大数据分析：安全变革的下一个着力点

当前的IT应用背景是移动和云的同步快速部署，企业边界被打开，企业无法自身完成所有的安全防护，而需要IT供应商、安全厂商共同帮助其在员工的个人设备、企业内部及产业链上下游共同构建安全防御和管理体系;同时在攻击方式上，目标导向型攻击(ATT)和高级持续性攻击(APT)正成为主要的攻击手段。这两种威胁目的性更强，且攻击手法经过精心设计，特征极难发现。企业对威胁的防御已经不可能再是简单部署安全设备，发现并过滤符合特征的威胁。"数据分析师"而是要通过将各种安全防护手段和信息有机整合起来，一方面防止因新的IT漏洞和应用方式(如移动接入、个人应用等)引入更多的安全风险，另一方面要对整个安全态势做到统一可视及管理，在尽可能短的时间内，发现已经发生或潜在的安全问题，并采取措施保证高价值资产不被盗取或破换。

吴海涛谈到企业在安全和风险管理上面临着几个严重挑战，“一是缺乏端到端的企业整体安全解决方案;二是缺乏统一的安全防御模型，信息的共享与使用存在困难，不同系统之间在安全架构与模型、信息通告、接口标准等方面缺乏统一与协作，导致虽然企业建立了多种安全防御系统，但攻击仍然可以利用安全盲区发动;三是安全防御的成本急剧增加，攻防成本和效率失衡。用本次大会KeyNotes中的一句话来说就是：‘我们必须一直都是成功的，而黑客只需要成功一次就可以了。’”

　　从RSA看安全产业的主要发展趋势和创新焦点

本次RSA创新沙盘和KeyNotes应该说是集中体现了当前安全的主要发展趋势和创新焦点，简单总结起来有如下几个：

1、安全防御思想从以实时防御为重点走向对安全态势全面可视，综合大数据安全分析进行威胁和风险发现并采取针对性措施的全局性防御思路。很多厂商和组织都提出了要建立新的安全模型和协作机制，将整个基础设施和应用过程被纳入智能安全分析的机制中来。

2、不再局限于基于特征的威胁发现方式，而是采用机器自学习机制，将安全设备放到客户的实际应用环境中，通过一段时间的自学习和优化，建立起企业IT应用的一个正常模型，一旦发现企业的流量或应用特征违背了这个正常模型，则发出预警或执行安全策略进行防护。

3、策略部署自动化。策略部署自动化其实要求做到如下三点，第一是无缝、第二是统一、第三是自动。即做到固定、移动策略无缝、虚拟、物理环境策略无缝且统一管理。而且策略是动态调整并自动下发的。做到这一点就要求在架构上对固定和移动、物理和虚拟的网络环境要做到统一的管理和可视，同时具备策略自动化的机制。这也是开展未来基于云的安全服务的一项基础性技术。

大数据分析技术用于安全分析可以说是今年的热门话题，这不仅仅是在安全防御中又引入了一门新的安全技术，更重要的是它代表了防御思想的转换。但是要建立真正的大数据分析并具备自己的控制点并不容易，吴海涛谈到大数据安全分析要有几个方面的能力：首先"数据分析师"是要有一个高效的大数据分析云平台;其次要掌握大数据分析模型与算法。这是一项核心技术。关联分析引擎从传统的SIEM时代就是具备一定门槛的东西，现在大数据分析要关联的时间和空间尺度更大，更重要的是业务维度更多。如何整合这些信息将会成为所有有志发力于这个方向的第一个分水岭;三是跨平台、跨厂商异构的信息收集机制和大数据来源。产业链的合作和整合能力一定会成为厂商间角力的另一个重点，而基于信息共享的协作是超越所有安全技术的合作。

　　重新定义的安全

随着云、移动趋势的进一步深入，安全厂商在提出解决方案时更加强调通过大数据分析技术来提供整体的安全智能分析和策略驱动，强调在传统、移动和云环境下整体安全方案的无缝、可视与统一管理。吴海涛表示，这一切都彰显了安全产业正在经历技术和理念的快速变革。

　　1、安全管理被提到一个非常重要的地位。通过管理实现安全产品间的统一可视、有效联动、策略自动部署。这对改善用户的易用性体验、安全感知以及运维开销是非常有帮助的。安全管理的水平已经成为安全方案的核心竞争力之一;

　　2、移动及BYOD安全热度下降，但方案走向成熟，应用无关的安全隔离技术落地。移动安全已经成为安全方案中的必要环节。对于BYOD安全，VDI技术基本已不可见，移动沙箱隔离技术似乎已成为安全厂商的共识;

　　3、云数据中心安全方案落地;

　　RSA的一些启示与思考

透过以上RSA见闻，吴海涛风趣的谈到，华为正走在正确的道路上。华为在安全上的总体思想是对的，第一，要实现全网的安全协同，即基于全网的安全分析与联动防御能力;第二，要基于SDN的思想，实现安全的自动部署和策略自动化;第三，通过组件化实现安全软件和能力与安全硬件的解耦，让安全产品具备更灵活的部署能力和更丰富的商业模式。

而对于这些全新的安全挑战，吴海涛认为有几个问题值得重点关注和思考：首先是如何利用大数据构建安全分析和态势感知能力，尤其是如何在算法等核心技术上建立优势;其次创建统一的智能安全模型，并更新自己的安全理念。要实现智能驱动的安全方案，我们不仅仅是提供产品和方案，更重要的是通过现在的安全和网络产品我们能够提供什么信息，这些信息如何被数据分析师处理和分析并最终提供有效的防御，这决定了我们未来的安全方案架构、接口标准、产业链合作方向;三是覆盖方案完整性的产业链协作的合作体系建设。在未来，厂商的研发能力加上厂商能提供的合作伙伴协作能力才是交付给用户的最核心竞争力!