2018年基于AI的云安全治理.pdf

1、基于AI的云安全治理目錄信息安全的變與不變安全對抗的制勝之道華為基于AI的云安全實踐從信息安全的角度，能看到什么？1980年代：LBL Clifford Stoll2010年代：伊朗震網75美分賬單差錯信息安全歸根到底是攻擊者、防御者之間資源和智能的對抗！變化的是工具和模式釣魚郵件SSHkilldisk 偽裝社會工程學服務中心C&C服務器 大數據時代，定義“資產價值”的不再是用戶，而是攻擊者！未知威脅智能化協同化速度快處置難安全資源安全能力安全服務安全資源安全能力安全服務傳統安全業務模型用戶A用戶B安全服務化業務模型安全資源安全能力安全服務服務提供商安全服務安全服務用戶A用戶B歸一化虛擬化自動

2、化業務可度量快速彈性擴展按需自服務廣泛網絡接入資源池化更多、更快、更協同、更智能、更難檢測l從基礎設施安全變為租戶業務安全；僵化到彈性；邊界到全流量；靜態到動態自適應攻擊手段的變化業務模式的變化不變的是趨勢和規律在當前開放式信息系統環境下，沒有技術手段保證可以做到絕對安全！信息系統天生“易攻難守”！Aurora(2010)SecurID竊取(2011)孟加拉銀行(2016.2)WannaCry(2017.5)烏克蘭電力（2016）Stuxnet伊朗伊朗(2010)Mirai(2016.10)修復所有漏洞，對抗所有攻擊是不可能的；打碎一個花瓶總是比修復一個花瓶要容易；工具加劇了不對稱趨勢目錄信息

3、安全的變與不變安全對抗的制勝之道華為基于AI的云安全實踐信息安全是一種信息對抗，決定成敗的關鍵是成本要想在信息對抗中立于不敗之地，只能避免在現有“不對稱”環境下的直接的對抗！彈出勒索窗口攻擊者掃描445端口，發現漏洞發送網絡數據報文訪問開關域名*.WNCRY掃描并攻擊可連接的網絡主機開關域名未連通釋放病毒文件加密用戶文件未連通連通退出，停止傳播隨機生成IP地址VS 為什么現在不再修長城？攻擊者害怕什么？防火墻？IPS？加密？還是大數據兩千年前的孫子兵法揭示了對抗的藝術：上兵伐謀，其次伐交，其次伐兵是故百戰百勝，非善之善者也；不戰而屈人之兵，善之善者也能而示之不能，用而示之不用，近而示之遠，遠而

4、示之近為什么“鴛鴦陣”可以獲得冷兵器時代最懸殊的戰損比？“隱真示假”比硬碰硬的直接對抗更為有效！建立能使攻防成本保持平衡的信息治理體系，比擊敗每一個攻擊者更為重要！安全治理是要以低成本達到“安全與威脅”間的平衡安全對抗不是單純比較單項能力的強弱多少，決定對抗成敗的是對能力的使用“策略”；跳出簡單的“直接對抗”的思維，建立完善的信息安全治理體系，是有效的策略！花街之戰：334+2比3攻防不對稱的原因在于信息時空與知識的不對稱攻擊者：1、了解被攻擊對象的各種情報（漏洞、拓撲）；2、有充足時間準備攻擊；可以隨時發動攻擊；3、利用任意漏洞即可攻擊成功；4、一旦攻擊失敗，基本沒有損失防御者：1、對攻擊者

5、是誰、何時攻擊、針對什么資源、使用什么手段一無所知；2、只能坐等被攻擊；只有在攻擊中阻止了攻擊活動才能避免損失；3、要修補所有漏洞、對抗所有攻擊才能保證安全；4、任意攻擊活動一旦成功，都會造成損失可信計算區域WAF感染主機安全感染C&C、隱通道時間（xx月）數據量關鍵信息資產花大量時間工具攻擊手法收集信息社交庫密碼字典攻擊對象網絡拓撲攻擊對象應用環境攻擊對象組織結構可能的存儲位置目標資產信息安全設施接觸資料人員信息生產環境供應鏈各種安全攻擊活動時間（xx分鐘）時間（xx月）攻擊還未發生/計劃攻擊正在發生/執行攻擊已經發生/破壞Weaponization工具準備工具準備Delivery載荷投遞載

