整个安全产业的技术演化,本质上会沿着“特征驱动>数据驱动>智能驱动”的路径演化;形式上会沿着“机器自动化>人机协同>自动化编排与响应”的路径演化。
早期的安全产品都是基于威胁的捕获、分析,并产生相应的“特征(Signature)”,然后对识别后的威胁进行防御的“特征驱动”模式。该机制会让特征库成为产品的核心竞争力,识别与防御引擎本身技术壁垒不高。特征库可以通过“逆向”方式获得,因此安全创业的基本模式就是:一群了解产品和拥有客户资源的资深员工,直接出去拷贝一份代码、逆向一下特征库就能立刻推出产品并产生现金流。
特征驱动模式会导致 “作坊式”与“后发式”的人,无法应对威胁的规模化产生。而威胁的强经济属性,会导致威胁更加复杂、破坏行为更加低频、威胁显式发现更加困难、威胁对抗效率更加低下,因此安全技术一定要向“数据驱动”模式演化。
数据驱动其实包括两件事情:一是威胁情报体系。威胁情报是2015年之后全球已经达成共识的技术,通过一个通用、动态可运维的外围知识库,就能够将威胁的蛛丝马迹变成明显的“入侵路径”,这就是业内称为“根据线头找线索”的威胁溯源过程。
二是数据采集和分析体系。通过前端探针采集,后端存储、建模、分析,再加上威胁情报,最终可以将隐性威胁显性地分析出来。另外还可以对显性威胁进行全局测绘,看到全网威胁态势。谈到这里,大家应该能感觉到,数据驱动模式就是我们常说的态势感知,只是不同厂商的态势感知产品功能形态差异很大。
本质上态势感知就是利用内外部数据源的碰撞,加上后端的分析技术,最终用来发现和描绘未知威胁的一种新理念下的新安全系统。
有了数据,就需要对海量数据进行分析和处理,靠人会导致分析效率低下,因此就会演化到利用AI技术来提高人工分析和处理的“智能驱动”模式。
我们再从技术形式维度来看技术演化趋势。早期的技术形式是“机器自动化”,根据一个已知特征进行自动化匹配和处置。随着威胁复杂化,特征驱动模式会被数据驱动模式取代,数据无法自驱动,总得需要一个外部力量:人,由人来制定数据采集和使用的规则,利用人来分析高级威胁的存在,因此就会进入到“人机协同”阶段。
但是人机协同会导致联动与处置效率降低,为了解决这一矛盾,就需要引入自动化技术来对一些场景进行自动化的编排与自动化的响应。
总结一下,特征码技术解决了威胁的“数量对抗”问题,但是在深度对抗方面处于劣势;数据驱动技术解决了威胁的“深度对抗”问题,但是在处置效率上处于劣势;智能驱动技术解决了威胁的“处置效率”问题。
如果想了解更多网络安全人和事,欢迎搜索微信公众号:锐安全,或下方扫码进入:
用户评论