文档介绍:该【绿盟科技:云安全防护的战略思考 】是由【焦大】上传分享,文档一共【22】页,该文档可以免费在线阅读,需要了解更多关于【绿盟科技:云安全防护的战略思考 】的内容,可以使用淘豆网的站内搜索功能,选择自己适合的文档,以下文字是截取该文章内的部分文字,如需要获得完整电子版,请下载此文档到您的设备,方便您编辑和打印。:.
云安全防护的战略思考
赵粮
R
©2012绿盟科技:.
云计算正在重构企业IT的地貌
333333rdrdrdrdrdrdPartyPartyPartyPartyPartyPartyTodayTodayTodayTodayTodayTodayTomorrowTomorrowTomorrowTomorrowTomorrowTomorrow
PublicCloudPublicCloudPublicCloudPublicCloudPublicCloudPublicCloud
CommunitCommunitCommunitCommunitCommunitCommunit
yCloudyCloudyCloud
InternetInternetInternetInternetInternetInternet
InternetInternetInternetInternetInternetInternet
IntranetIntranetIntranetIntranetIntranetIntranet
PrivatePrivatePrivate
CloudCloudCloud
EnterpriseDataCenterEnterpriseDataCenterEmployeeEmployeeBrowserBasedBrowserBasedBrowserBasedBrowserBasedBrowserBasedBrowserBased
EnterpriseDataCenterEnterpriseDataCenterEmployeeEmployee
CloudClientCloudClientCloudClient:.
云计算带来三方面的挑战
云计算作为一种新技术带来的新漏
洞和新型攻击
现有安全产品技术如何部署以便
与云计算环境相互融合、保证效
力提高效率
如何充分利用云计算技术和思想
来创新变革现有的安全防护技术
和产品:.
与此同时,传统的网络边界千疮百孔
离岸
外包
物业成本
新世代青年:.
OneMoreThing-APT:.
“下一代”威胁咄咄逼人,”当代”安全设备力不从心
业务越来越复杂,新应用太多,用户位置多
变,终端BYOD多样化并且很难规范化
端口失效->Applications
IP地址失效->Users
数据包层面的检查失效->Content
攻击变化太快,现有的黑名单机制总是
更新不及时
AdvancedMalware,
Zero-Day,
TargetedAPTAttacks
病毒样本不胜其多,反病毒程序消耗计
算机资源不胜其负
AV
病毒样本库更新太慢
“特征”匹配很容易被“躲避”
…:.
企业IT和威胁的地貌已经“沧海桑田”:.
怎么办?
地下经济
0-Day
僵尸网络Anonymous
Lulzsec社会工程内部滥用
APT-高级持续性威胁跨站
BYOD
下一代威胁攻击
同Hacktivism
智能终端协
注入深度分析
移动计算
云计算云计算云计算云计算云计算云计算怎么办?SQL
异常行为发现异常行为发现异常行为发现异常行为发现异常行为发现异常行为发现
SCADASCADASCADA安全安全安全
拒拒拒拒绝服务攻击绝服务攻击绝服务攻击CIIPCIIPCIIPCIIPCIIPCIIP
虚拟化虚拟化虚拟化
供应链完整性DDoSDDoSDDoS
Anti-DDoSNGFW
社会网络离岸外包离岸外包
离岸外包离岸外包WAFWAFWAFSECaaSSECaaS
合规性合规性合规性NGIPSSECaaSSECaaS
网络空间安全MSSMSSMSS
安全信誉:.
三个重要的假设
假设假设假设假设假设假设111111::::::攻击者正在转向经济目的,攻击者和防守
者之间的竞争关键是成本。获得成本优势的一方将
会获得“战场”上的优势态势。
假设假设假设假设假设假设222222::::::为了降低成本,攻击者必须尽可能地重复
使用(Reuse)其攻击代码、工具、技术和手法等。
推论1:一般来说,一种威胁或攻击会出现在多个场合,在一些场合中检测
出来并证明为威胁或攻击的行为有非常大的概率在另外的场合下也是威胁
或攻击。
假设假设假设假设假设假设333::::::为了降低成本,防守者必须重构防御体
系,将部分密集的、重复性的计算转移到“云”中进
行,而将计算产生的“智能”(Intelligence)推送到防御功
能点(DefenseFunctionPoint)。:.
