“我们希望给大家带来‘耳目一新’的感觉。”
5月25日,华为在北京举办首场“2018华为网络安全中国行”活动,华为网络安全领域总经理宋端智在启动会上说道。
这是华为首次举办“网络安全中国行”活动,接下来的两个月中,其轨迹还将覆盖济南、广州、南京、上海、杭州等城市。谈及初衷,宋端智说:我们希望华为在网络安全领域的形象让大家耳目一新,另外展现华为网络安全给国内网络安全行业带来的一股新风。
华为网络安全领域总经理宋端智
为什么强调“新”字?说起对华为的印象,多数人不会给华为打上“安全”属性的标签,即使有对华为安全了解的人也可能会说“你们在防火墙这类盒子上好像比较强”,这样类似的话也正是宋端智过去一年中跟不少业内人士、客户进行交流时得到的反馈。
这样的反馈显然和华为安全的实力不符,在“2018华为网络安全中国行”北京站的现场,宋端智着重用三个数字关键词去强调华为在安全领域的投入:2500、44.85亿、2892。截至2017年底,华为在安全领域投入的研发人员数超过2500人;2017年华为在安全上的研发投入达44.85亿人民币;同样截至2017年底,华为在安全上面的发明专利达到2892个,这其中很大一部分是国际专利。
“这些数字跟国内的安全厂家相比,应该说首屈一指,在国际上也可以做到Top前几名。”宋端智说。
基于此,华为希望提升数字世界的安全性,包括华为安全全球7个研发团队和2大实验室对云安全、IoT安全、AI安全、大数据安全等不断进行着前沿技术的研究,并应用到对客户业务场景保护的安全解决方案中。
要说当下,在威胁越来越多、攻击越来越隐蔽、扩散异常迅速的安全环境下,该如何提升防护的手段?华为所推崇的SDSec(Software-defined Security,软件定义安全)理念的的确确给网络安全行业带来一股“新风”。
SDSec也正是宋端智所强调的华为安全带来“耳目一新”的重要表现之一。
SDSec构建安全有机体
实际上,SDSec并不是一个新的概念也不是第一次出现在大众的视野当中。起初,Gartner对SDSec的定义聚焦于策略管理,即在业务运维的角度进行优化,主要考虑如何灵活敏捷的获取、编排、调整、扩容,从而进行安全资源和策略的灵活调配。
但华为对SDSec的定义已经超出了Gartner对其定义的范畴,今年三月份,华为正式发布全新的SDSec安全解决方案,其核心致力于将被动、单点防御演变到主动、整网防御,从人工运维到智能运维。
华为SDSec构建了安全的“有机体”,其三层架构——分析器、控制器、执行器,组成了安全协同联动的“大脑”、“中枢神经”和“四肢”。
分析器(大脑)负责分析和进行决策,也就是根据收集的信息判断哪些是威胁,威胁有多严重,该如何处理。例如核心组件之一大数据智能安全分析系统(CIS,CyberSecurity Intelligent System),其具备对包括APT高级可持续威胁在内的各类安全威胁,可基于大数据、AI技术进行精准检测、态势感知、Kill-Chain溯源等。
控制器(中枢神经)接收分析器的指令,然后通知四肢要做什么样的动作,进而进行威胁阻断。例如核心组件SecoManager,它可以获取SDN控制器拓扑和资源管理输入,结合分析器的智能检测结果,以及从采集器中收集的数据,对执行器进行业务管理和策略优化。
执行器(四肢)主要负责安全防御动作的采集上报和执行。上报的形式包括日志、事件、Metadata、NetFlow、漏洞、信誉等等,执行的动作包括告警、阻断、报表呈现、短信通知等。值得一说的是,执行器并非仅是以防火墙为代表的专业安全网元,此外还包括以交换机、路由器为代表的数通网元,以及以探针为代表的第三方网元。
宋端智强调,华为SDSec安全解决方案的三层架构构建了智能化、自动化的闭环体系,它们之间协同联动从而帮助企业进行主动安全防御。
SDSec四大技能
也许你觉得华为SDSec安全解决方案所传递价值特性有些抽象,宋端智则用“火眼金睛”、“全民皆兵”、“天罗地网”和“运筹帷幄”四大技能对SDSec进行了更形象的阐释。
火眼金睛:华为SDSec恶意文件的识别准确率可以达到99.5%,这依赖于华为首次引入动态行为机器学习技术的第三代沙箱。传统沙箱基于操作系统层,如同在房间放了一个摄像头,但容易被嫌疑人发现,一旦被察觉,也就意味着可能不会再进行恶意行为。华为第三代沙箱基于Hypervisor动态行为检测,看不到也不需要理解病毒的执行的操作系统,病毒也感知不到有人在监控他的行为。这样设计的益处是,能够从根本上防止威胁的躲避,从而可实现360度无死角的监控。
全民皆兵:传统的全网协防,可以联动安全网元(如防火墙类),但缺少非安全网元(如交换机),因此仍然无法在掌控全网拓扑和数据的基础上进行全局的大数据分析。现在,华为SDSec把网络设备发展成摄像头和民兵,一方面可以根据需要提供流量给分析器,另一方面也可以接受分析器和控制器的决策指令。
天罗地网:来源于“deception”技术,一方面华为引入deception技术,另一方面借助自研ENP芯片带来的网络可编程优势,在全网网络设备上,内置诱捕系统,在黑客非法扫描嗅探的阶段,即主动响应扫描,散布诱饵,通过互动行为判断对方恶意行为。
运筹帷幄:所有的安全技能能够产生效果,需要一个类似诸葛亮的角色,稳坐中军帐运筹帷幄,对全局的策略进行管理。这得益于上述提到的华为发布的安全控制器SecoManager,协同软、硬件,华为及第三方的安全组件实现统一安全业务编排与管理,并实现网络与安全深度协同实现策略联动,抵御威胁。
联合伙伴共建全网协同防御
当然,从单点防御到整网防御,并不能依靠某一个厂商的力量,华为同样认识到这一点。在今年3月份的华为中国生态伙伴大会上,华为主导发起“华为安全商业联盟”,通过深度整合联盟伙伴的领先产品,实现终端、网络、应用等不同层面之间的协同联动。这同样符合华为SDSec的理念,从而构建全网协同立体防御体系。
目前已有启明星辰、亚信安全、安恒、微步在线、天融信、江民科技、盛邦安全等联盟伙伴加入,覆盖网络、终端和应用等多个层面,以实现不同业务场景下的安全防护。
“我们希望在SDSec的框架下把业界顶尖安全厂家的力量联动起来,共建全网协同立体防御体系。”宋端智说。
如此,才是护航数字化转型、防患于未然的正确姿势。