《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 科來林康:以“全流量”看清數(shù)字時代安全風險

科來林康:以“全流量”看清數(shù)字時代安全風險

2021-07-31
來源: 中國信息安全
關(guān)鍵詞: 全流量 數(shù)字時代 安全

  記者:“十四五”規(guī)劃綱要明確提出“加快數(shù)字化發(fā)展”“加強網(wǎng)絡(luò)安全保護”,您如何理解這兩者之間的關(guān)系?網(wǎng)絡(luò)安全行業(yè)該如何落實這些要求?

  林康:2021年3月11日,十三屆全國人大四次會議表決通過了《中華人民共和國國民經(jīng)濟和社會發(fā)展第十四個五年規(guī)劃和2035年遠景目標綱要》(以下簡稱“十四五”規(guī)劃綱要)的決議,網(wǎng)絡(luò)安全已經(jīng)確定成為未來中國發(fā)展建設(shè)工作的重點之一,時間跨度長、覆蓋面廣?!笆奈濉币?guī)劃綱要在網(wǎng)絡(luò)安全側(cè)釋放的國家戰(zhàn)略信號明確,共提及“網(wǎng)絡(luò)安全”14次,涉及數(shù)字經(jīng)濟、數(shù)字生態(tài)、國家安全、能源資源安全四大領(lǐng)域。其中,規(guī)劃綱要所提出的“數(shù)字化轉(zhuǎn)型”關(guān)鍵詞引人矚目,“迎接數(shù)字時代,激活數(shù)據(jù)要素潛能,推進網(wǎng)絡(luò)強國建設(shè),加快建設(shè)數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字政府,以數(shù)字化轉(zhuǎn)型整體驅(qū)動生產(chǎn)方式、生活方式和治理方式變革?!?/p>

  事實上,“加快數(shù)字化發(fā)展”與“加強網(wǎng)絡(luò)安全保護”二者是相輔相成的。網(wǎng)絡(luò)安全是“數(shù)字化發(fā)展”的重要保障,同時又屬于其重要數(shù)字產(chǎn)業(yè)之一,是數(shù)字化發(fā)展的關(guān)鍵基座,承托著上層技術(shù)發(fā)展的安全與穩(wěn)定,發(fā)揮著基礎(chǔ)性、支撐性、保障性的作用。網(wǎng)絡(luò)與信息安全不再是信息系統(tǒng)的附屬品,而是像日常生活中的水電煤氣一樣,逐漸成為新型基礎(chǔ)設(shè)施、數(shù)字經(jīng)濟、數(shù)字社會、數(shù)字政府、數(shù)字生態(tài)發(fā)展的必需品,國家數(shù)字化進程越快,網(wǎng)絡(luò)安全的重要性就越明顯。

  與此同時,“十四五”規(guī)劃綱要也對網(wǎng)絡(luò)安全產(chǎn)業(yè)提出了明確要求。網(wǎng)絡(luò)安全與數(shù)據(jù)安全,不再是傳統(tǒng)的外圍加固、松散整合的模式,而是融入數(shù)字化發(fā)展的方方面面,賦能安全保障。在“十四五”規(guī)劃綱要網(wǎng)絡(luò)安全保護章節(jié)中,還提出了要提升“網(wǎng)絡(luò)安全威脅發(fā)現(xiàn)、監(jiān)測預(yù)警、應(yīng)急指揮、攻擊溯源能力”,構(gòu)成了網(wǎng)絡(luò)安全的發(fā)現(xiàn)、預(yù)警、指揮、行動、溯源的多環(huán)節(jié)動態(tài)閉環(huán)管理,為網(wǎng)絡(luò)安全統(tǒng)籌管理能力建設(shè)指明方向。

  網(wǎng)絡(luò)安全產(chǎn)業(yè)從業(yè)人員在發(fā)展網(wǎng)絡(luò)安全技術(shù)的同時,要有家國情懷,要有國家利益高于一切的格局;不同細分領(lǐng)域的安全廠商,在各自專精的技術(shù)領(lǐng)域攻堅突破,勇于比肩世界前列,在對標國際頂級技術(shù)的同時,對內(nèi)賦能,形成合力。在堅持自主可控的大前提下,安全廠商還要關(guān)注那些“卡脖子”的底層安全技術(shù)發(fā)展。目前,中國網(wǎng)絡(luò)安全市場重應(yīng)用、輕技術(shù)的傳統(tǒng)格局亟須重塑,促使市場轉(zhuǎn)型進入技術(shù)驅(qū)動型市場,“關(guān)鍵核心技術(shù)實現(xiàn)重大突破,進入創(chuàng)新型國家前列”。落實“十四五”規(guī)劃綱要對網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展要求,我認為,兩個“既要、又要”至關(guān)重要:既要在精專領(lǐng)域各自為戰(zhàn),又要相互融合、對內(nèi)賦能;既要在技術(shù)應(yīng)用層創(chuàng)新發(fā)展,又要在關(guān)鍵核心技術(shù)領(lǐng)域投入研發(fā)。