6、荷投遞Exploitation漏洞利用漏洞利用Installation釋放載荷釋放載荷Command and Control(C2)建立通道建立通道Actions on Objectives目目標達成標達成Reconnaissance情報收集情報收集攻擊鏈：安全攻防對抗的核心是知識的積累和有效使用5、大數據改變了安全知識挖掘的方式，從實驗模擬發展到密集計算，進一步完善了安全知識的積累手段，是安全智能化的基礎。1、無處不在的安全。不可能構筑100%安全的系統，系統必定存在漏洞，漏洞必定會被利用。2、安全的服務對象是“被攻擊者”，安全能力的服務對象是“攻擊者”。服務的內容是提供知識與防護手段。3、

7、安全的價值在于迅速將不安全的狀態轉換為安全，并盡量提高攻擊成本。對已知威脅根據風險與成本取舍。對未知威脅提升免疫力降低風險。4、安全是模式的科學，其核心工作是構建安全知識系統。安全技術通過模式的挖掘，把潛在的威脅呈現出來。安全攻擊模式庫IPS簽名庫漏洞庫病毒庫應用特征庫信譽庫6、未來（AI）基于AI的安全防御能根據實際情況自動調整，以達到最好的防御效果；而不是只會根據預定策略簡單地匹配-執行。目錄信息安全的變與不變安全對抗的制勝之道華為基于AI的云安全實踐華為在產業中的地位與面臨的信息安全形勢北京、杭州、深圳 攻防實驗室/攻防演練2500+專職安全研究人員1000+安全專利華為不僅是一家安全公

8、司研發中心華為總部技術支持中心服務于全球17萬員工覆蓋140+國家節點每天處理：郵件200萬封及時消息2500萬條阻斷一級泄密事件56次平均每月阻斷網絡威脅49.2萬次每月阻斷病毒攻擊55萬次阻斷SQL注入/跨站攻擊等300萬次/年龐大的網絡高安全的防護截止2015年，加 入 了300多 個 標 準 組織/產 業 聯 盟，擔 任 超 過280個 重 要 職 位2015年提案5,400篇，累計43,000余篇FWAVPKIIPSIDSUTMSandBoxNACSIEMSOCAPP Ctl復雜性/成本威脅防御能力安全攻防模型：價值決定了風險和成本絕大多數的傳統攻擊可以被有效防御；10%的高級安全威

9、脅產生了90%的安全損失，消耗70%的防御成本；從攻防指導思想變化，看對信息安全體系的要求APT攻擊源攻擊鏈/縱深防御全局感知/協同防御安全防御如今，在防御過程中不但要看到棋子，還要感知棋局安全知識的積累：加強單點防御能力，層層防御：補充未知威脅檢測手段/提高安全事件檢測與防御概率；拓展防御深度，實現盡早防御：在攻擊前進行防御；安全技能的有效應用：感知全局安全態勢，實現協同防御：構造完整攻擊視圖，實現對威脅的快速閉環；在今天，并非把業界最強安全產品簡單堆疊，就能實現對威脅的有效防御Weaponization工具準備工具準備Delivery載荷投遞載荷投遞Exploitation漏洞利用漏洞利用

10、Installation釋放載荷釋放載荷Command and Control(C2)建立通道建立通道Actions on Objectives目目標達成標達成Reconnaissance情報收集情報收集 通過電子郵件或者U盤滲透 隨機生成IP地址，掃描445端口，發現可利用漏洞；釋放病毒文件；訪問開關域名；加密用戶文件；展現勒索界面縱深防御：在攻擊鏈各個環節，檢測威脅（攻擊/脆弱性），消除威脅；無法保證100%有效檢測、滯后、只看到事件碎片、響應慢攻擊鏈（洛克希德馬?。簢@漏洞的“發現即摧毀”；攻擊難以被檢測，來不及處置（逃逸、加密、協同、快速擴散）網絡網絡FW/主機主機AV主機主機AV網

11、絡網絡FW/網絡網絡IPS數據備份數據備份網絡網絡IPS系統系統漏洞補丁漏洞補丁漏掃漏掃安全智能防御AI威脅分析/態勢感知安全智能聯動縱深防御/未知威脅檢測單點安全防御能力基于AI的未知威脅檢測攻擊前的防御安全資源池化安全服務化/運維自動化基于AI的策略管理（策略自動化）；安全服務化（資源管理/業務編排）；華為軟件定義的安全解決方案Huawei SDsec安全解決方案=應對新型攻擊的安全智能檢測與聯動閉環+適配業務要求的安全彈性架構執行器SwitchRouterFW/vFWAntiDDoSNAVDFW3rd Security控制器分析器融合聯動SecoManagerCIS知識的積累：執行器檢測

