数据驱动 协同致胜
——专访360企业安全集团副总裁王伟
2016-11-26
随着国家关于信息安全的政策不断加码,并将其上升到战略层面,我国信息安全产业逐渐觉醒,相关厂商不断研发新技术,保证信息安全措施落到实效。目前,大数据安全分析已成为全球信息安全发展的趋势和方向,各厂商也不断推出基于大数据的安全产品。360总裁齐向东更是提出,协同联动将成为网络安全标配。
如何理解大数据安全?360的协同联动是什么样的?360又是如何帮助用户实现大数据安全的?带着这些问题,近日,本刊记者专访了360企业安全集团副总裁王伟先生。
安全产品走向“渐广”
图1 360企业安全集团副总裁王伟
过去,每个安全产品都是一个独立的信息孤岛,而产品就像研究人员,他们利用显微镜不断挖掘、发现更加细微的危险,这种方式称之为“渐微”。王伟表示, “渐微”在已知威胁的情况下比较有效,而现在的大数据安全则提供了一条“渐广”的道路。“渐广”的基石在于海量的终端数据,通过将多维、异构的数据关联在一起,就有可能从中发现有问题的颗粒。这些颗粒有可能是由安全分析人员确定的、有可能是机器学习得来的、也有可能是用户自己提交的,再将这些有问题的颗粒分享到安全设备或者安全产品上,进行数据关联,就能够得到确定的数据结果。
图2 360安全协同的不同维度
王伟认为,“渐微”和“渐广”在未来应该是结合的,因为在新形势下,过去的防御措施已经不再有效,需要通过新的技术提高发现未知的能力。
以数据驱动为本
单打独斗已经不适合目前的网络安全战场,需要更多的是协同,360也提出了协同联动的概念,包括数据协同、智能协同和产业协同。
其中,数据的协同分为量级协同、异构协同和云地协同。据王伟透露,360拥有PB级的数据数量,不仅如此,还拥有5-6亿的PC端用户、7亿的安卓手机端用户,他们能够源源不断地生成新的数据。如此海量的、多维的、异构的数据,提高了机器的学习能力,也提高了发现异常的能力。
其实,除前面提到的“渐微”、“渐广”的能力之外,大数据安全还提供了数据拓展、安全分析拓展的能力,这些都体现在了异构协同上。
异构协同,就是指基于多维数据,将分散各点的关系找到。例如,可以根据一个URL找到其注册者,若该URL确定是恶意URL,那么该注册者的其他域名也有可能是有恶意的。其实,域名仅是异构其中的一个维度,另外还有注册人、QQ号、邮箱等等,可通过搜寻信息将这些数据组合在一起,成为一张数据网格。
过去的产品在出厂的时候已经既定了计算能力,而现在,云端有海量的数据,并且能够无限扩展,这是单一设备无法做到的。王伟表示,360可以把云的能力和本地设备的能力集成在一起,生成数据,进行数据加工,然后进行交换和同步。设备端能够将检测到的数据送到云端做分析(例如云查杀),云端经过安全人员运维、机器学习已经确定了的情报也可以推送到设备。
相比前两种协同,王伟表示,云地协同更贴近企业安全管理员,因为他们需要考虑购买设备的厂家能否提供云端扩展的服务,这个设备的可扩展能力和安全监测能力到底如何等等。
王伟表示,360所有的安全产品都是数据的生产者,在完成本身性能的同时能够产生有商业价值的数据,这些数据再汇聚到大数据平台(公有云或者本地大数据平台)上。目前,360的终端产品、天擎、天眼大数据平台,和云端的威胁情报中心几者之间已经打通。
人与机器相交互
智能协同分成三个部分,分别是机器与机器间的协同、人与人的协同和人与机器的协同。
机器与机器间的协同指的是产品要一体化设计,这不仅仅是数据接口的问题。因为一台机器在什么情况下能够生成消息、这个消息的可信度是多少、别的机器要怎样接收这个消息,这些都需要协同。王伟表示,在机器与机器间的协同方面,还有很长的路要走。
在人与人的协同方面,360推出了企业SRC。王伟表示,如果用户购买了360的补天产品,其实就是购买了360为其量身定制的应急响应服务,360会调集资源寻找安全服务商给企业寻找漏洞,并只将信息提供给该企业。
第三个是人与机器的协同。在这方面,360能够提供可视化的、基于大数据的安全分析平台,就是天眼。人与机器的协同,是指结果不是机器算出来的,而是经过安全人员思考之后去触发分析,机器只是从后台将这些分析数据搜寻出来,再提供给安全人员进行分析,如此不断循环,最后找到全局全貌,推送给本地设备。用户能够将这些情报转换为自己所用,比如防火墙,将其纳入防控规则的变量。当恶意样本数量较多的时候,需要描绘出一个庞大的安全网,但是一个人或者一台机器的力量是有限的。因此天眼产品支持多路人员使用,每个人只需分析其中一小块儿,再将结果融合在一起。
而对于产业协同,王伟表示,产业协同其实就是信任开放,能力互补。360可以提供大数据平台,并且开放接口,目前也正在招募具有开发能力的安全服务商,因为他们更了解用户的需求,可以利用数据根据客户业务特性进行二次开发。