  記者:科來自2003年成立至今專注于流量分析領(lǐng)域,已經(jīng)成為該領(lǐng)域的領(lǐng)軍企業(yè)。請問科來為什么選擇流量分析這個賽道?

  林康:科來創(chuàng)始人是國內(nèi)最早研究網(wǎng)絡(luò)流量分析技術(shù)的專業(yè)人員。彼時流行的國外軟件雖然功能強大,但操作非常復(fù)雜,而且界面使用不符合國人習慣。2001年,我們決定獨立研發(fā)面向國人的網(wǎng)絡(luò)流量分析產(chǎn)品。在安全領(lǐng)域,科來在與用戶不斷地深入溝通中,意識到網(wǎng)絡(luò)流量分析技術(shù)在諸多方面可以滿足網(wǎng)絡(luò)安全的需求。傳統(tǒng)的基于策略、特征的安全產(chǎn)品,在面臨“針對性攻擊”(當時還沒有APT的說法)的時候,很難被發(fā)現(xiàn)。而通過網(wǎng)絡(luò)全流量分析,尤其是科來全協(xié)議識別與解析的技術(shù)能力,效果則十分顯著。于是,科來開始在安全方面投入專門的團隊和資源做相應(yīng)的研究,衍生出一套跟傳統(tǒng)信息安全在思路上截然不同的分析方法和平臺。

  科來專注從事研究的網(wǎng)絡(luò)流量分析技術(shù)是底層基礎(chǔ)信息技術(shù),在不同領(lǐng)域有豐富的應(yīng)用場景。類似于醫(yī)學中的“血檢”,作為檢查身體健康的基礎(chǔ)手段,它既可以檢測身體內(nèi)部器官強弱,也可以檢測身體是否受到外部病毒感染,例如“血檢”最近一個新的應(yīng)用場景,就是通過血液檢測新冠疫苗是否在體內(nèi)產(chǎn)生抗體。

  網(wǎng)絡(luò)流量分析技術(shù)是一個至關(guān)重要的基礎(chǔ)技術(shù),擁有豐富的應(yīng)用場景。在我國多項核心技術(shù)被“卡脖子”后,科來更是堅定了在該項技術(shù)上持續(xù)投入研發(fā)的決心,中國科技的未來不僅要有中國心,還要有中國之骨血、發(fā)膚,才能撐起祖國崛起的身軀。

  記者:從用戶角度來看,流量分析對他們的最大價值是什么?

  林康:流量分析技術(shù)的價值體現(xiàn)在很多方面,例如在運維工作中保障業(yè)務(wù)的高效、穩(wěn)定運行,一方面,提升整體運維的成熟度;另一方面,是成為企業(yè)數(shù)據(jù)分析與運營的核心,提供業(yè)務(wù)規(guī)劃的決策支撐依據(jù)等。

  在網(wǎng)絡(luò)安全方面,科來利用流量分析技術(shù)為用戶提供了從“上帝”視角審視全局的方式和方法,通過全方向全流量的回溯分析,能夠做到安全監(jiān)測無死角,讓企業(yè)具備對安全風險的發(fā)現(xiàn)能力、分析能力、識別能力和處理能力,幫助用戶整體提升網(wǎng)絡(luò)安全防護級別。