12、/防御單項安全事件；知識的有效應用：分析器感知整體安全態勢，調用控制器實現對攻擊的自動化決策處置；安全資源池SecoMgrPB智能檢索流量異常分析日志關聯分析取證溯源CIS攻擊鏈檢測智能檢測智能分析分析智能智能決策決策/處置智能處置智能運維運維智能智能威脅情報威脅情報檢測智能：基于AI的縱深防御能力單點威脅檢測與防御Weaponization工具準備工具準備Delivery載荷投遞載荷投遞Exploitation漏洞利用漏洞利用Installation釋放載荷釋放載荷Command and Control(C2)建立通道建立通道Actions on Objectives目目標達成標達成Reco

13、nnaissance情報收集情報收集全流量NetflowLog（關聯分析）Metadata+Log郵件收發件人分析惡意郵件下載惡意文件執行分析郵件服務器分析情報檢測基于域名的DGA 域名檢測基于DNS響應的Fast Flux 檢測DNS Tunnel檢測Ping Tunnel檢測變形外發檢測主機掃描檢測端口掃描檢測賬號偽冒檢測暴力破解檢測訪問路徑檢測訪問頻次檢測AI+大數據檢測方法訪問不常見的網站郵件攜帶可疑文件URL下載可疑文件網站下載惡意文件威脅判定URL統計分析訪問流量檢測基線檢測加密通道檢測單向持續流量檢測可疑服務周期通訊檢測加密外發檢測感染賬號檢測特權賬號檢測SSH破解檢測異常管理行

14、為檢測CC數據傳輸檢測Metadata攻擊還未發生/計劃縱深防御縱深防御/PDR閉環可覆蓋的范圍閉環可覆蓋的范圍攻擊已經發生/破壞攻擊正在發生/執行攻擊事件網絡 主機 應用問題：沒有撬不開的鎖，單點技術不能100%防??；對策：層層設防，降低攻擊概率；利用AI增強威脅發現能力；強調產品異構；Protection：通過漏掃識別漏洞；配置防火墻策略、打補丁減少受攻擊面；Detection：基于IPS、沙箱、CIS等，檢測已知/未知威脅；Response：以單點技術與人工手段，處置發現的威脅；沙箱WAF主機安全、應用安全，數據安全NAVWEBDB審計SecoMgrDDoSASGIPS漏掃UMAC&C、

15、隱通道提供有效應對單項威脅的有效檢測與防御手段！FIRHUNTER：基于HYPERVISOR+AI的惡意代碼檢測沙箱機器學習（隨機森林）機器學習（隨機森林）動態行為檢測模型動態行為檢測模型動態行為檢測模型動態行為檢測模型正常樣本正常樣本惡意樣本惡意樣本特征提取特征提取函數運行APIAPI對應的參數惡意行為分析網絡行為分析文件樣本培植（黑、白）文件樣本訓練現網文件現網文件虛擬機運行引擎虛擬機運行引擎文件行為序列調度器虛擬機運行引擎虛擬機運行引擎文件行為序列現網檢測已知家族：深度學習（已知家族：深度學習（CNN卷卷積神經網絡）積神經網絡）動態行為惡意家族分類模型動態行為惡意家族分類模型樣本識別樣本

16、識別/惡意家族分類惡意家族分類動態行為惡意家族分類模型動態行為惡意家族分類模型未知家族：非監督聚類未知家族：非監督聚類有監督的惡意文件檢測基于動態行為的惡意判定；有/無監督的惡意文件檢測基于動態行為的惡意家族分類；CIS：基于AI的網絡異常通信流量檢測威脅判定3、聯動處置1、ECA探針提取特征，送CIS檢測InternetRazy勒索軟件請求變種程序（加密）2、ECA模型實時判定CISECA探針前50個報文NP/X86 OS攻擊主機失陷主機3：終端調查工具定位、分析、清除惡意文件聯動處置SecoManager策略控制器AC-CampusAC-DCN 1：聯動FW南北向攔截或隔離2：聯動交換機東

