華為提出SDSec軟件定義安全解決方案

隨著網(wǎng)絡(luò)云化，安全防御邊界愈加模糊，同時(shí)威脅的數(shù)量和種類隨著大量的應(yīng)用和設(shè)備的使用而倍增。對(duì)于電信網(wǎng)絡(luò)而言，新型網(wǎng)絡(luò)攻擊將可能發(fā)生在骨干和城域網(wǎng)絡(luò)、云數(shù)據(jù)中心、B2B等各個(gè)場(chǎng)景。

當(dāng)電信基礎(chǔ)設(shè)施進(jìn)入云化后，安全能力成為彈性資源池，特別是對(duì)于5G網(wǎng)絡(luò)，不同的切片需要不同的安全功能，同時(shí)在B2B場(chǎng)景，安全作為增值服務(wù)需要匹配業(yè)務(wù)的快速發(fā)放。

華為提出SDSec(Software-defined Security, 軟件定義安全)解決方案，構(gòu)建全網(wǎng)主動(dòng)防御體系。該方案可使威脅檢測(cè)、威脅處置及安全運(yùn)維更為智能，提高運(yùn)營(yíng)商網(wǎng)絡(luò)基礎(chǔ)設(shè)施和企業(yè)IT網(wǎng)絡(luò)抵御威脅的能力，提升安全運(yùn)維效率，實(shí)現(xiàn)業(yè)務(wù)快速發(fā)放，降低運(yùn)維成本。

一、智能檢測(cè)和分析，威脅綜合檢出率提高到95%

運(yùn)營(yíng)商通常會(huì)部署從網(wǎng)絡(luò)邊界到終端的所有安全產(chǎn)品，但什么功能都具備的防御戰(zhàn)線并不意味著能有效對(duì)抗威脅。

當(dāng)前客戶的普遍問題是，對(duì)現(xiàn)網(wǎng)安全設(shè)備防護(hù)效果沒底，對(duì)威脅事件無法判斷，更不能有效檢測(cè)未知威脅。

同時(shí)，在運(yùn)營(yíng)商IT環(huán)境每天產(chǎn)生的日志是海量的，管理員會(huì)被淹沒在巨量的日志信息中，無法做出及時(shí)有效的分析處理。

另外，這些日志都是基于單點(diǎn)事件的告警，對(duì)入侵和攻擊鏈的全局缺乏多點(diǎn)異常關(guān)聯(lián)，無法識(shí)別新型復(fù)雜攻擊的入侵意圖，直接影響對(duì)威脅的準(zhǔn)確判定。

華為SDSec解決方案首先確保了單點(diǎn)檢測(cè)有效。

從源頭過濾“噪聲”，基于關(guān)鍵資產(chǎn)信息、動(dòng)態(tài)威脅變化和專家分析經(jīng)驗(yàn)，生成有效過濾條件，做好一級(jí)收斂。

結(jié)合AI機(jī)器學(xué)習(xí)算法實(shí)現(xiàn)多點(diǎn)分析的準(zhǔn)確性，這里的核心是構(gòu)建針對(duì)“威脅場(chǎng)景”的高級(jí)規(guī)則，含單場(chǎng)景檢測(cè)模型，和含日志、情報(bào)、流量異常等的多維綜合判定算法，這是二級(jí)收斂。

黑客已經(jīng)利用機(jī)器學(xué)習(xí)生成智能的惡意軟件，可以預(yù)測(cè)未來攻與防的對(duì)抗必定是人+機(jī)器的對(duì)抗，需要以更聰明的大數(shù)據(jù)安全分析大腦，結(jié)合海量黑白樣本的學(xué)習(xí)訓(xùn)練，研究黑客入侵意圖和攻擊手法，來最終做出預(yù)測(cè)和判定。

二、自動(dòng)化處置，平均響應(yīng)時(shí)間降低到1天以內(nèi)

除了主動(dòng)發(fā)現(xiàn)威脅，對(duì)企業(yè)更重要的是如何快速響應(yīng)和處置，最大程度減少損失。威脅和安全響應(yīng)就是一場(chǎng)時(shí)間賽跑，42%的新漏洞在紕漏30天內(nèi)被黑客利用，企業(yè)響應(yīng)的時(shí)間遠(yuǎn)大于30天，打的就是時(shí)間差。

以去年5月份“名聲大振”的勒索軟件WannaCry為例，WannaCry使用SMB（Server Message Block）漏洞來感染計(jì)算機(jī)，并將病毒傳播給新的受害者，影響超過24萬受害者。

WannaCry本身的技術(shù)性不強(qiáng)，但傳播快、感染范圍廣。

盡管所有廠商都紛紛宣稱可以檢測(cè)到WannaCry，但客戶最關(guān)注的不是你能否“檢測(cè)”到，而是第一時(shí)間定位被感染計(jì)算機(jī)，及時(shí)攔截防止內(nèi)部橫向擴(kuò)散，對(duì)并已感染終端快速進(jìn)行修復(fù)。