  傳統(tǒng)的安全防護手段,只能解決已知安全威脅,無法判斷入侵程度,無法感知新型未知攻擊手段。它亟需加入新鮮視角,要“以‘全流量’構(gòu)建未知威脅預(yù)警與處置框架”??苼碚J為,在技術(shù)層面具備“三全”“三可”才可以稱為網(wǎng)絡(luò)“全流量”,即通過全流量保存、全協(xié)議解析、全行為建模實現(xiàn)對流量數(shù)據(jù)的可回溯、可追溯、可攔截。但僅僅擁有全流量還是不夠的,還需要擁有網(wǎng)絡(luò)全協(xié)議的解析與識別能力。網(wǎng)絡(luò)協(xié)議如同網(wǎng)絡(luò)中的語言,只有掌握了語言能力,才能充分地理解網(wǎng)絡(luò)中的流量。科來經(jīng)過18年的積累,已經(jīng)擁有針對上萬種網(wǎng)絡(luò)協(xié)議及應(yīng)用的識別與解碼能力。

  科來還有18年的實戰(zhàn)經(jīng)驗,用來連接技術(shù)與用戶。這種完善的落地經(jīng)驗輸出,直接降低了用戶試錯成本,正如科來創(chuàng)始人羅鷹所說,“今天的網(wǎng)絡(luò)對抗已經(jīng)上升到戰(zhàn)爭的層次,實戰(zhàn)經(jīng)驗越來越重要。以醫(yī)學為例,學醫(yī)過程非常艱苦,但學完之后還要不斷積累臨床經(jīng)驗,才能做一名合格的醫(yī)生。這里的經(jīng)驗積累發(fā)揮了非常重要的作用,我們把這種能力叫作實戰(zhàn)經(jīng)驗?!?/p>

  記者:在各行各業(yè)都在進行數(shù)字化轉(zhuǎn)型的今天,您認為企業(yè)面對的主要安全風險都有哪些?企業(yè)如何利用流量分析來提升新形勢下自身的網(wǎng)絡(luò)安全防護能力?

  林康:事實上,我們在服務(wù)用戶的過程中,確實發(fā)現(xiàn)了非常多的、容易被忽略的風險,具體歸結(jié)為以下四點:

  1. 用戶根本不知道自己是否被黑或被黑過

  隨著我國數(shù)字化建設(shè)的推進,網(wǎng)絡(luò)安全形勢更加嚴峻。針對國家基礎(chǔ)設(shè)施進行破壞、針對企業(yè)數(shù)據(jù)進行破壞和竊取相關(guān)的網(wǎng)絡(luò)攻擊增加,且攻擊手法復(fù)雜多變,而傳統(tǒng)安防手段只能解決已知安全威脅,無法感知未知手段和方法,更無法判斷攻擊入侵程度。

  2. 為避免檢測類告警日志數(shù)據(jù)的誤報和漏報,而不得不面對海量告警

  頻繁的告警導致運維人員的工作量急劇加大,傳統(tǒng)安全防護方式無法在短時間內(nèi)快速定位問題、解決問題,導致攻擊波及范圍擴大,造成更加嚴重的損失。無法及時判斷告警的準確性、嚴重性及威脅事件,就無法及時采取相應(yīng)的處置措施。

  3. 無法溯源攻擊,網(wǎng)絡(luò)攻防場景中防守方處于被動位置

  在網(wǎng)絡(luò)攻防視角中,進攻方會占據(jù)較多的主動性,而防守方則略顯被動,永遠不知道攻擊會在何時發(fā)生。而當攻擊發(fā)生后,防守方無法迅速梳理攻擊路徑、溯源攻擊過程,就有可能造成更大的損失,甚至一潰千里。

  4. 發(fā)現(xiàn)網(wǎng)絡(luò)攻擊后取證困難、責任無法界定

  當前,針對性的高級攻擊(如0day攻擊、APT攻擊等)越來越頻繁,傳統(tǒng)安全防御設(shè)備無法識別,安全防御容易被繞過。當攻擊出現(xiàn)時、應(yīng)對攻擊時、甚至攻擊消失后,如何對攻擊進行判斷、進行取證,進一步分析存在何種網(wǎng)絡(luò)漏洞、是系統(tǒng)漏洞還是人為漏洞,這都是客戶急需了解的,也是以后完善安全防御的重要策略依據(jù)。

  在以往的信息化建設(shè)進程中,企業(yè)的網(wǎng)絡(luò)安全防御基本是被動的,重點在邊界防御上。但近年來,隨著《網(wǎng)絡(luò)安全法》《密碼法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》《等級保護2.0》等法律法規(guī)的出臺,對企業(yè)的網(wǎng)絡(luò)安全防御也提出了更高的要求。企業(yè)改變被動防御,進行主動防護的需求越來越迫切。

