RSAC2023解讀第5期 | 威脅信息跨界協(xié)同，使能智能防御

?本期解讀專家

RSAC議題中 Analytics Intelligence & Response是討論威脅信息（Cyber Threat Intelligence）和響應相關(guān)內(nèi)容的， RSAC2023該議題中單純討論威脅信息價值、應用、技術(shù)等相關(guān)的內(nèi)容已經(jīng)較少。本期從RASC2023中分散在多個主題下討論的驅(qū)動安全技術(shù)發(fā)展的因素入手，探討通過威脅信息協(xié)同使能安全分析及響應技術(shù)向自動化、智能化演進。

合規(guī)遵從、威脅態(tài)勢、IT技術(shù)發(fā)展、業(yè)務意圖等多種因素共同驅(qū)動了企業(yè)網(wǎng)絡(luò)安全需求和技術(shù)的演進。從外部看，一方面，隨著網(wǎng)絡(luò)安全法律法規(guī)的完善，企業(yè)需要在法律遵從下進行經(jīng)營；另一方面，網(wǎng)絡(luò)威脅逐年增多、攻擊強度增大，企業(yè)需要投入恰當?shù)馁Y源保證業(yè)務安全運營。從內(nèi)部看，IT技術(shù)的發(fā)展改變了企業(yè)IT的技術(shù)形態(tài)，隨之引起安全技術(shù)的變革。

全球網(wǎng)絡(luò)安全威脅持續(xù)增長

據(jù)Statista發(fā)布的統(tǒng)計數(shù)據(jù)，網(wǎng)絡(luò)犯罪已成為世界第三大經(jīng)濟體，且每年以15%的速度增長，相反網(wǎng)絡(luò)安全投資的增長率僅為9.7%。Akamai在報告中提到，針對Web應用和API的攻擊持續(xù)增長，2021年至2022年，總體的網(wǎng)絡(luò)攻擊流量增加了2.5倍。勒索等破壞性網(wǎng)絡(luò)攻擊增多，blackfog發(fā)布的勒索軟件報告中提到，89%的勒索軟件攻擊中都使用了二次勒索的手法——泄露數(shù)據(jù)。更大的資源支撐、更大的攻擊頻度、更大的破壞性已經(jīng)成為每個企業(yè)面臨的基本攻擊態(tài)勢。

全球面臨安全勞動力缺乏

(ISC)2 發(fā)布的2022網(wǎng)絡(luò)安全勞動力研究報告指出，2021年全球網(wǎng)絡(luò)安全勞動力需求為691萬，缺口為272萬；2022年全球需求為809萬，缺口為343萬，相比2021年需求和缺口差距增大。同時，從需要使用安全勞動力企業(yè)來看，約99%的企業(yè)為中小型企業(yè)，但是已有的網(wǎng)絡(luò)安全勞動力大部分流入了大型企業(yè)。

應用自動化技術(shù)解決安全問題

網(wǎng)絡(luò)威脅增長、安全勞動力缺乏、告警疲勞對安全勞動力的消耗等問題是企業(yè)在實施安全項目過程中面臨的主要問題。同時，RSAC2023多個主題中談到了網(wǎng)絡(luò)安全向網(wǎng)絡(luò)韌性的轉(zhuǎn)移，企業(yè)期望得到更多是“確定性的業(yè)務防護”。

針對上述問題和訴求，華為推出了華為乾坤云服務?；谧詣踊治黾夹g(shù)+專家運營模式，為用戶提供覆蓋風險識別、威脅檢測、安全防護、威脅響應全周期的技術(shù)解決方案，逐步實現(xiàn)“確定性的業(yè)務防護”。

自動化分析技術(shù)，包括基于規(guī)則和AI的分析技術(shù)，被嵌入到邊界防護與響應、EDR等多個服務中用于應對網(wǎng)絡(luò)威脅的快速增長和變化。其中規(guī)則和AI決策依賴的場外數(shù)據(jù)由威脅信息服務提供，并由威脅信息形成跨時空、跨服務的數(shù)據(jù)循環(huán)。

威脅信息使能跨界協(xié)同

微軟提到AI應用于安全中的三個疊加的力量包括：人工智能算法、大規(guī)模的算力和數(shù)據(jù)、威脅信息。華為乾坤云服務解決方案中，威脅信息服務作為核心原子服務之一，向其他服務提供了威脅信息數(shù)據(jù)及跨服務的數(shù)據(jù)協(xié)同能力，如下圖所示。

核心的協(xié)同能力包括：

1.單個服務某個業(yè)務節(jié)點時間上的威脅信息協(xié)同，例如，某臺天關(guān)、某臺沙箱、某個EDR Agent節(jié)點感知到的威脅在不同時間跨度的協(xié)同。

2.單個服務不同業(yè)務節(jié)點空間上威脅信息的協(xié)同，例如，多臺天關(guān)感知到的威脅在空間跨度上的協(xié)同，沙箱、EDR Agent亦如此。

3.不同服務間威脅信息的協(xié)同，例如，天關(guān)和沙箱、天關(guān)和EDR、沙箱和EDR間威脅信息的協(xié)同。

4.安全運營人員和各個服務間威脅信息的協(xié)同。

威脅信息服務通過威脅信息協(xié)同可以實現(xiàn)主動防御、未知防御，并基于系統(tǒng)提供豐富、結(jié)構(gòu)化的數(shù)據(jù)，使能基于AI算法的威脅分析及研判，進而提升攻防對抗的時效和實效。

結(jié)束語

云計算技術(shù)發(fā)展帶來企業(yè)IT部署形態(tài)和交付形態(tài)的變化，進而引起安全控制位置的轉(zhuǎn)移，從而驅(qū)動安全產(chǎn)品形態(tài)及功能的演進。AI技術(shù)的發(fā)展提升了攻防對抗的效率并豐富安全防護功能的實現(xiàn)方式。華為乾坤云服務基于云計算技術(shù)、AI技術(shù)及華為安全智能中心長期的能力積累提供托管的云服務，為實現(xiàn)向客戶提供“確定性的業(yè)務防護” 持續(xù)努力。

點擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！