如何驱动新一代安全防御体系
基于规则:它们根据安全产品事先所设置的规则进行防御,该访问什么样的网络、哪个应用程序可以通过...规则决定允许还是拦截。
基于特征:它们基于文件特征进行过滤,监控网络流量,根据URL、关键字和时间等进行访问控制...特征决定白还是黑。
基于库:它们基于安全产品背后的“库”进行识别,库里有什么没有什么也就意味着安全产品能干什么...库决定安全还是风险。
基于云计算:云不再有边界,只有它才能将所有的安全防护产品和解决方案联动起来,并构建安全生态圈
基于大数据:安全考验的不只是攻防技术,越来越多的是大数据能力,包括大数据采集、存储与管理、分析与挖掘等
基于威胁情报:有效利用各类威胁情报技术,通过数据与情报的共享,实现跨产品的集中式安全检测与自动化响应
韩永刚"处在网络空间安全技术变革的时代,威胁情报被越来越多的企业与组织所采用,成为安全检测与防御体系的关键点。不论是在高级威胁发现,安全管理运营(iSOC),还是终端与网关的检测与响应(EDR/NDR),威胁情报都赋予了我们新的动力。高价值威胁情报的生产离不开大数据能力,而又要结合到大数据安全分析中去,才能发挥更好的作用。情报驱动成为连接新一代安全协同体系中各个环节的纽带。"
张聪"传统的终端安全技术在应对未知威胁、APT威胁越来越力不从心,新一代的终端安全技术在将传统终端安全的能力发挥到极致的同时,引入了终端检测与响应的思路,持续监测终端的状态、历史和实时数据,记录在大数据平台,通过与战术和战略威胁情报的结合,实现对未知威胁的多层次、多维度的检测,并在威胁造成实际影响之前,通过自动化响应手段将其遏制并处置。"
王伟"有了威胁情报的支撑,防火墙不在局限于网络隔离、访问控制等传统能力,不但具备已知威胁的防御能力,还具备了对高级威胁的检测发现和处置能力。利用威胁情报,防火墙可将网络行为数据与威胁情报数据进行碰撞,准确定位到网络中的失陷资产;利用威胁情报,防火墙可以进行递进查询、拓线分析,拓展信息维度,调查隐藏更深的高级威胁;利用威胁情报,防火墙可以检测失陷账号,保护企业核心数据的访问安全。"