1、基于AI的云安全治理目录信息安全的变与不变安全对抗的制胜之道华为基于AI的云安全实践从信息安全的角度,能看到什么?1980年代:LBL Clifford Stoll2010年代:伊朗震网75美分账单差错信息安全归根到底是攻击者、防御者之间资源和智能的对抗!变化的是工具和模式钓鱼邮件SSHkilldisk 伪装社会工程学服务中心C&C服务器 大数据时代,定义“资产价值”的不再是用户,而是攻击者!未知威胁智能化协同化速度快处置难安全资源安全能力安全服务������安全资源安全能力安全服务传统安全业务模型用户A用户B安全服务化业务模型安全资源安全能力安全服务服务提供商安全服务安全服务用户A用户B归一化虚拟化自动
2、化业务可度量快速弹性扩展按需自服务广泛网络接入资源池化更多、更快、更协同、更智能、更难检测l从基础设施安全变为租户业务安全;僵化到弹性;边界到全流量;静态到动态自适应攻击手段的变化业务模式的变化不变的是趋势和规律在当前开放式信息系统环境下,没有技术手段保证可以做到绝对安全!信息系统天生“易攻难守”!Aurora(2010)SecurID窃取(2011)孟加拉银行(2016.2)WannaCry(20�����17.5)乌克兰电力(2016)Stuxnet伊朗伊朗(2010)Mirai(2016.10)修复所有漏洞,对抗所有攻击是不可能的;打碎一个花瓶总是比修复一个花瓶要容易;工具加剧了不对称趋势目录信息
�����3、安全的变与不变安全对抗的制胜之道华为基于AI的云安全实践信息安全是一种信息对抗,决定成败的关键是成本要想在信息对抗中立于不败之地,只能避免在现有“不对称”环境下的直接的对抗!弹出勒索窗口攻击者扫描445端口,发现漏洞发送网络数据报文访问开关域名*.WNCRY扫描并攻击可连接的网络主机开关域名未连通释放病毒文件加密用户文件未连通连通退出,停止传播随机生成IP地址VS 为什么现在不再修长城?攻击者害怕什么?防火墙?IPS?加密?还是大数据两千年前的孙子兵法揭示了对抗的艺术:上兵伐谋,其次伐交,其次伐兵是故百战百胜,非善之善者也;不战而屈人之兵,善之善者也能而示之不能,用而示之不用,近而示之远,远而
4、示之近为什么“鸳鸯阵”可以��������获得冷兵器时代最悬殊的战损比?“隐真示假”比硬碰硬的直接对抗更为有效!建立能使攻防成本保持平衡的信息治理体系,比击败每一个攻击者更为重要!安全治理是要以低成本达到“安全与威胁”间的平衡安全对抗不是单纯比较单项能力的强弱多少,决定对抗成败的是对能力的使用“策略”;跳出简单的“直接对抗”的思维,建立完善的信息安全治理体系,是有效的策略!花街之战:334+2比3攻防不对称的原因在于信息时空与知识的不对称攻击者:1、了解被攻击对象的各种情报(漏�������洞、拓扑);2、有充足时间准备攻击;可以随时发动攻击;3、利用任意漏洞即可攻击成功;4、一旦攻击失败,基本没有损失防御者:1、对攻击者
5、是谁、何时攻击、针对什么资源、使用什么手段一无所知;2、只能坐等被攻击;只有在攻击中阻止了攻击活动才能避免损失;3、要修补所有漏洞、对抗所有攻击才能保证安全;4、任意�����攻击活动一旦成功,都会造成损失可信计算区域WAF感染主机安全感染C&C、隐通道时间(xx月)数据量关键信息资产花大量时间工具攻击手法收集信息社交库密码字典攻击对象网络拓扑攻击对象应用环境攻击对象组织结构可能的存储位置目标资产信息安全设施接触资料人员信息生产环境供应链各种安全攻击活动时间(xx分钟)时间(xx月)攻击还未发生/计划攻击正在发生/执行攻击已经����发生/破坏Weaponization工具准备工具准备Delivery载荷投递载
6、荷投递Exploitation漏洞利用漏洞利用Installation释放载荷释放载荷Command and Control(C2)建立通道建立通道Actions on Objectives目目标达成标达成Reconnaissance情报收集情报收集攻击链:安全攻防对抗的核心是知识的积累和有效使������用5、大数据改变了安全知识挖掘的方式,从实验模拟发展到密集计算,进一步完善了安全知识的积累手段,是安全智能化的基础。1、无处不在的安全。不可能构筑100%安全的系统,系统必定存在漏洞,漏洞必定会被利用。2、安全的服务对象是“被攻击者”,安全能力的服务对象是“攻击者”。服务的内容是提供知识与防护手段。3、
