特别感谢本期特邀嘉宾:国信安服CTO曾志强先生!
嘉宾介绍:
信息安全硕士,持有CISSP-ISSAP,CISA和CEH 证书。具有15年以上中外资银行,电信运营商和政府部门信息安全工作经验。
曾任渣打银行中国区信息安全及科技风险总监,曾为东亚银行中国总部组建信息安全部门并负责管理近三年, 曾任联想集团全球总部高级安全风险经理;参与制订了《信息安全事件管理》,《信息安全事件分类分级指南》和《信息系统灾难恢复规范》等三个国家标准,并有多本专业书籍出版和文章发表。
公司简介:
自我定位是国内首家大数据网络安全监控(Network Security Monitor)分析服务提供商。原中国信息协会信息安全专委会办公室主任领队,成员由国家信息中心、渣打银行、联想、腾讯、绿盟等单位的前安全管理和技术骨干人员组成。专业从事信息安全服务、为国内外政企单位提供综合信息安全解决方案。围绕网络安全监控防护、安全分析、安全威胁和情报、安全事件响应和安全咨询培训等服务,凭借经验丰富的专家技术团队,结合多年技术积累,自主研发了下一代大数据网络安全监控分析平台,为客户提供优质高效的信息安全服务。
各位会员大家好!非常荣幸能在这里认识大家并参加数说活动,同时也非常感谢中关村大数据联盟给我们公司及本人提供这样的机会,今天在这里跟大家一起分享大数据网络安全监控分析的技术及服务平台,希望大家多多支持!谢谢!
公司的主要业务方向
经过多年在信息安全领域的跟踪研究和对一些信息安全工作比较规范成熟领先的国际国内跨国世界500强企业内部信息安全工作的大量第一手实践和案例亲身体验和积累,我们在工作中发现了一个问题, 那就是一说做信息安全工作,绝大多数企业都是在部署防火墙,IDS/IPS,WAF,防病毒,DLP数据防泄露等系统和产品后基本就到此为止了,然而最近几年出现的很多安全事故和案例却都往往是通过各种综合的隐藏手段绕过了企业常规部署的安全系统设备的防线来侵入用户网络,窃取数据。 例如各种APT攻击等,当然,这也有一些实际客观条件的限制和原因,如企业人员的安全意识问题等一起导致了这些情况的发生。 但不得不指出的是,传统安全防护手段是基于漏洞和签名的,打个比方来说,就像用固定大小孔眼的筛子去检查网络流量一样具有一些先天局限。这个问题也是其中主要原因之一。
在研究和寻找解决办法的过程中,目前国外现在美国军队中广为接受和推广实践的NSM(Network Security Monitor)给了我们很大的启发,为何不用一个没有筛孔的筛子加上人脑去对所有的网络流量进行综合检查呢?下面介绍一下现在美国军队大力支持的NSM定义和理念概要:
网络安全监控(Network Security Monitor,NSM)是关于搜集,分析,预警以检测和响应入侵的技术。NSM是一种在你的网络上发现入侵者,并在他们危害你的企业之前对其采取行动的方法。现在狡猾的攻击者已经知道如何躲避和绕过IDS/IPS特征码和传统防火墙规则,只有通过拥有全部网络流量范围的NSM数据以及最大程度利用这些数据的专业安全分析师,就像专业资深医生对患者各种化验检查结果进行诊断一样,才能准确地分析定位和有效地帮助所有各种规模和复杂性的组织应对广泛的攻击者。NSM不只是软件和数据,它是一种基于人和方法的行动。
产品和技术不是解决方案,它们只是工具而已,企业需要明白这一点,没有现成的产品设备可以解决所有网络安全问题。攻击也有生命周期,这些生命周期的不同阶段以不同的数据源形式留下不同的证据,使用不同的分析技术可以最佳地揭示和理解这些数据源。NSM的目标就是在攻击的早期及时发现并阻止其成功达到目的。
尽管NSM具有这些优点,但目前也仅仅是在拥有充足网络安全预算和资源的美国军队在大力实施和推广,尚未在民间企业普及实施。
目前NSM尚未在美国民间企业中进行推广普及的主要原因可能是由于专业安全分析师资源的匮乏和人员成本的昂贵。例如:有一次我们的项目安排去美国一家世界知名安全产品和服务企业参观交流,当问到关于专业安全分析师的聘用资格问题时,对方的答复是其资格需要至少15年工作经验。我们国内信息安全的出现和发展才有多少年?即便在现在的美国,专业安全分析师依然是极度匮乏的人力资源。这就导致了NSM在美国企业里目前尚无法广为普及推广,只是在美国军队里被大力支持和推广。除此之外,另外还有网络全流量截获的昂贵存储成本和海量数据分析困难等客观原因。
基于这种市场空缺和技术思路我们确定了我们的主要业务方向,就是以基于自行研发的下一代大数据网络安全监控分析平台和专业安全分析师团队为核心提供专业的网络安全监控和分析服务。
