?本期解讀專家

RSAC議題中 Analytics Intelligence & Response是討論威脅信息（Cyber Threat Intelligence）和響應(yīng)相關(guān)內(nèi)容的， RSAC2023該議題中單純討論威脅信息價值、應(yīng)用、技術(shù)等相關(guān)的內(nèi)容已經(jīng)較少。本期從RASC2023中分散在多個主題下討論的驅(qū)動安全技術(shù)發(fā)展的因素入手，探討通過威脅信息協(xié)同使能安全分析及響應(yīng)技術(shù)向自動化、智能化演進(jìn)。

合規(guī)遵從、威脅態(tài)勢、IT技術(shù)發(fā)展、業(yè)務(wù)意圖等多種因素共同驅(qū)動了企業(yè)網(wǎng)絡(luò)安全需求和技術(shù)的演進(jìn)。從外部看，一方面，隨著網(wǎng)絡(luò)安全法律法規(guī)的完善，企業(yè)需要在法律遵從下進(jìn)行經(jīng)營；另一方面，網(wǎng)絡(luò)威脅逐年增多、攻擊強度增大，企業(yè)需要投入恰當(dāng)?shù)馁Y源保證業(yè)務(wù)安全運營。從內(nèi)部看，IT技術(shù)的發(fā)展改變了企業(yè)IT的技術(shù)形態(tài)，隨之引起安全技術(shù)的變革。

全球網(wǎng)絡(luò)安全威脅持續(xù)增長

據(jù)Statista發(fā)布的統(tǒng)計數(shù)據(jù)，網(wǎng)絡(luò)犯罪已成為世界第三大經(jīng)濟(jì)體，且每年以15%的速度增長，相反網(wǎng)絡(luò)安全投資的增長率僅為9.7%。Akamai在報告中提到，針對Web應(yīng)用和API的攻擊持續(xù)增長，2021年至2022年，總體的網(wǎng)絡(luò)攻擊流量增加了2.5倍。勒索等破壞性網(wǎng)絡(luò)攻擊增多，blackfog發(fā)布的勒索軟件報告中提到，89%的勒索軟件攻擊中都使用了二次勒索的手法——泄露數(shù)據(jù)。更大的資源支撐、更大的攻擊頻度、更大的破壞性已經(jīng)成為每個企業(yè)面臨的基本攻擊態(tài)勢。

全球面臨安全勞動力缺乏

(ISC)2 發(fā)布的2022網(wǎng)絡(luò)安全勞動力研究報告指出，2021年全球網(wǎng)絡(luò)安全勞動力需求為691萬，缺口為272萬；2022年全球需求為809萬，缺口為343萬，相比2021年需求和缺口差距增大。同時，從需要使用安全勞動力企業(yè)來看，約99%的企業(yè)為中小型企業(yè)，但是已有的網(wǎng)絡(luò)安全勞動力大部分流入了大型企業(yè)。

應(yīng)用自動化技術(shù)解決安全問題

網(wǎng)絡(luò)威脅增長、安全勞動力缺乏、告警疲勞對安全勞動力的消耗等問題是企業(yè)在實施安全項目過程中面臨的主要問題。同時，RSAC2023多個主題中談到了網(wǎng)絡(luò)安全向網(wǎng)絡(luò)韌性的轉(zhuǎn)移，企業(yè)期望得到更多是“確定性的業(yè)務(wù)防護(hù)”。

針對上述問題和訴求，華為推出了華為乾坤云服務(wù)。基于自動化分析技術(shù)+專家運營模式，為用戶提供覆蓋風(fēng)險識別、威脅檢測、安全防護(hù)、威脅響應(yīng)全周期的技術(shù)解決方案，逐步實現(xiàn)“確定性的業(yè)務(wù)防護(hù)”。

自動化分析技術(shù)，包括基于規(guī)則和AI的分析技術(shù)，被嵌入到邊界防護(hù)與響應(yīng)、EDR等多個服務(wù)中用于應(yīng)對網(wǎng)絡(luò)威脅的快速增長和變化。其中規(guī)則和AI決策依賴的場外數(shù)據(jù)由威脅信息服務(wù)提供，并由威脅信息形成跨時空、跨服務(wù)的數(shù)據(jù)循環(huán)。

威脅信息使能跨界協(xié)同

微軟提到AI應(yīng)用于安全中的三個疊加的力量包括：人工智能算法、大規(guī)模的算力和數(shù)據(jù)、威脅信息。華為乾坤云服務(wù)解決方案中，威脅信息服務(wù)作為核心原子服務(wù)之一，向其他服務(wù)提供了威脅信息數(shù)據(jù)及跨服務(wù)的數(shù)據(jù)協(xié)同能力，如下圖所示。

核心的協(xié)同能力包括：

1.單個服務(wù)某個業(yè)務(wù)節(jié)點時間上的威脅信息協(xié)同，例如，某臺天關(guān)、某臺沙箱、某個EDR Agent節(jié)點感知到的威脅在不同時間跨度的協(xié)同。

2.單個服務(wù)不同業(yè)務(wù)節(jié)點空間上威脅信息的協(xié)同，例如，多臺天關(guān)感知到的威脅在空間跨度上的協(xié)同，沙箱、EDR Agent亦如此。

3.不同服務(wù)間威脅信息的協(xié)同，例如，天關(guān)和沙箱、天關(guān)和EDR、沙箱和EDR間威脅信息的協(xié)同。

4.安全運營人員和各個服務(wù)間威脅信息的協(xié)同。

威脅信息服務(wù)通過威脅信息協(xié)同可以實現(xiàn)主動防御、未知防御，并基于系統(tǒng)提供豐富、結(jié)構(gòu)化的數(shù)據(jù)，使能基于AI算法的威脅分析及研判，進(jìn)而提升攻防對抗的時效和實效。

結(jié)束語

云計算技術(shù)發(fā)展帶來企業(yè)IT部署形態(tài)和交付形態(tài)的變化，進(jìn)而引起安全控制位置的轉(zhuǎn)移，從而驅(qū)動安全產(chǎn)品形態(tài)及功能的演進(jìn)。AI技術(shù)的發(fā)展提升了攻防對抗的效率并豐富安全防護(hù)功能的實現(xiàn)方式。華為乾坤云服務(wù)基于云計算技術(shù)、AI技術(shù)及華為安全智能中心長期的能力積累提供托管的云服務(wù)，為實現(xiàn)向客戶提供“確定性的業(yè)務(wù)防護(hù)” 持續(xù)努力。

點擊“閱讀原文”，了解更多華為數(shù)據(jù)通信資訊！