到“组团”对抗邪恶的“英雄联盟”，协同是与以往最大的不同。 　　现实中，一方面是个人和企业对网络的依赖的广度和深度都在增加，而另一方面是网络威胁越来越强大。 　　在2016中国互联网安全大会（以下简称“ISC2016”）上，360公司董事长周鸿?t在主题演讲中提到：“网络安全是当今世界、国家、企业和个人都需要面对的问题，应对网络安全威胁是大家共同的责任。在今天的安全威胁环境下，网络安全没有幸存者，协同是网络安全的出路。” 　　周鸿?t所说的“协同”是指政府与企业的协同、企业与企业的协同，以及安全产品之间的协同。 　　复仇者联盟之 　　――数据协同 　　网络攻击者为了隐藏身份通常使用代理服务器作为跳板。这个跳板的更多数据，可能在另外一个国家，也可能在另外一个企业机构，没有数据协同，对攻击溯源和打击将无法彻底进行。此外，很多网络攻击如果不能对它进行深入的同源性分析，很可能会被忽略掉，这种分析涉及同源的样本、攻击方法、IP、URL、邮件、电话号码、联络地址以及人和机构。 　　“在网络威胁越来越大的今天，从政府到企业，都表现出了强烈联动的意愿，单一的政府部门和企业如果不进行数据共享和情报共享，几乎无法更好地解决现在的网络安全问题。”齐向东说。 　　其实，早在去年，360公司就向全球开放了威胁情报中心。据360总裁齐向东介绍，在过去的12个月里，通过对威胁情报的大数据分析，共计发现并跟踪了72个安全事件，其中，APT攻击55个，已经梳理成报告的达29个，公开发布6个。 　　对于威胁情报，Gartner给出的定义是：“威胁情报是针对一个已经存在或正在显露的威胁或危害资产的行为的，基于证据知识的，包含情境、机制、影响和应对建议的，用于帮助解决威胁或危害进行决策的知识。” 　　通俗来讲，就是提前知道黑客可能进攻的信息。我们经常可以从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告等，这些就都属于典型的安全威胁情报。 　　前不久，360发现并溯源了一个黑客组织对中国一些政府机构的APT攻击事件。这个事件的追踪从一封含有一种漏洞攻击木马的邮件开始，表面上看这只是一种简单的威胁，在没有情报时当做一般病毒杀了就行。但是，当分析人员将这个木马样本通过360威胁情报中心的大数据平台进行样本同源分析后，发现了13个相关样本；又通过360多维线索分析平台，对CC服务器及相关数据分析之后，从一批可疑的IP、URL、Email又关联发现了69个不同种类的同源样本，以及基于即时通讯工具和社交网络的3种攻击方法，新增受害人131个。再利用受害人的更多数据分析，一个黑客组织针对中国政府特定机构及相关人员的APT攻击全貌就还原了。这个溯源的过程就是典型的数据协同的结果。可以看出，数据的协同和共享，是数据驱动安全体系里最关键的基石。 　　复仇者联盟之 　　――产品协同 　　随着IT环境的不断变化，企业IT所面临的安全威胁也产生了更多新的变化，未知威胁、零日漏洞、APT攻击接踵而至。但是，企业已经广泛部署的传统防火墙产品并没有完全跟上黑客的脚步，受限于自身视野和技术实力，只能按照内置的固有安全机制进行保护，高级未知威胁仍然难以被有效发现和防御。 　　今天的信息安全已经不再是孤岛式防御所能应对的，Gartner指出，现有的拦截和阻止功能不足以抵挡有目的的高级攻击，传统防火墙产品也不具备检测高级威胁所需的持续可见性，要想对抗高级威胁，更好的发现、检测和响应功能都是必须的。 　　无论是沙箱还是防火墙，每种技术只能解决有限的问题，面对日益复杂的网络环境，大数据、云计算、人工智能等技术，以及防火墙、终端安全等各类安全产品整合协同起来，才有可能让数据和能力发挥合力。 　　在ISC2016期间，360网神宣布推出基于网络检测与响应模型（NDR）的360新一代智慧防火墙。这款产品最重要的创新就是，可以与其他安全产品以及云端实现真正的协同联动，联合处置安全威胁。它能够与APT防护系统、终端安全管理系统以及云端沙箱深度联动，形成从终端、经边界、到云端的一体化监测、分析、响应、溯源的立体智能安全防御，通过云端威胁情报+本地