今天，全聯(lián)接已成為一種新的常態(tài)。人類社會因為發(fā)展的需求,聯(lián)接已經從物理世界延伸到數(shù)字世界。越來越多的個人、企業(yè)、組織和機構加入了全聯(lián)接的世界，眼鏡、手表、甚至是家用電器，健康檢測等終端產品都在向智能化演進，在與人類的活動建立起數(shù)字的聯(lián)接。

泛在的聯(lián)接在高速發(fā)展，傳統(tǒng)的安全結構卻正在逐步瓦解，聯(lián)接技術要求更加敏捷和無處不在，同時又需要確保安全可靠與保護數(shù)據(jù)隱私，而保障安全可靠和數(shù)據(jù)隱私防護就要克服泛在化的安全漏洞、風險、防御持續(xù)惡意的入侵。擺在我們面前的是不斷變化的互聯(lián)網與不斷升級的威脅，這種變化升級，不斷挑戰(zhàn)著我們的安全思維。

Yes, the change challenges today's security thinking. RSA 2015安全會議的主題耐人尋味，安全，是要爆發(fā)一場靈魂深處的革命么?

今年最炙手可熱的幾個安全關鍵詞是“高級威脅”、“安全智能”、“威脅情報”。人們在經受了長期的攻防態(tài)勢失衡焦慮之后，終于意識到常規(guī)的安全防御很難解決高級的定向攻擊，個人與普通組織也無法對抗專業(yè)黑客組織甚至國家級安全機構的網絡攻擊。于是，大家集體轉向了“intelligence”。“intelligence”這個詞具有雙重含義，一方面是“Threat Intelligence”即“威脅情報”，一方面是“Security Intelligence”即“安全智能”，正好用來應對“高級威脅”。

“情報”和“智能”之間是什么關系?情報是支撐一切安全機制實現(xiàn)智能化的基礎。大家最初的安全意識一般從接收到各類安全事件而來，病毒特征庫從病毒樣本以及安全分析人員對于計算機病毒的多方面認識與經驗而來，IPS特征庫從系統(tǒng)漏洞的技術原理及網絡攻擊報文樣本特征分析而來，沙箱行為模式庫從各類文件實體在計算機網絡環(huán)境中的運行特點及其可能造成的后果判定而來。

“intelligence”使得我們能夠開發(fā)出下一代安全產品與專門防御高級威脅的BDS(Breach Detection System)產品，包括NGFW、NGIPS、NGSOC、NGSIEM、APT沙箱、大數(shù)據(jù)安全分析系統(tǒng)以及云化的安全智能中心。新一代安全產品有一個顯著的共同點，都是采集大量環(huán)境數(shù)據(jù)與樣本數(shù)據(jù)，綜合大量單點檢測結果，更多地使用數(shù)據(jù)分析工具與技術，實現(xiàn)以下目標：

一：快速響應能力(Reactive)，實現(xiàn)綜合研判、精準事件、快速閉環(huán)。

從安全網關角度而言，NGFW與NGIPS都通過集成更復雜的環(huán)境數(shù)據(jù)來加強檢測能力，以及提升告警的精準度。而作為后端系統(tǒng)，傳統(tǒng)SOC與SIEM產品已在一定程度上具備安全事件綜合研判的能力，但由于技術與架構所限，難于處理非結構化數(shù)據(jù)，也無法關注到大時間窗里的海量威脅情報數(shù)據(jù)，更無法實現(xiàn)實時流的分析。安全運維人員希望做千萬級億級事件記錄集調查時，系統(tǒng)能像搜索引擎一樣快速反饋結果。大數(shù)據(jù)安全系統(tǒng)應運而生。有了大數(shù)據(jù)平臺就可以輕而易舉地處理億萬級別的情報數(shù)據(jù)，可以針對某一事件綜合研判，過濾掉冗余、干擾與錯誤信息，提高應急響應的及時性。

二：預警能力(Predictive)，通過已知威脅推演未知威脅，提升威脅感知能力，實現(xiàn)威脅的早期預警。

如果以2014年為分水嶺，那么2014年以前，對于安全能力，用戶一般只關注安全產品對已知威脅的覆蓋程度，而2014年以后，已經有更多用戶開始關心哪些安全產品可以防御未知攻擊，用戶甚至希望能夠有技術手段識別社會工程學攻擊。

