RSAC2023解读第5期 | 威胁信息跨界协同，使能智能防御-电子发烧友网

本期解读专家

RS AC议题中 Analytics Intelligence & Response是讨论威胁信息（Cyber Threat Intelligence）和响应相关内容的， RSAC2023该议题中单纯讨论威胁信息价值、应用、技术等相关的内容已经较少。本期从RASC2023中分散在多个主题下讨论的驱动安全技术发展的因素入手，探讨通过威胁信息协同使能安全分析及响应技术向自动化、智能化演进。

合规遵从、威胁态势、IT技术发展、业务意图等多种因素共同驱动了企业网络安全需求和技术的演进。从外部看，一方面，随着网络安全法律法规的完善，企业需要在法律遵从下进行经营；另一方面，网络威胁逐年增多、攻击强度增大，企业需要投入恰当的资源保证业务安全运营。从内部看，IT技术的发展改变了企业IT的技术形态，随之引起安全技术的变革。

全球网络安全威胁持续增长

据Statista发布的统计数据，网络犯罪已成为世界第三大经济体，且每年以15%的速度增长，相反网络安全投资的增长率仅为9.7%。Akamai在报告中提到，针对Web应用和API的攻击持续增长，2021年至2022年，总体的网络攻击流量增加了2.5倍。勒索等破坏性网络攻击增多，blackfog发布的勒索软件报告中提到，89%的勒索软件攻击中都使用了二次勒索的手法——泄露数据。更大的资源支撑、更大的攻击频度、更大的破坏性已经成为每个企业面临的基本攻击态势。

全球面临安全劳动力缺乏

(ISC)² 发布的2022网络安全劳动力研究报告指出，2021年全球网络安全劳动力需求为691万，缺口为272万；2022年全球需求为809万，缺口为343万，相比2021年需求和缺口差距增大。同时，从需要使用安全劳动力企业来看，约99%的企业为中小型企业，但是已有的网络安全劳动力大部分流入了大型企业。

应用自动化技术解决安全问题

网络威胁增长、安全劳动力缺乏、告警疲劳对安全劳动力的消耗等问题是企业在实施安全项目过程中面临的主要问题。同时，RSAC2023多个主题中谈到了网络安全向网络韧性的转移，企业期望得到更多是“确定性的业务防护”。

针对上述问题和诉求，华为推出了华为乾坤云服务。基于自动化分析技术+专家运营模式，为用户提供覆盖风险识别、威胁检测、安全防护、威胁响应全周期的技术解决方案，逐步实现“确定性的业务防护”。

自动化分析技术，包括基于规则和AI的分析技术，被嵌入到边界防护与响应、EDR等多个服务中用于应对网络威胁的快速增长和变化。其中规则和AI决策依赖的场外数据由威胁信息服务提供，并由威胁信息形成跨时空、跨服务的数据循环。

威胁信息使能跨界协同

微软提到AI应用于安全中的三个叠加的力量包括：人工智能算法、大规模的算力和数据、威胁信息。华为乾坤云服务解决方案中，威胁信息服务作为核心原子服务之一，向其他服务提供了威胁信息数据及跨服务的数据协同能力，如下图所示。

核心的协同能力包括：

1.单个服务某个业务节点时间上的威胁信息协同，例如，某台天关、某台沙箱、某个EDR Agent节点感知到的威胁在不同时间跨度的协同。

2.单个服务不同业务节点空间上威胁信息的协同，例如，多台天关感知到的威胁在空间跨度上的协同，沙箱、EDR Agent亦如此。

3.不同服务间威胁信息的协同，例如，天关和沙箱、天关和EDR、沙箱和EDR间威胁信息的协同。

4.安全运营人员和各个服务间威胁信息的协同。

威胁信息服务通过威胁信息协同可以实现主动防御、未知防御，并基于系统提供丰富、结构化的数据，使能基于AI算法的威胁分析及研判，进而提升攻防对抗的时效和实效。

结束语

云计算技术发展带来企业IT部署形态和交付形态的变化，进而引起安全控制位置的转移，从而驱动安全产品形态及功能的演进。AI技术的发展提升了攻防对抗的效率并丰富安全防护功能的实现方式。华为乾坤云服务基于云计算技术、AI技术及华为安全智能中心长期的能力积累提供托管的云服务，为实现向客户提供“确定性的业务防护” 持续努力。