时至今日,安全攻防已经从“拼体力”的时代演进到“拼脑力”的时代!为什么这么说?
升级核心安全大脑
以前的安全威胁和攻击虽然来源广泛,但是杂乱无章、横冲直撞,无论是“木马”植入还是“钓鱼”诱惑,都是利用了企业中存在的一些安全漏洞。企业只要提高安全防范意识、部署一些有针对性的功能强大的安全产品,大多数的安全威胁和攻击还是能够得到有效防范的。这些安全产品就好像是人强健的“四肢”,一记漂亮的“勾拳”,或者一个闪电般的“扫堂腿”,大概率可以将安全威胁拒之门外。从企业的角度说,谁拥有全面而强大的安全产品,谁就能在安全防御上占得先机。这就是所谓的“体力至上”。
但是数字时代,一切变得不同了!安全威胁不仅多而散,更大的挑战还在于,攻击者变得更狡黠了,它们学会了伪装、隐匿,甚至长时间隐而不发,只待时机成熟时进行偷袭,往往给企业造成难以挽回的损害。在这种情况下,纵使企业拥有多种安全产品严阵以待,但是双拳难敌四手,对于出其不意的偷袭更是防不胜防,“拼体力”的结果是自己累得气喘吁吁,很可能最终还是会被破防。
强健的“四肢”当然是必须的,但如果反击没有章法,而是肆意乱挥,肯定会事倍功半。这时,一个智慧的“大脑”成了决定成败的关键。一方面,“大脑”可以智慧地思考,掌握所有安全策略、引擎,并且可以分析、洞察所有安全隐患;另一方面,“大脑”可以对外输出经验、技能,赋能和指挥“四肢”,使其协调一致,拳术、掌法、腿功形成最佳组合,这样才能让企业安全固若金汤。所以,“拼脑力”是安全发展大势使然,是安全技术演进之必然,更是企业实施主动安全防御的应然。
360政企安全集团是“拼脑力”的先锋和代表,“360云端安全大脑”已经在行业内大行其道,它以安全大数据分析为基础,利用威胁情报、知识库、安全专家等关键能力赋能用户和传统安全产品,提升对高级威胁和攻击行为的检测发现能力。近日,依托360云端安全大脑及360公司17年攻防实战积累的安全大数据、攻防对抗知识库、威胁情报等领先能力,360政企安全集团对外推出360核心安全大脑3.0,这既可以看作是360云端安全大脑的私有化部署,也是360帮助政企用户打造的“能力中枢平台”。
谈到360核心安全大脑的演进,360政企安全集团高级副总裁高瀚昭回忆说:“三年前,在360核心安全大脑1.0阶段,我们的想法相对比较简单,意在落地自身的云端安全能力,将360的情报以及标准的大数据平台构建起来,为自己的安全产品提供一个能够无缝对接云和本地情报的平台,可以说实现了云端下沉。后来我们意识到,内部的安全产品种类越来越多样化,而每个产品都在开发自己的分析平台,这种‘内耗’将影响安全的效率和效果。这些各自为战的分析能不能统一在一套大数据平台上完成呢?以此为出发点,我们定义了一套数据标准,将各个产品的数据标准化,再进行统一分析,并在数据拉通的基础上实现聚合,使得各种各样的安全产品都可以在一个统一的大数据和分析平台上开发,这就是360核心安全大脑2.0,即实现了聚合分析。”
“在3.0阶段,360核心安全大脑已经是一个成熟的产品。但从定位、功能、商业模式等角度看,它就是一个政企客户都需要的安全能力的聚合平台,能协调各类安全设备实现联防联控,最终将360的核心安全能力转化成用户可落地、可使用的平台。如果说,在360核心安全大脑2.0阶段,这个“大脑”还只是为360自己的产品服务,而360显然看得更长远,希望这个“大脑”还能为整个安全生态所用,发挥乘数效应。
“在我们的设想中,360核心安全大脑未来可以变成一个独立的模块,用户也能在它上面轻松做开发。”高瀚昭介绍说,“而360的使命就是长期专注做好这件事。”
解构核心安全大脑
人类之所以成为地球上最聪明的动物,完全取决于人类独一无二的大脑。历史上曾经有人希望通过研究爱因斯坦的大脑构成,揭示智慧的奥秘。
多年来,360始终努力的目标是,构建“以安全大脑为核心的数字安全能力体系”,这也是360自身安全产品研发,以及帮助行业用户、政府、合作伙伴构建自身安全能力体系的一个总的指导原则。