那么，是否能以已知威脅的檢測知識為基礎，擴展到對未知威脅的感知能力呢?基于各類基線的異常檢測、可視化的數(shù)據(jù)特征呈現(xiàn)、威脅檢測模型的動態(tài)擴展、基于運行結果的代碼邏輯分析、基于機器學習的相似度分析、人機行為模式差異度分析、多維度的安全信譽度評估，以及多種大數(shù)據(jù)分析方法，都有可能提供從已知跨越未知的橋梁。一旦這些方法變得穩(wěn)定實用，對于潛在威脅的早期預警能力也會大大提高。在與攻擊者的對抗過程中，可以有更從容地組織、實施防御方案。

三：前攝能力(Proactive)，通過威脅情報的共享，防御機制的聯(lián)動，構建敏捷協(xié)同的威脅前攝型安全體系。

威脅情報可能是威脅攻擊的本體數(shù)據(jù)，也可能是它的描述數(shù)據(jù)，或者是結構化的機讀數(shù)據(jù)。隨著大家對威脅情報的重視，這類數(shù)據(jù)的信息規(guī)范化與使用規(guī)范化已經成為非常明顯的一個趨勢。威脅情報的共享機制最終會演變?yōu)樯鐣嬎闫脚_上的一種業(yè)務。各個相對封閉的系統(tǒng)中，威脅情報的生產者同時也是消費者，在整個互聯(lián)網世界里，不同系統(tǒng)所生產的威脅情報又為其他系統(tǒng)所用，大家互惠互利。

目前而言，威脅情報只在小范圍內實現(xiàn)了局部的規(guī)范化與自動化，還未在安全行業(yè)形成事實標準。這中間只是時間問題，很快會出現(xiàn)開放的威脅情報運營中心，并快速形成行業(yè)聯(lián)盟，推動更多安全廠商的產品基于標準實現(xiàn)設備與設備之間威脅情報交換，讓在線系統(tǒng)更加智能、敏捷，從而實現(xiàn)全網安全防御系統(tǒng)的實時協(xié)同，提高整網安全水平。

在今年的RSA大會上，創(chuàng)新沙盤依然會點燃大家的安全思維。預計創(chuàng)新主題將會聚焦在威脅情報管理、大數(shù)據(jù)安全分析以及未知威脅檢測方面，讓我們一起期待最具創(chuàng)新價值的安全廠商現(xiàn)身。中國作為網絡大國，中國安全廠商在RSA大會上的表現(xiàn)倍受關注。據(jù)悉，包括華為在內的眾多國內安全廠商會帶著沙箱等創(chuàng)新產品高調亮相RSA。中國安全廠商的表現(xiàn)值得我們期待。

立足當下，展望未來，以下安全趨勢將成為業(yè)界在未來幾年內所密切關注的重點：

1、隨著沙箱與大數(shù)據(jù)分析產品的興起，主要的技術挑戰(zhàn)來自于更有針對性的高級躲避技術，包括anti-debugging、anti-vm、代碼流混淆與數(shù)據(jù)污染等。

2、DDoS攻擊與僵尸網絡的治理進一步掀起“安全即服務”的云化運營高潮，并在運營商與數(shù)據(jù)中心以及安全廠商間形成商業(yè)模式。

3、新的威脅繼續(xù)大面積爆發(fā)在互聯(lián)網基礎設施與主流基礎軟件上，如同2014的 OpenSSL Heartbleed以及 Linux bash漏洞。

4、數(shù)字空間犯罪組織可能會針對互聯(lián)網金融以及日益開放物聯(lián)網與工控網發(fā)起致命攻擊。

5、移動智能終端的安全直接影響人們的工作與生活，甚至影響到運營商的LTE網絡。

6、國內出現(xiàn)開放的威脅情報共享組織，并快速形成行業(yè)聯(lián)盟，推動更多安全廠商的產品基于標準實現(xiàn)設備與設備之間威脅情報交換，在線系統(tǒng)更加智能、敏捷，從而實現(xiàn)全網安全防御系統(tǒng)的實時協(xié)同。

7、企業(yè)與云數(shù)據(jù)中心更注重構建可持續(xù)的安全運維能力。更智能的安全運維平臺、更高級的安全運維工具、更便捷的安全運維服務將廣受關注。

8、中國網絡安全的法治化建設進入發(fā)展的快速通道，中國互聯(lián)網安全治理形成政府與民間聯(lián)手合作的雙軌化運作。國內安全產業(yè)格局正在發(fā)生巨變，全球網絡空間安全格局所受的深遠影響也將逐步呈現(xiàn)。