7、安全的价值在于迅速将不安全的状态转换为安全,并尽量提高攻击成本。对已知������威胁根据风险与成本取舍。对未知威胁提升免疫力降低风险。4、安全是模式的科学,其核心工作是构建安全知识系统。安全技术通过模式的挖掘,把潜在的威胁呈现出来。安全攻击模式库IPS签名库漏洞库������病毒库应用特征库信誉库6、未来(AI)基于AI的安全防御能根据实际情况自动调整,以达到最好的防御效果;而不是只会根据预定策略简单地匹配-执行。目录信息安全的变与不变安全对抗的制胜之道华为基于AI的云安全实践华为在产业中的地位与面临的信息安全形势北京、杭州、深圳 攻防实验室/攻防演练2500+专职安全研究人员1000+安全专利华为不仅是一家安全公
8、司研发中心华为总部技术支持中心服务于全球17万员工覆盖140+国家节点每天处理:邮件200万封及时消息2500万条阻断一级泄密事件56次平均每月阻断网络威胁49.2������万次每月阻断病毒攻击55万次阻断SQL注入/跨站攻击等300万次/年庞大的网络高安全的防护截止2015年,加 入 了300多 个 标 准 组织/产 业 联 盟,担 任 超 过280个 重 要 职 位2015年提案5,400篇,累计43,000余篇FWAVPKIIPSIDSUTMSandBoxNACSIEMSOCAPP Ctl复杂性/成本威胁防御能力安全攻防模型:价值决定了风险和成本绝大多数的传统攻击可以被有效防御;10%的高级安全威
9、胁产生了90%的安全损失,消耗70%的防御成本;从攻防指导思想变化,看对信息安全体系的要求APT攻击源攻击链/纵深防御����全局感知/协同防御安全防御如今,在防御过程中不但要看到棋子,还要感知棋局安全知识的积累:加强单点防御能力,层层防御:补充未知威胁检测手段/提高安全事件检测与防御概率;拓展防御深度,实现尽早防御:在攻击前进行防御;安全技能的有效应用:感知全局安全态势,实现协同防御:构造完整攻击视图,实现对威胁的快速闭环;在今天,并非把业界最强安全产品简单堆叠,就能实现对威胁的有效防御Weaponization工具准备工具准备Delivery载荷投递载荷投递Exploitation漏洞利用漏洞利用
10、Installation释放载荷释放载荷Command and Control(C2)建立通道建立通道Actions on Objectives目目标达成标达成Reconnaissance情报收集情报收集 通过电子邮件或者U盘渗透 随机生成IP地址,扫描445端口,发现��������可利用漏洞;释放病毒文件;访问开关域名;加密用户文件;展现勒索界面纵深防御:在攻击链各个环节,检测威胁(攻击/脆弱性),消除威胁;无法保证100%有效检测、滞后、只看到事件碎片、响应慢攻击链(洛克希德马丁):围绕漏洞的“发现即摧毁”;攻击难以被检测,来不及处置(逃逸、加密、协同、快速扩散)网络网络FW/主机主机AV主机主机AV网
11、络网络FW/网络网络IPS数据备份数据备份网络网络IPS系统系统漏洞补丁漏洞补丁漏扫漏扫安全智能防御AI威胁分析/态势感������知安全智能联动纵深防御/未知威胁检测单点安全防御能力基于AI的未知威胁检测攻击前的防御安全资源池化安全服务化/运维自动化基于AI的策略管理(策略自动化);安全服务化(资源管理/业务编排);华为软件定义的安全解决方案Huaw������ei SDsec安全解决方案=应对新型攻击的安全智能检测与联动闭环+适配业务要求的安全弹性架构执行器SwitchRouterFW/vFWAntiDDoSNAVDFW3rd Security控制器分析器融合联动SecoManagerCIS知识的积累:执行器检测
