淺談Fortinet的威脅情報和Security Fabric
威脅情報技術(TI)自2015年引入中國以來,已經過了四個年頭。從一開始的概念階段,逐漸落地並形成了各種形態和商業模式。國內的360、微步線上、天際友盟,國外的IBM、Mcafee、思科、賽門鐵克都有著各自的TI,Fortinet也不例外。後者在TI方面的積累和能力,更是有著自己的特點和優勢。
近日,Fortinet全球首席安全戰略官 Derek Manky來華出席 ISC 2018 網際網路安全大會。期間,與幾家國內知名IT與資訊保安媒體溝通,介紹了Fortinet的威脅情報和其極具開放與整合能力的安全體系架構:Security Fabric。
Fortinet全球首席安全戰略官 Derek Manky
570個零日漏洞 CPRL的強大
締造了UTM(統一威脅管理)這一全球流行安全技術概念的Fortinet,早在2000年就成立了FortiGuard實驗室,目前實驗室有200多位安全分析師,為全球40萬用戶提供威脅情報服務。
經過了數年的普及,威脅情報技術實現已不再神祕,無非就是根據需求,做好收集、分析、交付、使用等階段的工作。但在這些階段中,有一項關鍵能力對威脅情報的質量起著決定性的作用。
威脅檢測能力,比如業內熟知的沙箱技術,把惡意程式碼放到沙箱裡執行,然後進行檢測解析。而Fortinet僅在威脅檢測方面就擁有大量專利,其中最值得一提的是一項名為CPRL(內容模式識別語言)的專利。其理念是通過機器學習,自動編寫程式來檢測新的病毒,自動機器篩選,最後進行人工處理。
隨著時間的過去,其威脅檢測的效率越來越高,發現零日漏洞能力越來越強。由於這項專利技術,Fortinet於2016年啟動的一個專門進行零日漏洞檢測的專案團隊,截至到今年的第二季度已挖掘出570個零日漏洞。
發現漏洞之後,我們再要做的是負責任的披露,讓有漏洞的廠商先行製作正式補丁。在正式補丁出來之前,與對方合作先通過Fortinet的安全硬體和軟體提供一個虛擬補丁以保護安全。
目前,FortiGuard絕大部分的威脅檢測工作能通過人工智慧的機器學習來取代,安全技術專家則主要從事複雜的工作,比如提供可執行情報或事件響應服務等。而在以前,技術專家只能靠手工分析,或者編寫防禦方面的策略為主。
裝置、工具的聯動與超一流的合作伙伴
之前安全牛的文章介紹過,Security Fabric 是一個安全整體架構的解決方案,2016年釋出。經過兩年多的時間裡,已經形成了包括WAF、郵件閘道器、沙箱、威脅情報、終端安全、雲安全、無線安全、IoT、SD-WAN等多種安全元件的體系化防禦架構。
體系化是指各元件之間能夠協同聯動。比如,非常重要的沙箱技術。其優勢在於可以進行深度檢測,但缺點在於不能高效攔截。但如果與防火牆等安全閘道器裝置,以及安全策略整合在一起,即可實現自動化緩解威脅。
除了裝置和工具之間的聯動,更重要的是廠商之間的配合。Fortinet不僅與如終端安全、工業網際網路安全等廠商合作,還與公/私有云、甚至通迅廠商都有非常好的合作,如VMware/OpenStack/AWS/Azure/阿里雲/谷歌雲/青雲等,其中與阿里雲的合作更是其國內的標杆案例之一。在其100多位合作伙伴中,不乏思科、賽門鐵克、IBM、Mcafee這樣的國際大廠商。
其實也很容易理解,黑產的強大之處在於其黑色產業利益鏈的聯盟,在於地下暗網相互之間的聯盟。而安全守衛者,廠商,之間也必須聯盟,包括裝置、架構之間的協同聯動,包括安全情報的共享與互通。只有這樣,防護方的視野、技術能力、反應速度才能抵禦黑色利益的巨大威脅。
正如UTM的“統一”技術基因,Security Fabric 也是遵循了這一“整合”理念。綜上所述,這個安全架構可以用三大特點來概括:開放、聯動和自動化。而且,這三大特點是階梯性的。因為開放才能聯動,而只有聯動才能做到自動化。