御敌于企业之外,让黑客“进不来、藏不住、偷不走、打不坏”,这是每一个企业CSO的“梦想”。不过要将如此完美的安全防御理念完全落地并不容易,因为企业面临的是到处看不见的风险,这包括无处不在的攻击、随时可能暴露的系统漏洞,以及内部操作失误或蓄意泄露等。
多年以来的安全实践,CSO们已经意识到,要做到“绝对安全”是不可能的。但在这个不可能完成的绝对安全任务之上,以一个完善的防御体系拉长攻击者的攻击链条、抬升攻击成本、将安全风险降到最低却是可能的。
如何实现这一目标?这需要安全防御从尽力而为向确定性安全迈进,准确地说是面向确定性业务的韧性保障。
“正向建、反向查”,增强安全确定性
如何迈向安全的确定性,华为提出的“正向建、反向查”提供了良好思路。何为“正向建、反向查”?具体而言:
“正向建”首先打造基础设施可信,通过供应链可信、硬件可信和软件可信,构建ICT基础设施的“可信基座”;其次构建确定性网络,通过SRv6、FlexE切片等IPv6+技术,避免不符合预期的流量,确保“网络可信”;第三构建可信任身份,基于数字身份和信任评估框架,加强设备、人员入网可信身份验证,确保“身份可信”。
“反向查”首先通过全域监测,查漏洞、查病毒、查缺陷、查攻击;其次通过智能防御,基于AI的威胁关联检测,云地联邦学习,大幅提升威胁检出率;第三构建一体安全,以云网端协同防护,提升网络韧性。
可以总结出,“正向建”以可信的视角打造信任体系,是一种内生安全,目的为降低系统内部的“不确定性”;“反向查”从点到面、以技术升级构建威胁防御体系,目的为消减外部威胁带来的安全“不确定性”。就像我们建一栋房子,一方面通过挖深地基、以更有韧性和强劲的钢筋水泥让房子本身更坚固,另一方面架起围墙、搭好监控系统抵御侵犯。
同理,对于企业而言,基于“正向建、反向查”的思路,从内到外可构建出一张可信、安全的网络,进一步增强安全确定性。基于这一思路,在日前举行的华为全联接大会上,华为宣布对HiSec安全解决方案进行全新升级。
四大特征看懂华为HiSec 3.0安全能力升级
华为安全产品领域总裁马烨表示:“未来网络安全建设应该遵循正向建、反向查的思路,构建可信一张网。此次全新发布的安全解决方案HiSec 3.0正是该思路的全方位落地,以智能分析、动态检测、全局防御和内生可信为特征,为客户提供准、快、稳的安全防御,构筑韧性安全网络”。
在智能分析、动态检测、全局防御和内生可信四大特征和能力上,HiSec 3.0进行了全面升级。
首先,在智能分析方面,华为安全通过全球布局的安全实验室,持续构建基于AI的情报生产能力,并通过AI技术实现了高性能的精准检测。华为每天在云端提取数十亿级请求事件、千万级攻击事件、百万级恶意样本,自动训练智能检测模型,自动提取恶意签名,从而让高性能精准检测成为可能。
在此方面,华为汇聚的全球安全能力、全球洞察,以及对AI的深入研究(如独家云地联邦学习等),让其在安全智能分析方面的表现极为出色。在与海外某主流厂商的PK测试中,在同样样本的情况下,华为安全的恶意文件威胁检出率达到97%,领先A厂商12%,威胁误报率<0.05%。
其次,在动态检测方面,华为通过动态检测和分析终端、用户、流量、应用等信息,基于领先业界平均水平的10万+设备签名、10+种身份鉴别方式和96%+的威胁检出率,实时评估安全程度。
在此方面,华为安全打破了马奇诺防线式的静态防守,如同疫情的快速检测一样,实现了实时、动态刷新网络“安全码”,确保无攻击意图的人能进来,有攻击意图的人能防住。在上海某区攻防演练期间,同一部署位置、同一流量模型在同样的时间内进行测试,五家主流安全厂商中,华为提供的报告数量最多,背后华为基于智能图谱关联分析等技术实现的动态检测发挥了关键作用。
第三,在全局防御方面,华为立足于云、网、安全三方面的优势,通过统一编排和业务联动践行云网安一体化,实现近源威胁阻断、秒级威胁处置,确保威胁不扩散。
全局防御是华为近年来不断打造的核心安全能力之一,即通过云网安一体化让安全能力在企业的网络中无处不在,威胁出现在哪里,安全的大锤就从哪落下去。同样拿疫情防控举例,全局防御如同小区、街道、城市、国家启动的“联防联控”,快速处置,确保将威胁控制在最小范围不扩散。
最后,在内生可信方面,华为构建了设备可信、网络可信、连接可信的三级内生可信安全架构,确保核心技术、关键部件、基础协议、系统架构安全可信,满足行业网络端到端的安全需求。设备可信围绕供应可信、硬件可信、软件可信、安全可信启动等强化设备内生安全;网络可信围绕协议可信、组网可信、主动防御构筑网络韧性;连接可信围绕设备信誉、身份信誉、应用信誉确保连接安全。
毫无疑问,可信是构建网络安全的重要支柱,华为在可信能力的构建上似乎不用多言,全栈可信、自主可控,华为安全做到了更好地守护安全底线。
打不垮、穿不透,构建安全韧性
可以看出,以智能分析、动态检测、全局防御和内生可信为特征,华为HiSec 3.0打造的这套安全架构更准、更快、更稳,并消除了一系列内外安全风险的不确定性。同时,HiSec 3.0也让安全更具韧性,面对暴击,打不垮、穿不透。
华为安全解决方案首席架构师王雨晨指出:“HiSec 3.0实现了从针对威胁的防御到面向业务确定性保障的思路演进。基于内生可信、威胁检测分析算法、自动化管理与风险评估等根技术,HiSec 3.0从系统内生安全、威胁防御、运营管理流程三个维度构筑韧性技术架构,确保守住系统安全底线。”
内生安全“身体好”、威胁防御“有好药”、运营管理流程“家庭医生”般地进行全生命周期安全评估与响应,最终实现“人+流程操作+技术工具”的韧性安全保障体系。
在这套安全体系中,华为还通过安全商业联盟,汇聚业界安全“长板”技术,共享开发流程、可信标准和质量体系,提升安全方案整体可信和质量水平,真正做到护航行业数字化转型,让企业在深耕数字化过程中不被安全风险所羁绊。
以此来看,让威胁“进不来、藏不住、偷不走、打不坏”,御敌于企业网络之外,CSO们的梦想其实可以成真。
