对“偏执”的另类阐释 让网络安全“耳目一新”

  从“丰富人们的沟通与生活”,到“把数字世界带入每个人、每个家庭、每个组织,构建万物互联的智能世界”,华为公司的愿景正在悄然地发生着改变。 而在新的愿景变化之背后,有一道坚实的壁垒在保护着美好的万物互联的智能世界的实现,那就是:网络安全。

  华为是一家有些“偏执”的公司,但是“偏执”在此并不是一个贬义词,是指能够坚持,坚持在同一个方向上持续地努力、不断地积累并成为佼佼者。华为几十年来一直是这样做的。那么,在网络安全领域,华为又是怎样 “偏执”而行的呢?

  “在万物互联时代到来的今天,华为在网络安全方面的态度也发生了巨大的变化,即从网络安全1.0向2.0时代演进。2.0代表了华为希望持续地通过网络安全的能力,帮助我们的客户和这个社会创造更多的价值。”在近日举办的2018华为网络安全中国行上,华为网络安全领域总经理宋端智在演讲中如是说道。

  华为网络安全领域总经理宋端智

  如今全球的网络安全行业正在经历着前所未有的挑战:黑色产业链越来越成熟,安全威胁越来越多;攻击变得越来越隐蔽,常规手段变得难以获取威胁的准确信息并加以阻断;网络安全威胁的扩散也变得异常迅速,令我们始料未及。而在此情况下,国内的网络安全领域却存在着诸多的不合理现象。

  对此宋端智说道:“第一是许多企事业单位在做网络安全建设的时候,最主要的目的不是为了做更好的防御措施,而是为了满足合规的要求;其次,我们更关注威胁发生后怎么应急处置,而不愿意花更多的投资在事前的预防和事中的自动处置上;第三,传统的防御方式,面对每天不计其数的告警无所适从,自动处置无从谈起,无法真正有效地提升防御效果。最后,在过去两三年内,态势感知成为火热的名词,但其应该成为我们进行网络安全建设达到防御的一个手段,而不应该作为一个目的。”

  面对这样的挑战与困境,华为又将能为我们提供怎样的网络安全?

  在今年2月,华为在巴塞罗那向全球发布了SDSec安全解决方案,即“软件定义安全”。不同的是,华为SDSec的定义已经超出了Gartner 对“软件定义安全”的范畴。“不仅仅局限在云环境下的资源调度和策略管理,而是在所有的场景下,用软件定义的方式把网络及安全的网元、安全功能模块系统地的协同起来,并通过定义接口与执行,让所有的安全能力形成真正的联动。”宋端智说道。

  那么,华为的SDSec安全解决方案,又是如何诠释其“软件定义安全”理念的?

  SDSec安全解决方案包含了三层架构,从上至下分别是分析器、控制器、执行器。分析器即该解决方案的大脑,负责做分析,做决策,根据收集的信息来判断威胁、威胁有多严重、该如何处理;控制器是中枢神经,它接收分析器的指令,然后通知五官和四肢,告诉他们如何把威胁控制在一定范围或者将其阻断掉;执行器承担着五官和四肢的作用,既包括防火墙等传统安全网关类的设备,也包括一些应用类安全网关设备、终端端点安全的软件等,另外还有很大一部分执行器是网络设备,网络设备的参与也会给整个方案带来巨大价值。

  “依托于该SDSec软件定义安全架构,将智能化的分析器、控制器与执行器三层网元协同起来,形成闭环的主动网络防御体系。宋端智说道。

  “主动防御”是当前网络安全界所提倡的新的安全防御模式,而要想真正做到主动防御并不容易。为了实现主动防御,宋端智详细介绍了华为SDSec安全解决方案的主要四大技能:火眼金睛、全民皆兵、天罗地网和运筹帷幄。