華為SDSec解決方案可協(xié)同全網(wǎng)來遏制威脅。

結(jié)合云端或本地沙箱分析能力，快速檢測(cè)未知蠕蟲病毒，除了一些常規(guī)動(dòng)作，比如在出口防火墻封堵445端口（WannaCry攻擊采用的端口），升級(jí)IPS（Intrusion Prevention System）特征庫(kù)等，更關(guān)鍵的是可以通過安全控制器聯(lián)動(dòng)接入層交換機(jī)，及時(shí)隔離已經(jīng)被感染的計(jì)算機(jī)，利用網(wǎng)絡(luò)的各個(gè)神經(jīng)末梢采集流量，定位感染路徑，并聯(lián)動(dòng)終端軟件自動(dòng)化清除蠕蟲病毒，批量推送補(bǔ)丁，輔助員工配合來修復(fù)漏洞，自動(dòng)化發(fā)布工具恢復(fù)加密文件。

除了技術(shù)手段，更重要的是還要與員工教育、補(bǔ)丁推行等管理手段和流程結(jié)合，真正做到“智能、近實(shí)時(shí)處置”，將威脅響應(yīng)的時(shí)間縮短到目標(biāo)24小時(shí)內(nèi)。

三、智能安全運(yùn)維，安全運(yùn)維成本降低80%

海量安全策略運(yùn)維一直是運(yùn)營(yíng)商和中大型企業(yè)的頭號(hào)難題。

以一個(gè)中型規(guī)模數(shù)據(jù)中心為例，僅防火墻策略就有幾萬條，策略基于IP語言，業(yè)務(wù)的每次更新都需要調(diào)整防火墻策略，每天的策略更新量達(dá)到上千。

業(yè)務(wù)下線，IP地址回收，不會(huì)及時(shí)通知網(wǎng)絡(luò)安全維護(hù)部門，策略的提交責(zé)任人也不一定會(huì)取消策略，這種情況管理員很難發(fā)現(xiàn)，導(dǎo)致大量過期的安全策略堆積沒人“敢動(dòng)”。

另外，遇到搬遷數(shù)據(jù)中心的場(chǎng)景，安全策略的遷移將成為一個(gè)“老大難”, 策略需要重新生成配置，手工操作花費(fèi)數(shù)周時(shí)間才能完成。

最后，還有重復(fù)策略的問題，同一應(yīng)用多人都可以申請(qǐng)策略，可能會(huì)造成重復(fù)策略，策略總數(shù)膨脹。

智能運(yùn)維的核心是“以業(yè)務(wù)驅(qū)動(dòng)的安全策略”。

從IP機(jī)器語言升級(jí)到基于應(yīng)用的高級(jí)語言，建立應(yīng)用到IP的自動(dòng)映射，通過安全控制器將安全策略的生命周期與業(yè)務(wù)的生命周期緊密捆綁，在業(yè)務(wù)上線、變更和下線時(shí)，實(shí)時(shí)感知變化，自動(dòng)翻譯“業(yè)務(wù)的策略”到最終設(shè)備可執(zhí)行的IP策略，省去人工干預(yù)。

更重要的是，還可以通過安全控制器分析對(duì)應(yīng)用的互訪關(guān)系進(jìn)行可視分析，在機(jī)房搬遷場(chǎng)景自動(dòng)生成策略白名單，免去繁重的人工重新配置工作量。

對(duì)于策略的合理性，如重復(fù)冗余、沖突和過期的策略，也可以通過觀察分析應(yīng)用互訪流，策略命中率，進(jìn)行動(dòng)態(tài)的調(diào)整和優(yōu)化，及時(shí)刪除重復(fù)策略、下線過期策略。

通過動(dòng)態(tài)流量分析，還可以驗(yàn)證預(yù)上線策略的有效性，確保策略定義和實(shí)際執(zhí)行保持一致。

華為SDSec解決方案在運(yùn)營(yíng)商、政務(wù)云等重要行業(yè)場(chǎng)景實(shí)現(xiàn)了規(guī)模商用，以安全控制器和安全分析器為核心，橫向使能“一整張網(wǎng)絡(luò)”，實(shí)現(xiàn)以業(yè)務(wù)驅(qū)動(dòng)的云、網(wǎng)絡(luò)和安全的上下協(xié)同，并以“威脅入侵意圖”學(xué)習(xí)為核心，動(dòng)態(tài)定制采集和檢測(cè)，基于AI機(jī)器學(xué)習(xí)創(chuàng)新對(duì)惡意文件、C&C（command and control server）、內(nèi)部流量異常的主動(dòng)分析，使能全網(wǎng)神經(jīng)末梢節(jié)點(diǎn)自動(dòng)快速遏制威脅，幫助客戶提升安全分析和運(yùn)維的智能化、自動(dòng)化程度，解放管理員簡(jiǎn)化安全運(yùn)維，保護(hù)客戶關(guān)鍵基礎(chǔ)設(shè)施穩(wěn)固，業(yè)務(wù)永續(xù)。