聚焦烏鎮峯會 網安行業驚現黑馬衞達安全
日前,第四屆世界互聯網大會“互聯網之光”博覽會的創新發布區上眾星雲集,來自雲計算、人工智能、大數據、網絡安全等前沿科技領域的數十家企業帶來了各自的首發新品,向參觀者展示了各個行業內的眾多先進創新成果。記者注意到,除了目前大熱的人工智能、大數據等領域技術發展迅速之外,網絡安全這一相對低調神秘的領域,今年也曝光出許多“黑科技”,成為了今年發佈會上的吸睛亮點。
北京衞達信息技術有限公司(簡稱“衞達安全”)是發佈會上為數不多的網絡安全企業之一,也是其中尤其引人注目的一匹黑馬。他們在發佈會上推出了一款專門針對雲平台的安全防護系統——“幻境”雲平台下的虛擬化解決方案,號稱是“改變遊戲規則,打破傳統防禦思路”的顛覆性產品。針對這一令人驚喜的發現,記者帶着強烈的好奇心,對它進行了一番深入探究。
雲平台的發展與安全挑戰
作為一種統一管理、靈活調度、便捷配置的新型資源利用模式,雲平台以其高效、迅速、經濟的特點廣受各行各業歡迎。然而,隨着基於雲平台的網絡應用不斷發展,針對雲平台的威脅也層出不窮。除了傳統的網絡威脅之外,雲服務的虛擬特性也帶來了很多新的風險。衞達安全的新品發佈演講者——衞達公司創始人兼CEO張長河在介紹“幻境”雲平台下的虛擬化解決方案時講到,目前雲平台主要面臨五大安全挑戰:
1.雲平台網絡資源集中,攻擊目標變大
在一個設計不當的雲服務數據庫中,攻擊者通過進入一個賬户便可以進入與該服務相關的其他賬户,與傳統網絡中分散的攻擊目標相比,雲平台為攻擊者選擇“獵物”提供了“便捷服務”。
2.雲平台邊界被打破,攻擊範圍擴大
雲的快速佈局和自動化是一把雙刃劍,如果存在漏洞,危害的傳播也會更迅速。雲平台上的虛擬空間之間失去物理界限做屏障,傳統IT架構下的隔離原則失效,原來的可信邊界被徹底被打破,一旦網絡被攻擊,影響範圍比傳統網絡更廣,擴散速度更快。
3.虛擬空間周邊環境不明確,形成虛擬空間黑洞
雲服務供應商在公開提供服務的同時難以有效識別和屏蔽黑客的惡意租用,難以限制使用者意圖,黑客一旦合法進入雲平台並突破邊界隔離,便可以對平台上的用户發動攻擊,對整個雲服務系統造成威脅。
4.虛擬終端監控受限,威脅隱患加深
雲平台上虛擬終端之間的通信無法被全程監控,若出現異常通信很難第一時間被發現,延長了威脅處置事件,帶來深層安全隱患。
5.傳統防禦手段被動落後,無法應對雲平台的複雜多變
目前大部分的安全防禦產品主要基於傳統網絡架構而開發,多采用硬件設備形式,不適應雲平台的虛擬化環境,導致雲平台防禦產品和應用相對空白;此外,每個安全節點各自為戰,缺少實質性的聯動,難以適應靈活多變的雲平台服務,造成虛擬空間之間的防禦不夠體系化。
這些安全隱患制約着雲技術的進一步發展。一旦有威脅爆發,可能會給雲平台運維者及雲上用户造成不可估量的損失,而問題的根本原因在於現有的雲平台安全防護方法對網絡攻擊缺乏統一、有效的防禦手段。因此,一個能夠有效應對網絡攻擊、對雲平台網絡進行一體化防禦和監管的安全系統對於雲平台的應用至關重要。
有效防禦需創新思路,衞達安全成為黑馬的秘訣在哪裏?
針對以上困境,張長河總裁在發佈會上給出了衞達安全的解決思路。衞達安全通過從理念和技術兩方面進行創新,成功研發出了能夠有效抵禦網絡威脅、全面覆蓋虛擬空間、整體保護雲上虛擬網絡安全的防禦系統。
衞達安全在發佈會上展示的這一新品——“幻境”雲平台下的虛擬化解決方案以其全球首創的“智能動態防禦”技術為核心,打破了長期以來固化的靜態網絡防禦思路,轉變了傳統防禦的被動模式,並融合了人工智能、虛擬化、軟件定義網絡(SDN)等一系列最新科技成果,能夠實現虛擬級的威脅檢測與隔離,快速發現並阻斷虛擬應用之間東西向的網絡攻擊,提前處置威脅,對雲平台實施動態、一體化的防禦保護。
這些一一擊中雲平台安全痛點的“乾貨”功能,令“幻境”雲平台下的虛擬化解決方案成為了今年世界互聯網大會“互聯網之光”博覽會上吸睛無數的最“靚”新品之一。
然而如此完善的防禦功能,衞達安全是如何做到的呢?
