从这三个角度来说,我们需要跟以前不同的是,至少我们要必要条件,至少包括时间程度的比以前的更大的一个分析能力,时间上要分析到过去,可能要持续,以前分析一个星期,现在要分析一个月,两个月,APT持续的问题,你这也不是没有案例,如果一起来之后,我其实并不怕他,时间短。空间围度就是这样,你会错误的把一些以为不重要的安全忽略掉,一些信息会被忽略掉,只有当你把这些原来忽略掉的东西整合在一起,我原来一直在反驳美国所谓的中国威胁,当时有一个53页的,我全都看了,后来返过来,现在反问过来,我们应该学人家怎么分析,指空间的围度,不一定来自一个系统,我们有防火墙,IBS等等,甚至我们运营商说的,无所谓,都一样,他们我们叫做具有某种特征的,你是根据一定的特征来筛选形成的,他一个致命的问题就是对于你未知的东西你永远不可能拿到,有人说你我有行为的分析,那也是特征的,行为你认为这些行为特征,那么对于最底下的应该增加一层,这个在会议里面,也开始用原词,补充一个户籍特征的,并不需要长期的丰富,就好像我们大街上,带枪的人拍下来,大声喧哗,但是这个信息什么时候才能用?发生什么事件需要回溯,回去找当初怎样怎样,我说的比较形象,并不是你把这个数据直接存下来,数据要进行组织。
最高位的是什么?空间这个位置,需要把各种不同的,现在所谓的这种分析,有人把他翻译成智能,更高资源,更大范围。讲的是深度分析,包括代码层面的,数据层面,这些都是运营商非常重要的,代码意味着清楚代码,分析代码里面的隐藏能力,代码的对抗性,甚至是分析分析 一个代码谁和谁是一伙的,编写的是什么人,深入的事件分析也是一样,控制体系,以前有案例,都曾经有过一些,不是整合在一起的,在这里举一个例子,有些东西不是依据于那些特征事件的,要做更广泛的东西。
所有这些分析的目标是三个互相关联的,从用户的角度来看,比如说供应商,通过分析我告诉你,哪些东西你可以不用关注,哪些需要高度关注,一年面对五百万的代码,这四百万,这一百万再慢慢的缩小,事件也是一样,所有这一切,都可以用一个字来分析,其实就是要对动机分析,分析出来这个事件是真正的创建出来的?还是其他的?
另外这种对抗从来就是一种记录,是一个风险管理的概念,所有讲的这些东西,本来都是在去年年底的时候,在国内讲的,这次在世界最大的一个安全,RC会议,安全会议,参会人员超过两万人的规模,这个会议顶尖的专家,讲到的东西,完全一致,讲的是什么呢?RIC的总裁,必须转变观念,不再仅仅防御和跟踪毫无疑义的个别事件,我们要快速筛查大量信息的能力,建立预测和先发制人的信号。这些都是他讲的一些观点,包括基于风险,风险是更加本质的东西,最终切换到风险管理的做法上来,数据处理层,跟我刚才也不一样,他提到了时间围度。
其实这里面有很多的内容,今天时间关系,不展开了。面对新的威胁,我们需要做出新的调整,需要摆脱对单一事件的重复应对,要从繁杂的数据中区分出真正的安全威胁,需要转变观念,从过去仅仅关注技术层面的事件,到开始关注真正的安全威胁,关注风险的管理。
跟大家分享到这儿!谢谢大家!
