WAF与威胁情报 参加RSA2017的一些感悟
2017-02-17 未知 编辑:单瑜
一款产品的发展,都是从解决基础问题进化到解决复杂问题,是一个由粗到精的过程。
本周二召开的 RSA 2017(美国)展会上,盛邦安全CEO权小文远程在线接受媒体采访,谈论了他对此次展会上技术产品和国内外安全产业的一些看法。
WAF要更加精细和准确
盛邦是一家专注于Web安全的厂商,因此我们格外关注这方面的同行。Imperva在全球是最好的WAF厂商之一,目前它的WAF产品正在往企业级延“深”,做得越来越精细。
我们知道,一切技术都需要在业务与安全之间取得平衡。因为企业的困难在于这两者之间的选择,要么不放过(无法进行业务),要么全放过(不安全)。所以,安全技术的好坏就在于是否能够做到精细和准确,而Imperva的核心竞争力就是能够做到更加精确和有效的判断控制。
盛邦安全也在遵循这种思路和做法,通过把攻击行为拆分成多个阶段,并分别做出判断。传统的产品往往等事件发生后再做选择,要么放过要么阻断,控制点是后置的。而我们现在做早期判断技术,尽早的对攻击行为进行判断,而且更加的细致,以减轻企业在要安全还是要业务之间的两难选择程度。
更精细化的识别和控制是WAF的一个发展方向。
与威胁情报等分析技术结合
威胁情报在国外已经非常成熟,安全产品普遍的都在引入,但在国内并不多见。盛邦安全有一部分的海外市场,所以在新的产品技术上跟的比较紧。至少在情报利用上没有问题,接入之后就能做到分析和阻断。而盛邦安全的锐御系列WAF产品,应该是国内最早的也可能是目前唯一的支持威胁情报的WAF类产品。
过去的产品技术一般都是基于内置的签名来判断,现在的安全产品则普遍采用多安全引擎,引入了多种分析手段,比如威胁情报。除此之外,还会再辅助一些其他的分析引擎。比如利用云端的大数据分析引擎,做历史行为基线分析,还有云端沙盒等,这些都是未来的发展方向。
从国际上来看,WAF这款产品已经从生命周期的早期走向成熟阶段,越来越多的企业已经将WAF引入到他们的生产环境里来。在这个阶段,需要解决的已经不是简简单单的安全问题,而是一种安全可用性与业务相结合的能力。
对国外安全产业的感想
印象最深的是,感觉到了国外安全产业的脉动。国外安全产业的发展还是很有规律可言的。RSA展会的论坛,就会有趋势、理论类的演讲,这些非常前沿的技术,比如创新沙盒。而展区展出的产品相对来讲则比较成熟。大致上论坛里讲的技术,一年左右会形成产品出现在展区。比如前两年的威胁情报、去年的人工智能,已经有非常多的厂商和产品涌现。
国外安全产业的这种有规律的发展节奏,给了我很大的触动。拿威胁情报这个概念来说,中国跟美国几乎是同步开展,但是现在看中国几乎没有能拿出手的产品,在客户应用方面的成功案例更是少之又少,至少我们在国内没有找到非常有效的威胁情报供应商,还有分发、处理等环节。而威胁情报应该是协同作战才能有效,不可能一支独秀,国内的情报产业尚未形成。
反观国外,这个产业链已经发展的非常成熟。无论是从初期数据的收集到后期情报的分析、整合、处理、分发和利用,在每一个环节上都有很多优秀的公司,客户可以购买到很好的威胁情报服务。
我想在这一点上,中国的安全产业界应该感到汗颜。
空杯心态 积极进取
除了威胁情报之外,还有一些前沿技术令人印象深刻,如人工智能、深度学习和大数据分析等替代性安全技术。大数据分析可以抛开签名,完全通过流量、数据分析来发现一切已知和未知的攻击。这样一来,杀毒软件还有用吗?
这些新兴技术,国内很多人认为还是理念上的技术,尚不能落地,但实际上它们的产品化进展比我们想象的要快,而且要快很多。我觉得我们的产业在面向新技术的时候不够积极。
我认为,安全技术已经处于一个发展变革非常快速的时期,我们做信息安全的人应该始终有一种空杯的心态,并且是抱有积极响应、学习并付诸于行动的心态。否则我们很容易落伍,而安全尤其是一个不容落伍的行业,有着技高一筹就可以雄霸天下的特性,因为它的实质是对抗。
这就是我参加RSA最大的感受,也激励了我们要竭尽全力,专注投入的做好技术产品的研发。