公司新闻

安天RSA“西游记”: 第二回:安全与威胁并存

时间: 2016年07月26日 来源:安天

RSA2016进行到第二日,也迎来了展位对外开放的第一天,大批观众涌入南北场馆。安天参展小分队成员根据出发前的安排,一部分在展台坚守,一部分去参观展会,分工明确、团结协作,我们希望能在今年的RSA上收获更多的知识和见解。当然,每次参加RSA,每一名小分队成员都带有不同的商务或交流任务:针对那些新的厂商和技术尝试了解,对于熟悉的厂商深入探讨,互通有无。
 
       一、  安全的态度与安全的能力
 
       RSA大会是一个商展又是一个聚会,是一个比拼的竞技场又是一个注重情感交流的大party。在今天的主论坛上,RSA大会前主席亚瑟被授予了终身成就奖,他对于整个产业理念的推动和对安全的态度衬得上这一奖项。在Art担任RSA大会主席和RSA总裁的多年中,他一直强调企业间的协作,在云计算、大数据等新概念的普及和产业联合方面做了很多尝试,在任期间推动了RSA安全业务在亚太地区的迅速扩展;他也曾多次来华,并于2010年将RSA大会带到中国,从此后越来越多的中国厂商认识并走向这个国际性的安全舞台。在与这个现在看来略显苍老的前主席的多次交谈和接触中,他一方面有着西方人的传统和儒雅,比如他一直带着婚戒,商务聚会还会带着夫人;另一方面又严谨、坚持,就像他在获奖感言中所说:“fight your fight,it's your time”。这是安全的态度,也是安全人的坚持。
 
       在今日的走访中,我们也特别关注了老牌安全厂商,卡巴斯基。卡巴斯基本次参展依托其久负盛名的KSN(卡巴斯基安全网络)进军威胁情报市场。正巧,安天移动业务线也在进行威胁情报的分析和相关解决方案的构建,因此卡巴的新发力点让我们十分关注,也期待能有所沟通和合作。
 

 
  安天代表访问卡巴斯基展台


 
  卡巴斯基技术人员给讲解卡巴的反定向攻击平台
 
       卡巴斯基的威胁情报系统是以KSN(Kaspersky Security Network,卡巴斯基安全网络)为信息收集核心构建,该系统信息收集来源,主要为以终端检测防护为主的卡巴产品,另一方面来自网络流量监控,还有其他少部分数据来源(如爬虫、诱饵信箱等等),其中终端节点实时上报新的检测结果、环境信息和样本等,并在卡巴服务器通过系统自动化甄别(沙箱技术)、高级专家模式分析以及高可疑数据人工化分析等手段进行数据的分析、关联与归类操作,并最终将结果汇总保存在服务器上,再通过严格的去误报化之后,将威胁情报服务发布给其企业级客户,最后再根据各方反馈的结果(尤其是对误报、错报容忍率极高的终端节点)进行相应的黑白规则调整,最终实现一个良性的循环。
 
       二、 威胁情报要以可靠的基础检测作为核心
 
       威胁情报是近年来网络安全业界的热点,但是这个概念也让人感觉泡沫化。卡巴斯基“威胁情报”的基础就在于其运行多年的KSN。它是利用其遍布全球众多的安装终端采集的信息,其数据进入KSN网络,从而为整个威胁情报系统提供资源库,可以说,在威胁情报概念尚未进入业界视野之前,卡巴早已在做正确的事情。

       卡巴斯基是有浓重反病毒传统底蕴的公司,其引擎模块库化的设计,规范的病毒命名早在九十年代就赢得了专业用户认可。其在AV-TEST、AVC等测试表现也始终比较优异。在VT主要检测指数的排名也始终在第一梯队。安天创业伊始就把卡巴作为了榜样厂商,一直学习追赶,安天首先在移动检测能力实现超越,VT检测指数也渐渐赶上。但卡巴在信息收集、捕获能力以及对事件的分析能力、事件之间的关联能力和事件的归类细分能力起步较早,也得益于巨大的终端数量,这是情报系统的核心能力之一,可以说卡巴斯基在十几年前构建的KSN早早的对这个系统的建立埋下了伏笔,目前是这个系统成熟展示并可以细化发挥作用的时候。在卡巴斯基分析Stuxnet、Flame等APT时候,这个系统就发挥了巨大的事件关联的作用。
 
       卡巴利用情报支撑整个企业安全解决方案,涵盖了:
        终端安全
        移动安全
        数据中心安全
        工业控制系统网络安全
        反定向攻击平台
        欺诈预防
        安全情报服务
        DDos保护
        虚拟化安全

       不过在威胁情报方面与卡巴斯基相比,安天也有自己的特色,安天的网络侧检测能力比卡巴起步更早。同时,安天首先选择在移动威胁情报发力,通过AVL SDK反病毒引擎移动版形成的终端覆盖能力,形成全球最早的移动安全威胁情报体系。我们也期待双方建立更多的合作,携手应对威胁。
 
       以下观点引自《安天AVL Team 2015移动安全年报》:
 
       当威胁膨胀蔓延的时候,原有的解决方案仍然扮演着基石般的作用。防火墙过时了么?反病毒软件过时了么?恰恰不是。这些解决方案,单个肯定不足以解决所有安全问题,银弹是不存在的。但正是这些解决方案,将整体安全威胁通过有效的安全边界划定,形成有效的正面阻遏。在面对正面防御体系的时候,攻击者无法再有所作为,转而选择针对防御体系中的薄弱环节,向安全意识不足的薄弱群体发起攻击。因此,各种泛化的威胁形态掩盖的是具有针对性的攻击战术。
 
       对于各种层出不穷的威胁,不是我们的“感觉”不灵敏了,而是我们的触角不够,无法给我们的“感觉”提供足够和重要的信息用于安全决策。因此,形成的局面是威胁只有一再发生的时候,我们才能感知到,才能跟着数据趋势去决策和加强防御能力。对安全公司来说,这个决策链是快速和足够的;但对于用户来说,可能已经是明显迟滞了。如果我们不有效抽丝剥茧,将难以应对这些具有针对性的攻击战术。
 
       面对威胁精确化和离散化的现状,进一步加强用户侧对威胁的感知能力,可能是安全厂商的必由之路。通过威胁情报的分析、加工和分享,从而对威胁进行准确定性、定位、定量。通过这样有针对性的服务,来满足和解决特定用户群体所面临的特定安全威胁,并向用户提供切实有效的解决方案,这样的体系或许是未来的发展方向。