12、/防御单项安全事件;知识的有效应用:分析器感知整体安全态势,调用控制器实现对攻击的自动化决策处置;安全资源池SecoMgrPB智能检索流量异常分析日志关联分析取证溯源CIS攻击链检测智能检�������测智能分析分析智能智能决策决策/处置智能处置智能运维运维智能智能威胁情报威胁情报检测智能:基于AI的纵深防御能力单点威胁检测与防御Weaponization工具准备工具准备Delivery载荷投递载荷投递Exploitation漏洞利用漏洞利用Installation释放载荷释放载荷Command and Control(C2)建立通道建立通道Actions on Objectives目目标达成标达成Reco
13、nnaissance情报收集情报收集全流量NetflowLog(关联分析)Metadata+Log邮件收发件人分析恶意邮件下载恶意文件执行分析邮件服务器分析情报检测基于域名的DGA 域名检测基于DNS响应的Fast Flux 检测DNS Tunnel检测Ping Tunnel检测变形外发检测主机扫描检测端口扫描检测账号伪冒检测暴力破解检测访问路径检测访问频次检测AI+大数据检测方法访问不常见的网站邮件携带可疑文件URL下载可疑文件网站下载恶意文件威胁判定URL统计��分析访问流量检测基线检测加密通道检测单向持续流量检测可疑服务周期通讯检测加密外发检测感染账号检测特权账号检测SSH破解检测异常管理行
14、为检测CC数据传输检测Metadata攻击还未发生/计划纵深防御纵深防御/PDR闭环可覆盖的范围闭环可覆盖的范围攻击已经发生/破坏攻击正在发生/执行攻击事件网络 主机 应用问题:没有撬不开的锁,单点技术不能100%防住;对策:层层设防,降低攻击概率;利用AI增强威胁发现能力;强调产品异构;Protection:通过漏扫识别漏洞;配置防火墙策略、打补丁减少受攻击面;Detection:基于IPS、沙箱、CIS等,检测已知/未知威胁;Response:以单点技术与人工手段,处置发现的威胁;沙�����箱WAF主机安全、应用安全,数据安全NAVWEBDB审计SecoMgrDDoSASGIPS漏扫UMAC&C、
15、隐通道提供有效应对单项威胁的有效检测与防御手段!FIRHUNTER:基于HYPERVISOR+AI的恶意代码检测沙箱机器学习(随机森林)机器学习(随机森林)动态行为检测模型动态行为检测模型动态行为检测模型动态��������行为检测模型正常样本正常样本恶意样本恶意样本特征提������取特征提取函数运行APIAPI对应的参数恶意行为分析网络行为分析文件样本培植(黑、白)文件样本训练现网文件现网文件虚拟机运行引擎虚拟机运行引擎文件行为序列调度器虚拟机运行引擎虚拟机运行引擎文件行为序列现网检测已知家族:深度学习(已知家族:深度学习(CNN卷卷积神经网络)积神经网络)动态行为恶意家族分类模型动态行为恶意家族分类模型样本识别样本
16、识别/恶意家族分类恶意家族分类动态行为恶意家族分类模型动态行为恶意家族分类模型未知家族:非监督聚类未知家族:非监督聚类有监督的恶意文件检测基������于动态行为的恶意判定;有/无监督的恶意文件检测基于动态行为的恶意家族分类;CIS:基于AI的网络异常通信流量检测威胁判定3、联动处置1、ECA探针提取特征,送CIS检测InternetRazy勒索软件请求变种程序(加密)2、ECA模型实时判定CI�����SECA探针前50个报文NP/X86 OS攻击主机失陷主机3:终端调查工具定位、分析、清除恶意文件联动处置SecoManager策略控制器AC-CampusAC-DCN 1:联动FW南北向拦截或隔离2:联动交换机东
17、西隔离拦截、隔离CIS:������Cybersecurity Intelligence System,网络安全智能系统特征1特征2特征3特征4结果:Y/N投票判定(多棵树加权)白样本黑样本购买公开合作云端积累合作云端积累特征提取随机森林判定树生成检测模型 报文时间间隔字节分布统计TLS协商信息 流持续时间检测模型训练样本获取检测模型评估样本训练平台,持续训练输出ECA检测模型protocolIdentifiersourceTransportPortnumberOfBytesPerSecondflowDuration.特征指�������标机器学习(有监督)MetaDataMetaData样本恶意C&C流检测模型(随机
