IDC 观点我们的生活已经进入了互联网+ 时代这是一个真正以技术推动企业转型的时代互联网不仅影响着每个人的生活也在深刻推动着各行业的变革 IDC早在2007年就提出了第三平台的概念预示企业IT基础架构将慢慢向基于云大数据移动和社交网络等技术为代表的新平台上迁移 2014年 I

IDC 2016 行业白皮书数字化时代要求下一代数据驱动的安全 IDC 2016 行业白皮书赞助者奇虎360 1

IDC 观点我们的生活已经进入了互联网+ 时代这是一个真正以技术推动企业转型的时代互联网不仅影响着每个人的生活也在深刻推动着各行业的变革 IDC早在2007年就提出了第三平台的概念预示企业IT基础架构将慢慢向基于云大数据移动和社交网络等技术为代表的新平台上迁移 2014年 IDC在第三平台的基础上又提出了6大创新加速器即物联网 3D打印机器人虚拟与增强现实感知系统和下一代安全这些技术进一步推动着企业用户的深度变革驱动数字化转型并且从根本上重塑了企业与整个商业环境之间的互动方式和业务开展模式随着云计算移动大数据机器人物联网等第三平台创新技术被企业越来越广泛地采用大量各式各样的终端用户设备不断涌入运营设施环境日趋复杂使得企业对IT基础设施实行全面的控制变得越来越困难 CIO对企业数据和应用管理显得越来越力不从心超过百分之七十的中国企业表示他们正在开展有关数字化转型的项目这些数字化转型项目在很大程度上可以推动企业业务快速增长同时也将增强企业内部的管理机制这些都激发了企业对数字化转型的积极性然而随着数字化转型的加快企业在网络安全层面也将面临更大的风险和困扰因为随着更多的企业资源被数字化网络攻击者们有了更强烈的动机和更广泛的攻击目标加上越来越高级的恶意程序和威胁防护界线变得模糊网络攻击者们开始利用这些弱点对企业进行威胁从而达到盗取信息的目的这也使得企业的整体IT安全受到极大威胁企业在他们的数字化转型过程中对网络安全方面做出预先考虑这种影响力已经把IT安全从运营层面提高到战略高度在本白皮书中 IDC就中国企业数字化转型的安全挑战进行了阐述包括企业现有安全解决方案的局限和技术瓶颈更重要的是 IDC将讨论下一代数据驱动安全的新概念并阐述"下一代数据驱动安全"如何能更适应这个数字化转型的时代以及如何应对当今网络威胁和攻击所带来的新的挑战

研究方法本研究中所提供的信息是 IDC 对信息安全市场持续研究的成果 IDC 获取信息主要通过一手调研和案头研究, 两种方法共同使用, 相互关联互相佐证, 以确保信息的有效性和准确性信息获取方式如下 : IDC 选取多家企业客户进行调研分析, 行业涉及交通电信能源等多个领域, 通过对企业 CIO 或 IT 主管的访谈,IDC 获取了第一手研究资料, 深刻剖析了企业客户对于数字化转型以及下一代安全的诉求和建设状况由于样本数量有限, 本白皮书更多是从定性角度分析在第三平台建设下的下一代数据推动安全的重要性, 不涉及太多定量统计数据另外,IDC 还进行案头研究, 主要包括但不局限于 : 互联网业内厂商新闻稿件 IDC 全球分析报告以及 IDC 专有数据库等, 对研究成果提供进一步补充

市场综述数字化转型将数据推向最前沿, 最中心我们正在经历一场由科技力量驱动的商业转型, 它建立在以移动云计算大数据和社交网络, 即 IDC 称之为第三平台支柱技术, 的基础之上 4