传统的安全设备和解决方案是一种以漏洞为中心的防御,NSM是一种以威胁为中心的防御。以0day和APT为代表的新型威胁攻击不断增长,以威胁为中心的防御将成为未来的趋势。传统的以漏洞为中心的防御(如:防火墙、杀毒软件、入侵检测系统等)高度依赖于基于特征的检测,检测未知威胁的能力很小,而以威胁为中心的防御拥有更强的能力,能够超出已知特征来检测攻击活动;打个比方来说:两种防御模式的关键区别是,篱笆栅栏和砖墙永远不会改变其固有的定式策略,永远不会学习和适应新的情况变化。而守门员,会学习特殊射手的习惯,能在学习中获悉,适应,不断增强防守技能。
传统以漏洞为中心的防御方式无法满足大数据时代信息安全需求:这是因为存在以下几个问题和局限。
(1)无法抵御未知特征攻击:传统的以漏洞为中心的防御模式依赖于具备所有已知漏洞知识及特征开发的监测,无法应对新型的威胁。
(2)入侵检测特征库不完整:目前世界上没有一家信息安全企业具备全面的入侵检测特征库。
(3)无学习能力:传统的安全解决方案(如防火墙和IDS/IPS)只具备信息过滤能力,而不具备学习能力,高度依赖基于特征的检测,检测未知威胁的能力很小,从而导致用户无法识别与特定安全设备相关的已知特征以外的威胁和攻击。
(4)价格昂贵:企业防火墙和IDS/IPS等安全设备年费高达成百上千万,且需叠加购买各辅助产品。
(5)落后的线性流程:旧模式的入侵检测是一个线性的过程,单个告警处理事件闭环,不符合网络防御的目标。
(6)网络能见度低,无威胁情报能力:仅基于有限的已知特征对网络进行能见,特征以外的网络流量被忽略。没有结合威胁情报能力进行深度分析。
平台的特点和优势
三个特点:
(1) 具有一套不同于传统IDS和防火墙的自有特征体系检测的全新模式。网络监控分析这种全新防御思路的最初发展和最大支持者是美国信息战部队。
(2) 从过去的以漏洞为中心的防御转向更困难的以威胁为中心的防御,其最大的决定性因素是专业的安全分析师团队。
(3) 对客户系统网络流量进行全方位持续安全监控,搜集检测和分析网络安全数据,弥补目前广大用户除FW,IPS,WAF等安全设备常规性部署以外的安全检测和监控能力缺失和空白(例如APT攻击和内部数据泄露等)。
七个优势:
(1) 核心优势——下一代大数据网络安全监控分析平台
为应对日益复杂的安全态势,结合采集到的各种数据,安全威胁和情报以及安全分析专家的经验和知识库,开发一套专用的大数据网络安全监控分析平台。
(2) 不仅对已知威胁(如漏洞和恶意软件等)进行检测,还能超出已知特征检测攻击活动;
(3) 能够识别出伪装在正常网络协议流量里的异常活动,例如攻击者通过DNS协议或ICMP数据包进行远程控制和传送窃取企业数据等;
(4) 对所有网络流量全面进行检查和分析,弥补了传统防火墙,IDS/IPS等安全设备仅仅基于已知特征的有限网络能见度缺陷问题;
(5) 以安全分析师为核心,会学习新出现的特殊攻击方式,能够在学习中获悉,适应,不断增强防守技能;
(6) 将检测和入侵响应的流程形成循环,能够随着时间的推移建立起内部情报,可以被用来更好地服务于网络防御;
(7) 每次攻击均结合威胁情报分析,结合内外部情报建立威胁档案,高效快速的定位和预警。
总结
下一代大数据网络安全监控分析平台
以威胁为中心的防御方式
先进的全包抓取技术(FPI)
超强广泛的情报分析能力
未知特征的攻击活动检测
平台未来规划:
未来3-5个月内对平台进行整合和优化升级;
扩充一线平台运维团队,完成人员培训、文档标准化、管理标准化、运营标准化等工作。
1) 业务发展历程及形成的市场规模
公司计划年内形成15家客户,1-2年内发展成国内知名的下一代大数据网络安全监控分析服务提供商。
(全球安全分析市场规模——将从2015年的21亿美元增长到2020年的71亿美元,年复合增长率将达到27。6%。政府和国防行业将主导安全分析市场。(数据来源: Markets and Markets))
2) 一项经典的业务合作案例
公司初创期,今年2月份开始筹备,5月24日设立。目前与国务院扶贫办、国家电子政务外网管理中心、大连市政府、广西广电等已建立了业务合作关系。
3) 需要寻求哪方面的合作,需要哪些数据,寻找哪些领域的合作伙伴等
需要天始轮风险投资,需要政府用户、金融用户数据的合作伙伴,共同为用户解决网络安全问题。
查询更多合作机会,请登录DataHub: https://hub.dataos.io/ 。
如有任何疑问及咨询“如何加入联盟和专委会”的企业,欢迎与我们联系:
电话:010-66156811
