下一代信息安全-基于情报感知的信息安全（内含情景感知安全的解读）

之前转发的同志不好意思了，前一篇发了以后发现问题较多，删掉重新修订发一次。 前几天分享的一篇2014年信息安全趋势与总结（http://www.sec-un.org/gartner-information-security-trends-and-2014-summary.html）中提到了未来信息安全发展的一个重要方向，基于情境感知的安全。很多同学都反映，这个太扯蛋了，什么是情景感知啊。之前篮子同学也发了一篇，大数据与大规模网络安全感知（ http://www.sec-un.org/large-scale-network-security-perceptions-and-big-data.html）里面也听到了网络安全感知的概念。 其实基于情境感知安全并不复杂，其核心就是情境。所谓情境感知，其中的一个应用方式就是通过Intelligence-Aware情报感知。说到Intelligence，大家可以想起来我之前分享过好几篇的Threat Intelligence了吧。今天就重点介绍一下这个Intelligence-Aware情报感知，各位借此也可以对什么是基于情境感知的安全有个粗浅了解。 这里又出现了一个新的潮词，IASC（Intelligence-Aware Security Control）基于情报感知的安全控制。目前在国际上已经比较普遍的认为其是信息安全发展的下一个方向。 目前传统信息安全解决方案和产品普遍面临以下四个问题： 传统的孤立的安全控制被攻击者绕过的几率日趋增加-面对新形态的APT攻击，传统的防火墙、入侵检测和防病毒难以起到作用； 基于人和业务流程的控制响应过慢-人来做响应太慢，自动化的攻击在几分钟内已经可以完成包括扫描、入侵、植入后门等一系列动作； 攻击者在攻陷外部系统后，普遍会向内部网络做进一步的渗透-黑客的攻击链更长，攻击面更大，渗透更深入； 安全相关数据分布在不同的系统中，不能有效统筹响应-单点发现的情报，不能有效地进行共享。 因此，安全技术的保护策略必须改变，未来的安全方案必然向自动化的行为学习，情报分享，高级分析，自适应等技术转变。 与之同时，威胁复杂度、速度、架构改变和分析能力都在驱动着安全技术的转变。 威胁复杂性的提升，要求我们的技术方案也需要进行适应，终端、服务器、应用系统、网络系统、安全系统之间需要能够进行关联互动； 速度的提升，完成一次攻击速度更快，响应的速度也需要进一步的提升； 架构的改变，IaaS、PaaS、SaaS、BPaaS逐渐的引入，传统安全技术已经不能满足需求，如SECaaS等已经成为新的趋势； 分析能力的提升，以前传统分析技术难以满足海量数据分析、复杂关联分析、实时性展示等需求，而大数据技术的成熟，让更复杂、更快速的分析成为可能。 那什么是基于情报感知的安全控制（即IASC）呢？ IASC框架包括基于情境感知（分析Who、What、Where、How等问题，主要是进行深层管理分析），安全情报（情报的共享，以及利用安全情报进行响应），可机读的安全情报（即可以利用系统可识别的方式来进行情报交换）和实时情报共享交换架构。 这个我之前有篇基于说Threat Intelligence的，里面分享过我之前设计的一个架构（可参见 http://www.sec-un.org/smart-ppt-sharing-threat-information-sharing.html）。 情景感知的例子，在用户访问应用或数据的时候，通过基于对情景的综合分析通过认证、访问控制等方式进行安全控制。 简单的情景可包括： Who，低可信度的用户（比如已经中毒的用户，发现存在攻击行为的用户） What，来自不支持的Linux 终端的访问（客户端都是Win 7，突然来了个Linux来访问自然不正常） To What，访问敏感数据（是否访问的是敏感数据） When，周末凌晨的访问（这明显不是工作时间，访问也明显异常） Where，来自没有业务海外的访问（这也很明显异常） 基于情境感知的安全也没这么复杂吧。 了解完IACS，是不是发现这个跟数字公司和企鹅公司的客户端安全，或者是某宝的支付客户端安全控制看起来架构都是很像啊。 对，这就是我以为他们的下一步方向，客户端采集（病毒感染情况、恶意代码、终端其他信息……），云端判断分析形成情报（客户端信誉情况、支付风险情况、服务信誉情况……），然后做为下游安全控制的输入（可以包括客户端软件、支付系统、甚至防火墙等安全设备）。BAT3们，应该也都想到了吧^_^，这是一个新的生态圈。 逐渐进入重头，NG防火墙的下一代是啥！基于情报感知的防火墙！   去年我就给很多人灌输，数字公司啊、企鹅公司、某里啊，都会利用其端/云优势，杀入企业安全市场。怎么杀入呢，其中一个方式就是利用其在客户端、云平台中得到的传统安全公司得不到的安全情报，形成新一代的安全解决方案冲击企业市场。现在还没见人搞，让人捉急啊，没想明白的可以找我来培训一下怎么颠覆传统企业安全市场^_^。这当然不仅仅指的是形成单独的安全产品，还有新的服务形态。 部分内容系引用Gartner免费Webinar，感兴趣可去其网站搜索。 发完收工。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/