FromSIEMtoBIGDATA&Intelligence
BBBBBBIGDDDDDDATAAAAAAANALYTICS,也简称BDA,
不仅仅是处理海量数据,还包含快速、甚至
实时的搜索功能、实时分析告警功能、数据
展现技术等内容在里面。
从手工到集中处理、走向分布式、并行处理
DataSource:RSA2012,Tech-303,byDataSource:RSA2012,Tech-303,byDataSource:RSA2012,Tech-303,byDataSource:RSA2012,Tech-303,byDataSource:RSA2012,Tech-303,byDataSource:RSA2012,Tech-303,byZionsZionsZionsZionsZionsZions:.
BDA-不是-SilverBullet
时时时效效效性性性::通常“智能”的生产和“大数据”
的运算过程都需要相当的时间。这个时
间可能会造成“有效性”的降低。
例:目前一个恶意代码的生命周期可能只有3~5天,而产品规
则升级的频率常常是星期级,无法应对快速变化的威胁。
如果提取特征、挖掘规则过程很慢,一则输出的“规则”实际上
是没有意义的,更麻烦的是,该恶意代码已经消失,增加的
“规则”反而白白消耗了检测系统的资源。
数据质量数据质量数据质量数据质量数据质量数据质量::业界在元数据方面进展甚微,数据格式和含义参差
不齐。在各类数据的ETL方面可能耗费巨大,而成效不大,导致
Garbage-in-Garbage-out的杯具。:.
关于行为和行为异常发现
•什么是“行为”?
人
–行为是分析目标和信息系统产
生互动、引起信息系统发生某终端应用程序
些改变的过程。行为可以由一
个或多个信息系统的记录来描序程用应统系
系统配置
述。
文件信息
•什么是“异常”?
应用层协议地址
进程
–“当然了,不正常吗,就是异常了”…
网络层协议地址
•怎么发现“异常”?
–把“正常”得拿出去了…内存硬盘外设网口:.
智能驱动的下一代安全图像
业务识别能力
信息获取能力
处理逻辑和规则分离
快速升级能力
灵活部署能力
IP信誉/文件信誉/域
名信誉/URL信誉/恶
意行为/安全漏洞/
攻击手法/…
服务
集群
计算
集群
安全专家/
攻防团队
页面爬取集群,页面内容分析集
群,
恶意代码分析集群,***集
群
智能挖掘集群:.
下一代安全的主要特征(1)
•管理方式
•人力资源
•系统资源
虚拟化
集约化
数据集中
•信息共享
•产品形态
•动态策略
智能化服务化
•内容形式
•协同联动
•分析工具
•攻击预警•消除壁垒
•措施前置主动性生态化•荣辱与共
•兵不厌诈•长期合作
服务外包
联合研究:.
下一代安全的主要特征(2)
安全厂商
•开源项目
•政府部门
•专业组织
社区组织权威机构•立法机构
•协会联盟
•标准组织
•软件系统厂商
•个人用户
最终用户IT厂商•硬件系统厂商
•企业用户
•关键信息设施提供商:.
下一代安全的竞技场–庙算者胜
快速响应能力
快速规则升级能力
快
快速部署能力
技术覆盖能力
行业覆盖能力
全
地理覆盖能力
夫未战而庙算胜者,得
算多也,未战而庙算不
正则匹配
胜者,得算少也。多算
统计分析胜,少算不胜,而况于
无算乎!"
多数据挖掘
快速搜索…:.
