可以说这样老式的传统的IT架构下,它已经到了非改不可的地步,我们应该要有一个什么样的防御体系呢?总的来说四点,漏洞要提前发现,攻击要事先预测,攻击发生的时候要能够及时地阻断,攻击结束后能够追根溯源。说得很好,但怎么样能做到?这是我画的一个简单的框架,我认为需要记录一个全量的数据,至少要包括流量数据,比如流量大小、攻击日志、Web日志等等,对于异常登陆要详细到什么程度,详细到登陆的时间、目标的服务器、使用什么样的用户名、什么样的密码,这些全量的数据汇聚到一个安全中心,结合威胁情报中心进行大数据的分析,这个威胁情报中心包含病毒库、漏洞库、同行业的事件库、黑客库、被泄露人员的信息库,被泄露人员是高危的弱势群体,很容易成为防御的短板。这些数据汇聚拉通后将解决信息孤岛的问题,有了这些基础就能展示以下这些安全能力,给黑客的画像、攻击的预测,做到对攻击的预测、对攻击的阻断、对事后的溯源,反过来能指导防御的改进。
刚才讲了DT安全框架,里面有两个关键点,一个是大数据分析平台,另外一个是全量的数据。常规的安全防御大多是基于一个规则和特征的匹配,单设备发现了攻击发送到日志主机,日志主机主要是做存储展示审计的作用,这对已知威胁是有用的,但是对于未知的威胁,像比较复杂的APT攻击他就没办法做到。怎么识别这样的攻击,这是整个问题的关键,要做到收集海量数据。一个有经验的警察能够很快地判断出一个人是不是小偷,他能够做出鬼鬼祟祟的定性判断的词语,这样的词语是根据规则和特征库,类似于监视器、检测仪这样的东西是检测不出来的,必须要根据后面警察的经验,他的经验实际就是一个数据分析。
举个例子说,警察刚从警校出来就得到了一个已知的特征库,他开始接道不同的案子,接到各种报案,他开始去分析,这就是一个分析的过程,他的经验越来越多,他就有了一些预判的能力,他和其他的警察进行交流实际是数据的共享和交换,最后他成为一个非常有经验的老警察,他把他的经验写成教材输出给新的警察在警校里使用,这样他完成了数据安全能力的转化,其实这就是大数据分析能力的转化输出。警察如果不这样去自我更新的话,他就会抓不到贼,同样一个安全人员,一个安全的防御体系,如果不具备自我完善的能力的话,他也是防不住黑客的。
低级安全能力的转化基于对大数据的分析,可以输出一个新的安全能力,能够对特征库和行为库进行总结。现在各个厂家都有自己的特征库的维护团队,他们维护的时候是作为产品的辅助销售或者增值的业务在销售,但实际上他们在整理特征库的时候经常会发生整理、收集、发布非常滞后,用户没有办法得到及时的更新,这样不仅是资源的浪费,对用户来说是潜在的安全风险。应该把这样的自我完善能力,这种转换能力进行常态化、标准化,这将重新定义DT的能力极限。
DT安全架构下传统的安全分析平台已经遇到了一个瓶颈,第一是数据越来越大,有多元化的数据,有结构化的非结构化的,有日志有业务信息,甚至还有一些外部的情报信息,但是我们常规的安全设备没办法存储这样的海量数据,它的计算能力也没办法具备大数据分析的计算能力。曾经有一个搞运维的朋友跟我说他以前做日志维护的时候,有80%的精力都在收集、整理和处理日志格式的工作,只有20%的精力考虑分析审计这些日志数据。以金融为例,常规的IT架构下制成的银行每分钟的交易峰值在30万笔,数据存储在TB级,但是DT支撑下的金融每分钟是270万笔,而且它的数据存储量是EB级。由此可以看出常规的安全是以设备为单位的能力极限,每一台设备的计算和存储能力都是非常有限的,根本没法满足这样的大容量,DT下面的安全能力,它只能解决局部的条条块块的问题。
我们说DT安全需要进行大数据的分析,这个大平台里全量数据要进行采集,泄露的人员数据库要通过网络爬虫去采集,采集完了之后还要清洗,剔除重复数据冗余数据,进行语义一致的分析,加工、数据分析挖掘、算法选择、模型选择等等大数据的操作过程,这一系列的要求决定了DT安全的基本能力,那就是必须要具备云计算的能力和海量存储的能力。DT的安全是以平台为单位的架构,把成千上万的云计算能力结合在一起,汇集起来的云计算,去解决贯穿全局的问题,用大数据技术去整合挖掘和分析。这样的一个能力极限将会是DT安全最基本的能力要求。我一直认为我们原来常规的安全其实是最基础的保障,它就像围墙、摄像头、监控器、门禁这样的设备,没有它是不行的,区域隔离、访问控制和会话检测这样的老三样是不能丢的,它是最基础的,但是现在黑客实际上已经升级了,升级成黄金圣斗士,但我们还在原地踏步。