17、西隔離攔截、隔離CIS:Cybersecurity Intelligence System,網絡安全智能系統特征1特征2特征3特征4結果：Y/N投票判定（多棵樹加權）白樣本黑樣本購買公開合作云端積累合作云端積累特征提取隨機森林判定樹生成檢測模型 報文時間間隔字節分布統計TLS協商信息 流持續時間檢測模型訓練樣本獲取檢測模型評估樣本訓練平臺，持續訓練輸出ECA檢測模型protocolIdentifiersourceTransportPortnumberOfBytesPerSecondflowDuration.特征指標機器學習（有監督）MetaDataMetaData樣本惡意C&C流檢測模型（隨機

18、森林）模型優化流量探針惡意C&C流檢測模型正常通訊異常通訊構建決策樹下發給用戶側檢測系統云端用戶側有監督學習加密流量C&C檢測：ECA加密流量檢測有監督惡意C&C/Webshell異常通信/DNS隱通道檢測無監督學習DNS流量C&C檢測：DGA惡意軟件&通訊 載荷投遞：載荷投遞：發現8個全球首次發現、19個Top4殺軟、38個現網殺軟無法檢測的未知病毒 建立建立C&C通道：通道：深圳、上海、南昌、天津分行部分機器發起對12個黑客服務器的請求（美國4個、葡萄牙5個、中國1個、馬來西亞1個）數據外外泄階段：泄階段：檢測到Ping/DNS隱蔽通道攻擊行為攻擊行為階段階段檢測手段檢測手段異常點異常點1

19、黑客偽造釣魚郵件發給銀行員工滲透文件沙箱：檢測郵件附件文件高?；蚩梢?員工執行附件感染未知病毒滲透流量探針：跟蹤郵件下載員工下載可疑文件3接收外部黑客指令遠控流量探針DGA（動態生成域名）、惡意C&C流、加密攻擊4根據指令收集內部信息（高級權限、收集數據、獲得跳板機）內部擴散 日志探針、NetFlow蠕蟲、暴力破解、掃描、基線5根據指令外發數據數據外發 流量探針Ping/DNS隱蔽通道Internet總部郵件服務器SIEM終端管理系統流探針FireHunter6000日志探針流探針深圳分行CIS其他分行文件服務器134IDC52聯動第三方終端上線2月效果顯著檢測智能：CIS+沙箱實現對單點安全

20、威脅的智能檢測防御原理：提供虛假信息，把攻擊引入歧途，攻擊者只要攻擊了誘餌資源，即暴露！無需逐一對抗特定攻擊或者修復漏洞，普遍有效！基于網絡誘騙技術的攻擊意圖檢測：對攻擊者“隱真示假”Weaponization工具準備工具準備Delivery載荷投遞載荷投遞Exploitation漏洞利用漏洞利用Installation釋放載荷釋放載荷Command and Control(C2)建立通道建立通道Actions on Objectives目標達成目標達成Reconnaissance情報收集情報收集攻擊意圖識別，檢測在攻擊之前攻擊意圖識別，檢測在攻擊之前攻擊正在發生/執行攻擊已經發生/破壞內網W

21、EBWEBWEB攻擊 問題：傳統縱深防御總是滯后于攻擊；對策：通過誘騙，識別攻擊意圖基于意圖：設置誘餌陷阱捕狼 方法：網絡誘捕技術WEB攻擊基于特征的檢測（認識所有的狼）；基于特征的檢測（認識所有的狼）；基于行為的檢測（監控所有吃羊的行為）基于行為的檢測（監控所有吃羊的行為）擴展防御深度，拓展防御的數據空間，實現在攻擊破壞發生之前實現威脅檢測與防御！為什么有了縱深防御還防不住APT？單點防御，不能識別完整攻擊鏈并協同防御從上百萬條“正?！庇涗浿凶R別出“異?！惫羰录?；自適應保護架構持續監控所有數據RSA 2016：FW/沙箱/SIEM的安全防御是失敗策略，基于完整網絡可視、機器學習和人工智能才

22、能應對高級威脅安全智能防御技術體系數據源處置執行vSwitchVM1VM2vFWvSwitchVM1VM2vFW探針沙箱NGFW掃描Internet縱深防御安全智能SecoMgr大數據安全智能協防：AI檢測/態勢感知/協同聯動技術獲得多維數據的統一分析能力，重構全局攻擊視圖；協同聯動/快速閉環能力，不再強調異構。隱通道&未知攻擊檢測調查取證/攻擊路徑回溯安全態勢感知/趨勢預測Weaponization工具準備工具準備Delivery載荷投遞載荷投遞Exploitation漏洞利用漏洞利用Installation釋放載荷釋放載荷Command and Control(C2)建立通道建立通道Act