18、森林)模型优化流量探针恶意C&C流检�������测模型正常通讯异常通讯构建决策树下发给用户侧检测系统云端用户侧有监督学�������习加密流量C&C检测:ECA加密流量检测有监督恶意C&C/Webshell异常通信/DNS隐通道检测无监督学习DNS流量C&C检测:DGA恶意软件&通讯 载荷投递:载荷投递:发现8个全球首次发现、19个Top4杀软、38个现网杀软无法检测的未知病毒 建立建立C&C通道:通道:深圳、上海、南昌、天津分行部分机器发起对12个黑客服务器的请求(美国4个、葡萄牙5个、中国1个、马来西亚1个)数据外外泄阶段:泄阶段:检测到Ping/DNS隐蔽通道攻击行为攻击行为阶段阶段检测手段检测手段异常点异常点1
19、黑客伪造钓鱼邮件发给银行员工渗透文件沙箱:检测邮件附件文件高危或可疑2员工执行附件感染未知病毒渗透流量探针:跟踪邮件下载员工下载可疑文件3接收外部黑客指令远控流量探针DGA(动态生成域名)、恶意C&C流、加密攻击4根据指令收集内部信息(高级权限、收集数据、获得跳板机)内部扩散 日志探针、NetFlow蠕虫、暴力破解、扫描、基线5根据指令外发数据数据外发 流量探针Ping/DNS隐蔽通道Internet总部邮件服务器SIEM终端管理系统流探针FireHunter6000日志探针流探针深圳分行CIS其他分行文件������服务器134IDC52联动第三方终端上线2月效果显著检测智能:CIS+沙箱��������实现对单点安全
20、威胁的智能检测防御原理:提供虚假信息,把攻击引入歧途,攻击者只要攻击了诱饵资源,即暴露!无需逐一对抗特定攻击或者修复漏洞,普遍有效!基于网络诱骗技术的攻击意图检测:对攻击者“隐真示假”Weaponization工具准备工具准备Delivery载荷投递载荷投递Exploitation漏洞利用漏洞利用Installation释放载荷释放载荷Comman�����d and Control(C2)建立通道建立通道Actions on Objectives目标达成目标达成Reconnaissance情报收集情报收集攻击意图识别,检测在攻击之前攻击意图识别,检测在攻击之前攻击正在发生/执行攻击已经发生/破坏内网W
21、EBWEBWEB攻击 问题:传统纵深防御总是滞后于攻击;对策:通过诱骗,识别攻击意图基于意图:设置诱饵陷阱捕狼 方法:网络诱捕技术WEB攻击基于特征的检测(认识所有的狼);基于特征的检测(认识所有的狼);基于行为的检测(监控所有吃羊的行为)基于行为的检测(监控所有吃羊的行为)扩展防御深度,拓展防御的数据空间,实现在攻击破坏发生之前实现威胁�������检测与防御!为���什么有了纵深防御还防不住APT?单点防御,不能识别完整攻击链并协同防御从上百万条“正常”记录中识别出“异常”攻击事件;自适应保护架构持续监控所有数据RSA 2016:FW/沙箱/SIEM的安全防御是失败策略,基于完整网络可视、机器学习和人工智能才
22、能应对高级威胁安全智能防�����御技术体系数据源处置执行vSwitchVM1VM2vFWvSwitchVM1VM2vFW探针沙箱NGFW扫描Internet纵深防御安全智能SecoMgr大数据安全智能协防:AI检测/态势感知/协同联动技术获�����得多维数据的统一分析能力,重构全局攻击视图;协同联动/快速闭环能力,不再强调异构。隐通道&未知攻击检测调查取证/攻击路径回溯安全态势感知/趋势预测Weaponization工具准备工具准备Delivery载荷投递载荷投递Exploitation漏洞利用漏洞利用Installation释放载荷释放载荷Command and Control(C2)建立通道建立通道Act
23、ions on Objectives目标达成目标达成Reconnaissance情报收集情报收集攻击链的事前、事中、事后全过程监控;攻击日志与流量关联分析攻击链的事前、事中、事������后全过程监控;攻击日志与流量关联分析APT攻击源纵深防御/单点防御全局感知/协同防御AI分析智能:基于攻击链,关联判定,取证溯源,建立威慑收件人异常高危附件IP信誉Mail 异常未知C&C账号异常基线异常检测沙箱检测信息流量元数据NetflowsysLog 单点异常检测攻击链关联,威胁判定渗透驻点提权侦查外发隐蔽通道渗透驻点提权侦查外发情报资产收集终端外联CC攻击行为用户点击邮件附件,被感染回拨CC服务器,获得任务盗用账
