RSAC2023解讀第5期 | 威脅信息跨界協(xié)同，使能智能防御

?本期解讀專(zhuān)家

RSAC議題中 Analytics Intelligence & Response是討論威脅信息（Cyber Threat Intelligence）和響應(yīng)相關(guān)內(nèi)容的， RSAC2023該議題中單純討論威脅信息價(jià)值、應(yīng)用、技術(shù)等相關(guān)的內(nèi)容已經(jīng)較少。本期從RASC2023中分散在多個(gè)主題下討論的驅(qū)動(dòng)安全技術(shù)發(fā)展的因素入手，探討通過(guò)威脅信息協(xié)同使能安全分析及響應(yīng)技術(shù)向自動(dòng)化、智能化演進(jìn)。

合規(guī)遵從、威脅態(tài)勢(shì)、IT技術(shù)發(fā)展、業(yè)務(wù)意圖等多種因素共同驅(qū)動(dòng)了企業(yè)網(wǎng)絡(luò)安全需求和技術(shù)的演進(jìn)。從外部看，一方面，隨著網(wǎng)絡(luò)安全法律法規(guī)的完善，企業(yè)需要在法律遵從下進(jìn)行經(jīng)營(yíng)；另一方面，網(wǎng)絡(luò)威脅逐年增多、攻擊強(qiáng)度增大，企業(yè)需要投入恰當(dāng)?shù)馁Y源保證業(yè)務(wù)安全運(yùn)營(yíng)。從內(nèi)部看，IT技術(shù)的發(fā)展改變了企業(yè)IT的技術(shù)形態(tài)，隨之引起安全技術(shù)的變革。

全球網(wǎng)絡(luò)安全威脅持續(xù)增長(zhǎng)

據(jù)Statista發(fā)布的統(tǒng)計(jì)數(shù)據(jù)，網(wǎng)絡(luò)犯罪已成為世界第三大經(jīng)濟(jì)體，且每年以15%的速度增長(zhǎng)，相反網(wǎng)絡(luò)安全投資的增長(zhǎng)率僅為9.7%。Akamai在報(bào)告中提到，針對(duì)Web應(yīng)用和API的攻擊持續(xù)增長(zhǎng)，2021年至2022年，總體的網(wǎng)絡(luò)攻擊流量增加了2.5倍。勒索等破壞性網(wǎng)絡(luò)攻擊增多，blackfog發(fā)布的勒索軟件報(bào)告中提到，89%的勒索軟件攻擊中都使用了二次勒索的手法——泄露數(shù)據(jù)。更大的資源支撐、更大的攻擊頻度、更大的破壞性已經(jīng)成為每個(gè)企業(yè)面臨的基本攻擊態(tài)勢(shì)。

全球面臨安全勞動(dòng)力缺乏

(ISC)2 發(fā)布的2022網(wǎng)絡(luò)安全勞動(dòng)力研究報(bào)告指出，2021年全球網(wǎng)絡(luò)安全勞動(dòng)力需求為691萬(wàn)，缺口為272萬(wàn)；2022年全球需求為809萬(wàn)，缺口為343萬(wàn)，相比2021年需求和缺口差距增大。同時(shí)，從需要使用安全勞動(dòng)力企業(yè)來(lái)看，約99%的企業(yè)為中小型企業(yè)，但是已有的網(wǎng)絡(luò)安全勞動(dòng)力大部分流入了大型企業(yè)。

應(yīng)用自動(dòng)化技術(shù)解決安全問(wèn)題

網(wǎng)絡(luò)威脅增長(zhǎng)、安全勞動(dòng)力缺乏、告警疲勞對(duì)安全勞動(dòng)力的消耗等問(wèn)題是企業(yè)在實(shí)施安全項(xiàng)目過(guò)程中面臨的主要問(wèn)題。同時(shí)，RSAC2023多個(gè)主題中談到了網(wǎng)絡(luò)安全向網(wǎng)絡(luò)韌性的轉(zhuǎn)移，企業(yè)期望得到更多是“確定性的業(yè)務(wù)防護(hù)”。