23、ions on Objectives目標達成目標達成Reconnaissance情報收集情報收集攻擊鏈的事前、事中、事后全過程監控；攻擊日志與流量關聯分析攻擊鏈的事前、事中、事后全過程監控；攻擊日志與流量關聯分析APT攻擊源縱深防御/單點防御全局感知/協同防御AI分析智能：基于攻擊鏈，關聯判定，取證溯源，建立威懾收件人異常高危附件IP信譽Mail 異常未知C&C賬號異?；€異常檢測沙箱檢測信息流量元數據NetflowsysLog 單點異常檢測攻擊鏈關聯，威脅判定滲透駐點提權偵查外發隱蔽通道滲透駐點提權偵查外發情報資產收集終端外聯CC攻擊行為用戶點擊郵件附件，被感染回撥CC服務器，獲得任務盜用賬

24、號,內部提權收集數據外發數據文件IPDNS攻擊源掃描暴力破解隱蔽通道流量異常，威脅處置智能：與SDN聯動實現全網安全協防，快速處置InternetVMVMHostVMVMVMVM物理主機1物理主機2 辦公區HypervisorvSwitchCIS CIS 1 15 5NGIPSNGFWVMVMVMVMVMVM園區控制器園區控制器LSW安全終端2 2執行器執行器DCDC控制器控制器DSW執行器執行器vSwtichSecoManagerSecoManagerNGFW執行器執行器vNGFWCIS發現威脅，調用控制器進行遏制2 2SecoMgr接受指令，生成策略，下發對應執行器接受指令，控制交換機策略

25、實現控制3 34 4接受指令，執行策略主機被隔離、攔截Full-Netflow探針流量探針接受指令，執行策略工單系統應用管理員A：需求1：新建SrcIP（10.11.12.13）DstIP（10.11.13.34）/Port（2456）的訪問關系；需求2：刪除所有到DstIP（10.11.12.15）的訪問關系；-應用管理員B：需求1：新建一套應用系統，IP地址池和Port是，訪問關系是-應用管理員C：Firewall-101：rule 1 permit ip source 10.11.12.13/32 destination 10.11.13.34/32 port 2456Firewall-

26、228：undo rule 10Firewall-313：undo rule 100防火墻策略在哪些FW上配置哪些策略？工單系統應用定義和變更Restful：APP ID/IP rule/Action/SecoManager網絡分區架構應用依賴關系可視策略配置結點策略配置結點策略配置結點策略編排、優化異常流量感知Netconf根據應用系統模型，預先構建數據中心的網絡安全拓撲和業務交互路徑運維智能：基于AI實現“云/網/安”一體化策略運維對接業務工單，聯動云平臺/網絡控制器，實現安全業務編排，隨同業務策略的自動化安全策略運維 策略全行分散部署，IP策略語言，難運維：IP五元組策略，20000+條

27、，維護管理帶來很大難題 不感知應用，手動部署：業務生命周期和安全策略缺少對應關系，云環境業務變更頻繁，依賴手動觸發上線/變更L3 NetworkInternet分析器控制器執行器互聯網DMZ資源池外聯網DMZ資源池內網資源池DC邊界網絡安全Agile 控制器租戶邊界網絡安全VM間網絡安全流探針DDoSNGFWvNGFW大數據安全分析CIS分析器主機安全云OS安全VMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVMVM云OSDDoSAntiDDoS終端安全軟件云OS加固NGFWL3 Network廣域網AntiDDoSNGFWNGFW沙箱WAFNGFWIPS安全資源池NGFWIP

28、S安全資源池SecoManager安全控制器結果同步策略同步管理員管理員外聯網NGFWNGFW華為云安全解決方案全圖安全執行器、控制器、分析器構成安全智能聯動框架；安全池化與策略自動化設備，構建安全彈性服務架構；安全資源池化運維智能分析智能合規的基線化安全能力安全服務化意圖檢測處置智能單點檢測智能華為SDSec解決方案特點：從單點防御到全網協同防御；從基于策略的靜態防御到基于智能的動態防御；從針對威脅的被動防御，到基于意圖識別的主動防御；早于攻擊破壞實現事先防御；架構開放：SDSec安全解決方案通過開放接口融到網絡SDN架構中，可與不同的SDN框架和云管理平臺對接安全框架開放標準接口(I2NSF），可的以容納各種能力和不同的產品組件，構造開放共贏SDN安全生態；謝 謝！