24、号,内部提权收集数据外发数据文件IPDNS攻击源扫描暴力破解隐蔽通道流量异常,威胁处置智能:与SDN联动实现全网安全协防,快速处置InternetVMVMHostVMVMVMVM物理主机1物理主机2 办公区HypervisorvSwitchCIS CIS 1 15 5NGI�����PSNGFWVMVMVMVMVMVM园区控制器园区控制器LSW安全终端2 2执行器执行器DCDC控制器控制器DSW执行器执行器vSwtichSecoMa��������nagerSecoManagerNGFW执行器执行器vNGFWCIS发现威胁,调用控制器进行遏制2 2SecoMgr接受指令,生成策略,下发对应执行器接受指令,控制交换机策略
25、实现控制3 34 �����4接受指令,执行策略主机被隔离、拦截Full-Netflow探针流量探针接受指令,执行策略工单系统应用管理员A:需求1:����新建SrcIP(10.11.12.13)DstIP(10.11.13.34)/Port(2456)的访问关系;需求2:删除所有到DstIP(10.11.12.15)的访问关系;-应用管理员B:需求1:新建一套应用系统,IP地址池和Port是,访问关系是-应用管理员C:Firewall-101:rule 1 permit ip source 10.11.12.13/32 destination 10.11.13.34/32 port 2456Firewall-
26、228:undo rule 10Firewall-313:undo rule 100防火墙策略在哪些FW上配置哪些策略?工单系统应用定义和变更Restful:APP ID/IP rule/Action/�������SecoManager网络分区架构应用依赖关系可视策略配置结点策略配置结点策略配置结点策略编排、优化异常流量感知Netconf根据应用系统模型,预先构建数据中心的网络安全拓扑和业务交互路径运维智能:基于AI实现“云/网/安”一体化策略运维对接业务工单,联动云平台/网络控制器,实现安全业务编排,随同业务策略的自动化安全策略运维 策略全行分散部署,IP策略语言,难运维:IP五元组策略,20000+条
27、,维护管理带来很大难题 不感知应用,手动部署:业务生命周期和安全策略缺少对应关系,云环境业务变更频繁,依赖手动触发上线/变更L3 NetworkInternet分析器控制器执行器互联网DMZ资源池外联网DMZ资源池内网资源池DC边界网络安全Agile 控制器租户边界网络安全VM间网络安全流探针DDoSNGFWvNGFW大数据安全分析CIS分析器主机安全云OS安全VMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVM云OSDDoSAntiDD������oS终端安全软件云OS加固NGFWL3 Network广域网AntiDDoSNGFWNGFW沙箱WAFNGFWIPS安全资源池NGFWIP
28、S安全资源池S���ecoManager安全控制器结果同步策略同步管理员管理员外联网NGFWNGFW华����为云安全解决方案全图安全执行器、控制器、分析器构成安全智能联动框架;安全池化与策略自动化设备,构建安全弹性服务架构;安全资源池化运维智能分析智能合规的基线化安全能力安全服务化意图检测处置智能单点检测智能华为SDSec解决方案特点:从单点防御到全网协同防御;从基于策略的静态防御到基于智能的动态防御;从针对威胁的被动防御,到基于意图识别的主动防御;早于攻击破坏实现事先防御;架构开放:SDSec安全解决方案通过开放接口融到网络SDN架构中,可与不同的SDN框架和云管理平台对接安全框架开放标准接口(I2NSF),可的以容纳各种能力和不同的产品组件,构造开放共赢SDN安全生态;谢 谢!
sgpjbg002
工作日 9:30 - 18:00
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
扫码登录
手机快捷登录
账号登录