  科來認為,安全防御的能力取決于安全感知能力,安全感知能力的重點在于對未知安全威脅的感知能力,在流量側(cè),這種能力體現(xiàn)在協(xié)議理解上。

  科來擁有針對上萬種網(wǎng)絡(luò)協(xié)議及應(yīng)用的識別、解碼的經(jīng)驗與能力,這讓利用協(xié)議漏洞進行的網(wǎng)絡(luò)攻擊在科來面前無所遁形,能夠更敏銳更迅捷地感知威脅存在。科來在全量數(shù)據(jù)的采集與保存的基礎(chǔ)上,實現(xiàn)了全行為建模與分析、全流量回溯,能夠在網(wǎng)絡(luò)攻防對抗中發(fā)現(xiàn)更多未知威脅。更重要的是,科來的協(xié)議解析技術(shù)在做到精準解析的同時,全面廣泛地覆蓋各類協(xié)議,“全面而精準”的協(xié)議分析能力幫助用戶透析更多網(wǎng)絡(luò)流量內(nèi)容,看得清、看得透、看得全,這也正是科來的協(xié)議解析技術(shù)的本質(zhì)所在。

  為此,科來推出網(wǎng)絡(luò)安全解決方案,基于科來全協(xié)議分析技術(shù),旁路采集、分析和存儲所有網(wǎng)絡(luò)流量,通過威脅情報系統(tǒng)檢測已知威脅,通過回溯分析數(shù)據(jù)包特征、異常網(wǎng)絡(luò)行為,發(fā)現(xiàn)潛伏已久的高級未知攻擊??苼砭W(wǎng)絡(luò)安全解決方案具備多維的數(shù)據(jù)分析及深度挖掘能力,能夠?qū)崿F(xiàn)數(shù)據(jù)包級的追蹤取證,為用戶提供“檢測”和“響應(yīng)”的能力,通過安全分析最終幫助用戶提升安全防御水平,建立自適應(yīng)網(wǎng)絡(luò)安全架構(gòu)。

  記者:當前,網(wǎng)絡(luò)安全領(lǐng)域新技術(shù)概念層出不窮,從長期來看,您如何看待流量分析的發(fā)展方向,還會有哪些新場景新應(yīng)用?對比國際,科來的流量分析有何優(yōu)勢?

  林康:由于早些年網(wǎng)絡(luò)流量分析(NTA)技術(shù)被Gartner列入十大網(wǎng)絡(luò)安全頂級技術(shù),各種NTA網(wǎng)絡(luò)安全產(chǎn)品如雨后春筍般問世,不“懂行”很難有發(fā)展。正如之前所說,網(wǎng)絡(luò)流量分析技術(shù)是底層技術(shù),可以衍生出更多上層應(yīng)用與場景。

  在安全方向,根據(jù)不久前發(fā)布的《威脅檢測與響應(yīng)(TDR)市場指南》報告,全流量回溯技術(shù)分別在威脅檢測場景和攻擊行為分析場景中起到了核心作用。通過對資產(chǎn)的全面盤點實現(xiàn)對攻擊暴露面的收斂;同時,可以前置威脅情報,通過流量檢測環(huán)節(jié)即可實現(xiàn)判定檢測,提升告警的準確度,降低誤報率,為接下來的響應(yīng)溯源環(huán)節(jié)提供準確線索;在對歷史流量日志進行回溯分析時,發(fā)現(xiàn)長期潛藏的未知高級威脅。

  除了縱深應(yīng)用外,橫向跨行業(yè)的探索,也可以為行業(yè)網(wǎng)絡(luò)安全發(fā)展貢獻新思路。

  在工業(yè)互聯(lián)網(wǎng)安全方面,對工業(yè)互聯(lián)網(wǎng)絡(luò)通信協(xié)議進行解碼分析,可實現(xiàn)入侵檢測與安全審計,發(fā)現(xiàn)和分析其脆弱性及安全漏洞,提高工業(yè)網(wǎng)絡(luò)安全檢測和事后取證追查能力,強化對工業(yè)互聯(lián)網(wǎng)系統(tǒng)的安全態(tài)勢感知與防御能力。

  在物聯(lián)網(wǎng)安全方面,對物聯(lián)網(wǎng)協(xié)議的識別與解碼,能夠幫助深入而系統(tǒng)地了解物聯(lián)網(wǎng)絡(luò),理解物聯(lián)網(wǎng)絡(luò)中的數(shù)據(jù)流動。通過不斷挖掘數(shù)據(jù)之間復(fù)雜聯(lián)系的價值,讓其成為企業(yè)重要的數(shù)據(jù)資產(chǎn),實現(xiàn)對周邊世界認知能力的革命性飛躍。

