下一座圣杯 – RSAC2016随笔之三

围观次数:667 views

RSAC-1
各位看官对趋势预测都很感兴趣,纷纷留言发表自己的看法。话说要是大家都猜对笔者心中所想,那岂不是有点无趣?让我们先聊聊一些广泛认同的热点,以及他们不是答案的原因,最后再揭晓安全行业下一座圣杯。

人工智能和机器学习(AI & Machine Learning)

没猜对。AlphaGo确实掀起一股狂潮,看看最近的各类融资沙龙活动,AI已经成为继大数据、智能硬件、O2O等之后项目数量最多的。但是,机器学习只是基础技术,会应用在安全的各个领域,掌握此能力的厂商必然会拥有极大的竞争优势,AI仍需特定安全场景才能发挥其作用。RSA总裁Amit Yoran在开幕演讲中也提到机器学习和人工智能将发挥重要作用。本公众号曾多次发文详述机器学习在安全领域的应用,从恶意域名识别(DGA、钓鱼、Botnet等),到发现未知威胁线索(恶意代码、数据盗取、特权账号异动等),到用户行为分析等等,感兴趣的读者可查看历史消息。AI这两年的逐渐成熟造成了一种现象,机器学习砸在任何领域都能立刻见到成效,在安全行业经过挖掘后还可以发现更多的应用场景,具体就不展开讲了。例如下图所示我们与合作伙伴的研究成果,利用无监督机器学习,扫描webshell样本,自动聚类,可以迅速甄别木马家族,分辨不同版本,更可利用此结果作为样本训练,利用有监督机器学习的分类器,对未知webshell进行侦测。

webshell-clustering
 
自适应安全(Adaptive Security)

貌似很热,还是没猜对。自适应安全产品的定位有点奇怪。Gartner力推的自适应安全是方法论,是框架,不是产品的分类。市场上以此作为宣传卖点的厂商只有区区几家,例如估值很高的Illumio。下图为其产品实际界面截图,可以一览违反安全策略的网络连接;将疑似被入侵的主机拉入到隔离组,策略和规则随之立即改变。

illumio-1

笔者初看时觉得十分惊艳,一段时间后看来看去更像自动化运维,似乎与Gartner的自适应安全架构还颇有些区别。貌似Illumio并没有预知、检测等能力,只是能帮助管理员快速更改配置为不同的预置规则,恐怕灵活调整应对措施的功能也没有,更无法应对高级攻击。国内市面上也有一些类似的被称之为网络安全域的产品,只是用户界面没有做到拖来拖去的易用性程度。

adaptive-architecture

不过笔者认为自动化安全运维市场潜力巨大。现在安全人员的工作强度和压力非常之高,能降低工作量并提高效率的产品肯定会广受欢迎。我总觉得vmware的微隔离新产品NSX也是这个路数。

vmware-nsx-1
 
数据安全 (Data Security)

想来有些看官会故意猜测此点,因为笔者公司主业就是做数据治理和安全的。是的,数据的重要性日益突出,是价值越来越高的资产,也容易招来内部和外部恶意人士的觊觎,因此成为CISO们优先考虑的预算方向。但大家都知道从二三十年前开始,数据一直就是信息安全的关注点,这些年来从未停止过发展,市场一直不算小,创新技术不断涌现,说它是下一座圣杯有些牵强。看看RSAC上提到这几大市场细分规模和厂商数量。

major-bucks

人工智能在数据治理和安全领域的应用已经开始受到广泛关注和欢迎。例如,微软正在向Office 365中部署基于机器学习的文本自动分类功能。我们的新版本产品也十分重视自动化运维的能力。关于数据安全,本公众号也有多篇文章,未来也会继续详述此领域新技术。

 

马上就要揭晓“下一座圣杯”的答案!

 

– – – – – – 答 案 揭 晓 分 割 线 – – – – – –

 

自动化响应 (Incident Response Automation)

哪位看官猜对了?其实蛛丝马迹一直都有。FireEye在收购Invotas后喊出“Alert to fix in minutes”的口号,希望借助其自动化能力实现快速响应:

fireeye-1

Great minds think alike. 这几年借助神一般战略布局毫无争议地跃居安全行业老大地位的IBM Security,又怎会错过这个机会呢?2月29日,在本届RSAC开始的第一天,IBM宣布收购提供自动化响应平台的Resilient。随后马上在国内见到其宣讲材料中已经突出其重要地位。

ibm-resilient-1our-irp-experience


安全行业这两年来,思维模式已经从单纯强调防护,转变到注重预警、检测、响应的格局。具体也可参照前文中Gartner自适应安全架构图。而应急响应在过去10年中明显积累不够,有经验的应急人员奇缺,处置流程五花八门效率底下,效果令人堪忧。Gartner预测到2020年,60%的安全预算会投入到检测和响应中。缺少响应这关键一环,预警和检测就变成了瘸腿的笑话。短板在哪里,预算在哪里,哪里就是大发展机会!

大型厂商已经在布局,又如何少得了创业公司呢?本届RSAC上Sandbox赢家Phantom亦是专注于自动化响应:

phantom-1phantom-2


以后有时间笔者再聊聊自动化响应产品的设计思路和实现难点。下一波大潮已来,正计划创业或大公司负责产品战略规划的看官们,准备好了吗?

 

 

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助