針對(duì)上述問(wèn)題和訴求，華為推出了華為乾坤云服務(wù)?；谧詣?dòng)化分析技術(shù)+專(zhuān)家運(yùn)營(yíng)模式，為用戶提供覆蓋風(fēng)險(xiǎn)識(shí)別、威脅檢測(cè)、安全防護(hù)、威脅響應(yīng)全周期的技術(shù)解決方案，逐步實(shí)現(xiàn)“確定性的業(yè)務(wù)防護(hù)”。

自動(dòng)化分析技術(shù)，包括基于規(guī)則和AI的分析技術(shù)，被嵌入到邊界防護(hù)與響應(yīng)、EDR等多個(gè)服務(wù)中用于應(yīng)對(duì)網(wǎng)絡(luò)威脅的快速增長(zhǎng)和變化。其中規(guī)則和AI決策依賴(lài)的場(chǎng)外數(shù)據(jù)由威脅信息服務(wù)提供，并由威脅信息形成跨時(shí)空、跨服務(wù)的數(shù)據(jù)循環(huán)。

威脅信息使能跨界協(xié)同

微軟提到AI應(yīng)用于安全中的三個(gè)疊加的力量包括：人工智能算法、大規(guī)模的算力和數(shù)據(jù)、威脅信息。華為乾坤云服務(wù)解決方案中，威脅信息服務(wù)作為核心原子服務(wù)之一，向其他服務(wù)提供了威脅信息數(shù)據(jù)及跨服務(wù)的數(shù)據(jù)協(xié)同能力，如下圖所示。

核心的協(xié)同能力包括：

1.單個(gè)服務(wù)某個(gè)業(yè)務(wù)節(jié)點(diǎn)時(shí)間上的威脅信息協(xié)同，例如，某臺(tái)天關(guān)、某臺(tái)沙箱、某個(gè)EDR Agent節(jié)點(diǎn)感知到的威脅在不同時(shí)間跨度的協(xié)同。

2.單個(gè)服務(wù)不同業(yè)務(wù)節(jié)點(diǎn)空間上威脅信息的協(xié)同，例如，多臺(tái)天關(guān)感知到的威脅在空間跨度上的協(xié)同，沙箱、EDR Agent亦如此。

3.不同服務(wù)間威脅信息的協(xié)同，例如，天關(guān)和沙箱、天關(guān)和EDR、沙箱和EDR間威脅信息的協(xié)同。

4.安全運(yùn)營(yíng)人員和各個(gè)服務(wù)間威脅信息的協(xié)同。

威脅信息服務(wù)通過(guò)威脅信息協(xié)同可以實(shí)現(xiàn)主動(dòng)防御、未知防御，并基于系統(tǒng)提供豐富、結(jié)構(gòu)化的數(shù)據(jù)，使能基于AI算法的威脅分析及研判，進(jìn)而提升攻防對(duì)抗的時(shí)效和實(shí)效。

結(jié)束語(yǔ)

云計(jì)算技術(shù)發(fā)展帶來(lái)企業(yè)IT部署形態(tài)和交付形態(tài)的變化，進(jìn)而引起安全控制位置的轉(zhuǎn)移，從而驅(qū)動(dòng)安全產(chǎn)品形態(tài)及功能的演進(jìn)。AI技術(shù)的發(fā)展提升了攻防對(duì)抗的效率并豐富安全防護(hù)功能的實(shí)現(xiàn)方式。華為乾坤云服務(wù)基于云計(jì)算技術(shù)、AI技術(shù)及華為安全智能中心長(zhǎng)期的能力積累提供托管的云服務(wù)，為實(shí)現(xiàn)向客戶提供“確定性的業(yè)務(wù)防護(hù)” 持續(xù)努力。

點(diǎn)擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！