  科來也在不斷對內(nèi)求變,積極推動技術(shù)在適合的領(lǐng)域、場景落地,并于2020年9月正式推出“科來工控大數(shù)據(jù)安全態(tài)勢感知平臺”,服務(wù)于我國關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全與運維保障工作,實現(xiàn)了工控生產(chǎn)的全流量數(shù)據(jù)接入,全面覆蓋我國工控領(lǐng)域。

  對比國際廠商,科來在技術(shù)上的優(yōu)勢,實際上是一種價值觀的優(yōu)勢、是國家政策正確引導的優(yōu)勢。中國已邁入創(chuàng)新型國家行列,引領(lǐng)全球率先開展新型基礎(chǔ)設(shè)施建設(shè)。科來屹立于中國軟件企業(yè)之林,在運維與安全領(lǐng)域不斷創(chuàng)造出新高度,也不斷被賦予新的使命、承擔更多新的職能與責任,面臨著新的挑戰(zhàn)。十八年來,科來憑借在網(wǎng)絡(luò)安全領(lǐng)域的技術(shù)優(yōu)勢,服務(wù)于國家關(guān)鍵行業(yè)領(lǐng)域、重大國家級活動的網(wǎng)絡(luò)安保,貢獻力量的同時也沉淀下了難得的實戰(zhàn)經(jīng)驗,以實戰(zhàn)倒逼技術(shù)革新、技術(shù)創(chuàng)新,再反哺產(chǎn)品,服務(wù)用戶,構(gòu)建了一套技術(shù)創(chuàng)新的閉環(huán)循環(huán)。這種國家、廠商、用戶三方參與的技術(shù)創(chuàng)新模式是中國獨有的,國際廠商無法模仿。

  另外,科來人秉承“堅持、責任、進取”的價值觀,堅信科技創(chuàng)造未來,切實為用戶網(wǎng)絡(luò)保駕護航,追求極致。正是這份始終不變的初心,使科來能夠在順境中揚帆,在逆境中無畏,在努力成為全球領(lǐng)先的網(wǎng)絡(luò)流量分析企業(yè)之路上奮勇前行。

  記者:網(wǎng)絡(luò)安全已成為國家安全的重要組成部分,其中核心技術(shù)自主可控至關(guān)重要,請問科來在核心技術(shù)自主創(chuàng)新上有哪些舉措?

  林康:知識創(chuàng)新、技術(shù)創(chuàng)新已成為國與國之間競爭的核心,科來通過提升自主創(chuàng)新能力,掌握更多自主知識產(chǎn)權(quán),為推動國家信息安全產(chǎn)業(yè)的持續(xù)發(fā)展提供支撐和服務(wù)。以“全協(xié)議分析技術(shù)+回溯分析技術(shù)”為核心,科來不斷完善技術(shù)研發(fā),持續(xù)進行產(chǎn)品打磨,著眼網(wǎng)絡(luò)安全及運維新態(tài)勢。未來,科來的發(fā)展,向下深入聚焦協(xié)議分析,專注技術(shù)研發(fā)與產(chǎn)品打磨,為求索行業(yè)創(chuàng)新與變革夯實基礎(chǔ);向上則持續(xù)延伸對安全、運維領(lǐng)域的探尋,繼續(xù)落實對每一位用戶的責任與承諾,為用戶業(yè)務(wù)穩(wěn)固保駕護航,繼續(xù)做國家網(wǎng)安堅實后盾。

  科來始終視保衛(wèi)國家信息安全為己任,多年來投入大量資源,持續(xù)在網(wǎng)絡(luò)流量和協(xié)議分析領(lǐng)域進行技術(shù)研究和生產(chǎn)實踐,保衛(wèi)國家信息安全;而國家信息安全的建設(shè)和發(fā)展是一個全產(chǎn)業(yè)鏈長期行為,科來不斷強化國產(chǎn)化廠商之間的聯(lián)系,攜手產(chǎn)業(yè)鏈各方,在市場、銷售、服務(wù)等方面疊加能力、通力合作,為推進國家網(wǎng)絡(luò)空間強國戰(zhàn)略作出積極貢獻。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。