在这套体系中,360核心安全大脑就是那个“魂”,其能将360云端安全能力、360各个产品之间的能力以及生态产品的能力进行汇聚整合,共同构成一个集中式、一站式的能力中枢平台,定位为核心“能力门户”和运算分析“中枢平台”。
下面,就让我们抽丝剥茧,看一看360核心安全大脑的构成。
最下面一层是大数据层,它汇集了360自身的各种数据,以及云端的数据、来自合作伙伴和用户的一些数据。360将所有这些数据加以分析和归类,并打上标准化的数据标签,目前已经有1000多种。它支持目前市面上几乎所有主流的国内外厂商及其各种设备的安全数据,包括日志、流量、告警、行为等,加以汇聚。
中间这一层,是360将其云端的能力下沉到本地,包含多个安全的分析引擎,以及与云端的直接连通端口,使得360的所有用户和产品,包括生态伙伴在内,都能通过核心安全大脑触达整个360后台2EB的安全大数据。无论用户看到的是样本、行为也好,还是IP、资产也罢,都可以在云端获得它的一个上下文及关联情况,甚至过去几年之内中发生的一些事件和情况。
最上面一层,提供了安全接口,可以无缝对接360自己的所有产品,以及生态产品。所有的安全能力、安全APP都可以运行在核心安全大脑之上,同时用户还可以根据需要,基于核心安全大脑开发自己所需的安全分析应用。这些应用可以使用其他应用所生成的沉淀在核心安全大脑上的所有数据,以及360后台云端安全大脑的各种数据。
高瀚昭表示,360核心安全大脑的定位是“大三通”——产品与产品之间互联互通,厂商与厂商之间互联互通,云端与本地之间互联互通,从而达到体系化、实战化、联防联控的效果。
作个形象的比喻,360核心安全大脑3.0相当于整个安全能力架构中的核心CPU,能够实现网络安全产品的信息共享、大数据集中分析研判、高级威胁情报赋能、网络安全产品体系化联动、安全策略协同等全方位的提升,进而全面激活360云端安全大脑的能力、企业自身产品的安全能力、生态产品的安全能力等多种能力的协同一致与战术统一,大幅度提高安全风险的识别、保护、检测、响应、恢复等各项能力。
从产品的大脑到生态的大脑
以前用户购买一个安全产品,这个产品可能会自带一些威胁情报。但是,用户购买10个厂家的产品,其实不需要对接10家的威胁情报。用户对于数据聚合、分析能力聚合,以及云端能力聚合的诉求,促成了360核心安全大脑的诞生。
360核心安全大脑3.0十分契合用户的需求,可以将多种网络安全能力汇总到一个统一的平台上,再为各个网络安全产品赋能,从而全面提升政企用户体系化、实战化的数字安全能力。
对于规模不尽相同的政企客户来说,既可以直接购买由360核心安全大脑加持的安全解决方案,比如“EDR+360核心安全大脑”、“NDR+360核心安全大脑”、“XDR+核心安全大脑解决方案”,也可以打造安全运营中心,以核心安全大脑为中枢,将360各种产品的分析能力、第三方的分析能力,乃至用户自身的分析能力运行在此,另外各家的云端情报、安全SaaS服务等,也都能通过这个平台实现统一汇聚,从而让用户获得完整的分析能力。
“360核心安全大脑在生态中的定位有点像Intel inside。”高瀚昭解释说,“我们希望合作伙伴能够基于360核心安全大脑开发自己的业务应用,并将其交付给用户,数据的运营在用户侧,360核心安全大脑只是帮助用户做安全分析,用户因此还可以获得360云端的各种能力。360核心安全大脑提供一个合理的授权模式,旨在降低使用成本,至少比合作伙伴自己开发和维护一套安全大数据分析平台的成本低。”
在国内的安全行业,每家厂商都希望自己做“全家桶”。但是术业有专攻,360希望借助核心安全大脑的推出,让更多新兴企业能够专注在自己最擅长的领域,未必都要自己重头开发一套大数据平台,或重新定义一套数据标准。它们完全可以借助360核心安全大脑开发自己的数据安全、云安全、零信任安全等各类产品,有效避免重复投入和恶性竞争。这也是360核心安全大脑倡导的“安全核心Inside”的实质。
当前,360的所有产品都集成了核心安全大脑。接下来,360将向各类生态厂商提供核心安全大脑这样一个组件,让它们基于核心安全大脑进行二次开发,建设自己的安全能力体系,并且能与360现有的安全体系框架互联互通。当然,这是360的一个长远目标。