根據發佈會上的介紹,“幻境”雲平台下的虛擬化解決方案所採用的“智能動態防禦”技術是核心秘訣。該技術在動態防禦的基礎上,結合了中國傳統經典《孫子兵法》中的戰術思想和時下最前沿的人工智能技術,開創了一種顛覆傳統網絡安全理念的新思路,徹底改變網絡安全防禦的遊戲規則。
事實上,衞達安全在發佈會上列舉了“幻境”雲平台下的虛擬化解決方案的數個技術特色,每一條都堪稱重量級:
1.擁有動態變換網絡環境和網絡結構,能夠在保持原有網絡配置完整性的基礎上,通過隱藏虛擬主機的真實IP地址,為虛擬主機分配動態虛擬IP地址,使用户正常網絡應用不受影響的情況下實現網絡拓撲和虛擬主機的網絡身份高速隨機跳變。
2.應用人工智能技術,能夠通過機器學習形成行為記憶,深入分析和識別網絡攻擊行為,有效感知網絡運行狀況,主動改變防禦策略,實現隨勢而動,具有更大的靈活性和適應性。
3.利用全息偽裝技術,將不同網絡節點數字化描述,全息虛擬大量與真實節點功能一致的虛擬空間,通過較少的投資、較少的資源消耗,可以在網絡中部署大量高仿真的偽裝節點和虛開端口,動態隨機的改變網絡節點屬性,迷惑攻擊者,破壞其識別能力。
4.設置極具誘惑力的高仿真虛擬節點作為“哨兵節點”,開放一些容易被黑客攻擊的常用服務來誘捕攻擊者,即時監測不符合動態變換規則的異常網絡行為,從而可以提前一步完成對網絡環境的動態認知。
5.運用先進的軟件定義網絡(SDN)設計理念,以虛擬應用為基本防護單位,能夠有效區分正常行為和攻擊行為,建立牢固的邊界隔離。
6.採用微隔離技術,將每個虛擬空間定義為一個獨立的邏輯網絡,能夠將所有通信限制在自己的獨立子網之中,進行即時監控,一旦發生網絡攻擊可以快速定位,進行封堵,有效避免攻擊擴散。
7.通過流可視技術,採用全流量串接接入的方式,能夠即時截獲和分析所有通信數據,並將其按照不同種類結構化進行存儲,實現對整個雲平台上通信過程和數據流向的全程監控。
烏鎮峯會為起點,衞達安全將助力雲平台更安全可靠的發展
在“智能動態防禦”技術和一系列前沿成果的支持下,“幻境”雲平台下的虛擬化解決方案由此擁有了以下幾大典型特徵:
1.不以先驗知識為基礎,有效抵禦未知威脅
不基於先驗知識的特徵碼識別,僅改變信息系統內部的狀態和結構,通過自身變化破壞了攻擊過程依賴的環境或數據,從根本上阻止攻擊發生,既防範已知風險,更能夠防禦因漏洞而產生的各類未知威脅。
2.在網絡中製造“迷霧”環境,拉高攻擊成本
通過提供誤導性的網絡拓撲結構、流量以及行為觀察結果,增加混淆信息,增加網絡的不確定性、欺騙性及迷惑性,使攻擊者無法摸清網絡狀況,找不到攻擊目標,即使長時間潛伏收集信息也難以實施行動,極大增加攻擊者的攻擊難度,提高攻擊代價。
3.設置重重陷阱,主動封堵攻擊
營造動態網絡環境,並結合動態防禦算法設置偽裝節點和虛開端口,迫使攻擊者在極大概率下觸發“陷阱”併產生告警,使系統即時對攻擊源進行定位和封堵,斬斷攻擊鏈的第一環,實現事前主動防禦。
4.消除網絡黑洞,令安全事件最大程度可控
對網絡實現全覆蓋監測,能夠監控並分析任意節點之間的通信,改變了傳統的單層防禦方式,實現多點聯動,縱深防禦,使攻擊事件影響可控,最大限度降低損失。
據瞭解,目前“幻境”雲平台下的虛擬化解決方案分別支持Raw、Qcow2、Vmdk三種雲鏡像格式,可部署在VMware、Openstack、Hyper-V雲平台環境下,具有廣泛的適用性。
在發佈會現場,記者注意到衞達安全的這一新品引起了許多在場觀眾的濃厚興趣,演講一結束張長河總裁便被眾人圍攏,現場觀眾紛紛上前諮詢交流,足見業內對雲平台安全的關注以及對新技術的期待。隨着雲技術的大範圍推廣,雲安全問題必將成為影響和制約雲計算發展至關重要的因素,但現有的雲安全產品無論在技術還是理念上仍然有些相形見絀,要跟上雲時代的快速發展,需要走的路還很長。從今年的世界互聯網大會來看,在創新這條路上,衞達安全這匹黑馬或許將成為這個行業的顛覆者,新路徑的開拓者。