AbouttheCloudSecurityAlliance
•Global,not-for-profitorganization
•Over33,000individualmembers,150
corporatemembers,60chapters
•Buildingbestpracticesandatrustedcloud
ecosystem
–Research
–Education
–Certification
–Advocacyofprudentpublicpolicy
•Innovation,Transparency,GRC,Identity
“Topromotetheuseofbestpracticesforprovidingsecurityassurancewithin
CloudComputing,andprovideeducationontheusesofCloudComputingtohelp
secureallotherformsofcomputing.”:.
KeyCSAContributions
CloudArchitectureCloudArchitectureCloudArchitectureCloudArchitectureCloudArchitectureCloudArchitecture
GovernanceandEnterpriseRiskGovernanceandEnterpriseRiskGovernanceandEnterpriseRisktheCloudtheCloudtheCloudtheCloudGoverningGoverningGoverningGoverning
LegalandElectronicDiscoveryLegalandElectronicDiscoveryLegalandElectronicDiscoveryLegalandElectronicDiscoveryLegalandElectronicDiscoveryLegalandElectronicDiscoveryManagementManagementManagementManagementManagementManagement
ComplianceandAuditComplianceandAuditComplianceandAudit
InformationLifecycleManagementInformationLifecycleManagementInformationLifecycleManagementInformationLifecycleManagementInformationLifecycleManagementInformationLifecycleManagement
PortabilityandInteroperabilityPortabilityandInteroperabilityPortabilityandInteroperabilityPortabilityandInteroperabilityPortabilityandInteroperabilityPortabilityandInteroperability
Security,,,andDisasterSecurity,,,andDisasterSecurity,,,andDisaster
DataCenterOperationsDataCenterOperationsDataCenterOperationsDataCenterOperationsDataCenterOperationsDataCenterOperationsRecoveryRecoveryRecovery
IncidentResponse,Notification,IncidentResponse,Notification,IncidentResponse,Notification,IncidentResponse,Notification,IncidentResponse,Notification,IncidentResponse,Notification,
ApplicationSecurityApplicationSecurityApplicationSecurityApplicationSecurityApplicationSecurityApplicationSecurityRemediationRemediationRemediationRemediationRemediationRemediation
EncryptionandKeyManagementEncryptionandKeyManagementEncryptionandKeyManagementEncryptionandKeyManagementEncryptionandKeyManagementEncryptionandKeyManagement
CloudCloudCloudCloudIdentityandAccessManagementIdentityandAccessManagementIdentityandAccessManagementIdentityandAccessManagementIdentityandAccessManagementIdentityandAccessManagement
VirtualizationVirtualizationVirtualizationVirtualizationVirtualizationVirtualization
OperatingintheOperatingintheOperatingintheOperatingintheSecurityasaServiceSecurityasaServiceSecurityasaService:.
CSAGRCStack
•Familyof4researchProviderAssertionsProviderAssertionsProviderAssertionsProviderAssertionsProviderAssertionsProviderAssertions
projects
•CloudControlsMatrix
•ConsensusAssessments
Initiative
•CloudAudit
•CloudTrustProtocol
•Toolsforgovernance,
riskandcompliancemgt
Private,Community&
•Enablingautomationand
PublicClouds
continuousmonitoringof
GRC
ControlControlControl
RequirementsRequirementsRequirements:.
CSASTARRegistry
•CSASTAR(Security,TrustandAssuranceRegistry)
•PublicRegistryofCloudProviderself
assessments
•BasedonConsensusAssessmentsInitiative
Questionnaire
–ProvidermaysubstitutedocumentedCloud
ControlsMatrixcompliance
•Voluntaryindustryactionpromotingtransparency
•Securityasamarketdifferentiator
•:.
CSAMobile
Mobile–thePortaltotheCloud
•BYOD,NewOSes,applicationstores,mobileclouds…
OurInitiative
•SecurityGuidanceforCriticalAreasofFocusinMobile
Computing
•Secureapplicationstores
•Solutionsforpersonalandbusinessuseofacommonmobile
device
•Cloud-basedsecuritymanagementofmobiledevices
•Securityframeworksandarchitecture
•Scalableauthenticationandsecuremobileappdevelopment
•:.
谢谢