  火眼金睛,即指华为SDSec安全解决方案对威胁的高识别率,据悉恶意文件的识别准确率已经可以达到99.5%,其中更多的是一些未知的、可能首次出现的恶意文件。这样的识别率依赖于基于Hypervisor行为检测的第三代沙箱。据宋端智介绍,6年前华为便在德国慕尼黑研究所组建了一个小团队,既有安全的专家,又有人工智能和机器学习的专家,从而产生了今天基于动态行为的机器学习的第三代沙箱的基础技术。而华为云则是另外一个非常重要的、能够支撑华为SDSec安全解决方案真正做到火眼金睛的因素。面对每天直面上亿次攻击,华为云在不断防护的快速迭代的过程也促进了SDSec的眼睛越来越雪亮,最终炼成了火眼金睛。

  全民皆兵,指的即是华为将网络设备发展成安全防御的“民兵”。一方面,经过网络的流量、数据,可以根据需要传给分析器进行分析;另一方面,网络可以接收分析器的最终决策,通过安全控制器与SDN控制器配合,阻断威胁。这就是所谓的全民皆兵,不仅仅用安全的功能网元,还要把网络设备发展成“民兵”。当然,实现这一功能有赖于华为的SDN技术,即将整个网络和软件定义安全都要全部软件定义起来;另外,还要求网络设备本身具备可编程的能力。而这些恰恰都是华为在网络技术及市场占有率方面的极大优势,也使得SDSec“全民皆兵”的功能得以落实。

  天罗地网,这第三个技能来自于最近几年特别流行的deception即 “欺骗防御”技术,即在网络中布置陷阱,当黑客进来或者蠕虫扩散的时候让其落到陷阱里把它抓住。通过引入deception技术,并结合华为网络、特别是其可编程的优势,在华为交换机产品中将诱捕的陷阱内嵌进去,从而让威胁所经之处都可能有陷阱。当陷阱真的无处不在,便变成了天罗地网。从而也让SDSec容易有很大的概率,并且很准确地能够抓住威胁行为,结合分析器的分析,最终捕获这类攻击。而作为华为首创的概念,这一功能也彰显出:只有对网络安全前沿技术及时地跟进,才能走在业界的前面。

  运筹帷幄,是四大技能中的最终技能。所有的技能要真正产生效果,能够自动地联动、自动地处置,都需要有一个类似诸葛亮的一个角色,坐在中军账运筹帷幄,对全局的策略进行管理、进行优化。承担起这一重任的即SecoManager安全控制器。依托于华为在网络安全领域一直以来的不断投入、华为在安全标准方面的地位,以及华为与诸多合作伙伴组成的安全联盟,得以让安全控制器在这个共同架构下逐步的加入SDSec的大框架,然后形成相互之间的联动。

  以上四大技能,只是SDSec安全解决方案所有技能中的一部分,但其已经涵盖了从威胁渗透阶段、驻点阶段,到内部扩散阶段、以及数据外泄阶段的防御,已足以说明华为SDSec安全解决方案在网络安全防御方面的超高能力。

  这样的能力并非朝夕之间所能达成,或许通过一组数字,可以让我们能够更加理解华为在网络安全领域的技能是如何炼成的: 2500、44.85亿、2892。

  2500,指的是截至2017年底,华为在安全方面投入的研发人员已超过2500人;

  44.85亿,指的是2017年,华为在网络安全研发方面的投入是44.85亿人民币;

  2892,指的是截至2017年底,华为在安全方面的发明专利已达到了2892个,并且其中很大一部分是国际专利。

  这些数字,一方面诠释了宋端智所言的华为在网络安全领域所坚持的“偏执”所在,另一方面也彰显出:华为有意愿、也有能力在网络安全行业有所作为,为全球的网络安全发展贡献自己的力量。

  “华为希望能够给大家带来耳目一新的感觉,这个感觉有两个层次,一是华为在网络安全方面的态度和实力,能够让大家看到耳目一新;再就是,华为的网络安全能够给国内的网络安全行业带来一股新风。”宋端智说道。

第 1 /  10 页
点击查看余下全文