IDC 2016 行业白皮书在这四大第三平台支柱技术之上,IDC 又确定了包括物联网机器人 3D 打印感知系统虚拟 / 增强现实和下一代安全等创新技术, 为客户的业务经营方式和商业环境互动带来了革命性的颠覆与重构 IDC 认为, 这一轮的以数字化为主体的变革将在包括 : 服务过程体验沟通方式响应时效业务创新和服务性价比等几个方面, 深度改革企业模式, 推进业务转型然而, 随着数字化转型的加快, 这给企业从网络安全层面带来了更大的风险和困扰因为随着更多的企业资源数字化, 网络攻击者们怀有更强烈的动机和更广泛的攻击目标今天, 物联网的出现使得连接到网络的设备变得更加多元化, 这大大促进了将人机数据转换成商业洞察, 甚至可能创造新的企业收入在 2016 年, 有关数据治理 (data governance) 和数据科学 (data science) 的市场将会有一个大幅度的提升金融 / 保险 / 证券电信零售医疗和物流已经是领先的行业我们预测其他行业也会快速跟进, 甚至是实现跨越式发展, 一举成为市场中的领导者同时, 数字化转型也给企业的信息安全带来了极大威胁这是由于在企业将自己的业务部署在第三平台的同时, 各种威胁也将通过这一平台扩大传播范围和影响力数字化转型使企业将更多数据以数字资产的形式保存, 激发了黑客更强烈的动机, 也扩大了攻击的目标范围同时, 数字化转型也让公司的数字物理资源实现重组, 模糊了数字资产与实际资产的界线, 使企业的网络安全存在着极大隐患图 1 国内数字化转型趋势到 2016 年末, 我们将看到至少 74% 的中国企业正在开展数字化转型有关的项目 ( 见图 1), 这使得数据在这样一个新的生态系统中扮演了一个至关重要的角色, 同时它也成为数字化转型下企业的命脉来源 :IDC 亚太区 2016 年 IT 服务最终用户调研 ( 亚太区 n=1338, 中国 n=100) 5

数字化时代要求下一代数据驱动的安全网络犯罪的兴起和蔓延无论是给个人企业还是国家的发展都造成了不断变化和增长的挑战迅速蔓延的网络犯罪现在, 公共信息 / 数据泄露影响的不仅是企业, 也是个人的事业发展 2014 年美国最大的零售商 Target 的 CEO 和 CIO 都因大量客户数据泄露事件相继下台如今越来越多的政府不得不承认, 网络犯罪已经开始威胁到国家安全, 各国开始着手建立一个高标准的网络犯罪防御中心在去年的 RSA 大会上, 来自国际刑警组织 (Interpol.) 网络犯罪调查小组的 Brad Marden 表示, 抢劫等实体犯罪的犯罪率与 5 年前相比减少了 90%, 其中一个主要原因便是网络犯罪的兴起网络犯罪的兴起在很大程度上是由于它与实体犯罪相比更有利可图和更方便想象一下, 美国第二大医疗保险提供商安森 (Anthem) 的事件中, 如果把数据库中接近 8 千万条记录, 大概是 78GB 的数据换算成实体信息, 这些实物需要打印成 170 万张双面 A4 纸对罪犯来说, 窃取如此大量的纸质信息简直是天方夜谭, 他们可能需要货车花上几周, 甚至几个月的时间去装卸和运输今天, 他们只要 1 小时 44 分钟就能窃取到所有的数据网络攻击对犯罪者来说方便而高效, 据说一个成功的黑客通过勒索软件攻击, 每天收入高达 $33,000, 如此的高利润使得黑客行业迅速兴起图 2 网络犯罪的兴起来源 : Various media reports on the news of Anthem breach, as of May 2016 6

IDC 2016 行业白皮书图 3 世界史上最严重的数据泄露事件一篇由美国战略与国际研究中心 (Center of Strategic and International Studies) 发布的名为 Net Losses: Estimating the Global Cost of Cybercrime( 净亏损 : 估算网络犯罪的全球成本 ) 的报告中提到, 每年发生的网络安全事件为全球带来的经济损失估计超过 4000 亿美金, 而这只是一个保守的数字, 毕竟很多公司不愿意透露自己的安全事件所造成的经济损失, 因此实际数字可能会更惊人图 3 列举了 2012 年至今发生过的重大数据泄漏事件, 累计泄露超过 3 万条信息记录包括财务信息工作健康位置和家庭等所有形式的个人数据如今都可以在云中找到, 这比起之前人们日常使用更新共享和管理一项单一种类数字化实体显得来源 : A collection of media reports on the high profiledata breaches news, as of May 2016 轻而易举业务系统使用它们关于个人习惯和喜好的知识来定制用户体验, 并替换掉那些值得信任的顾问然而, 它也允许黑客收集员工大量的个人信息利用收集到的信息, 这种系统使黑客比以前更有效地开展社会工程活动和随后的攻击 / 破坏例如, 他们可以通过电子邮件冒充自己是公司的关键人员或决策者以便获取机密数据或共享包含恶意软件的链接事实上, 大多数的攻击都是从一个简单的钓鱼行动或基于 Web 的攻击在组织中获得初步的立足点开始的一旦集结地建立起来, 攻击者精心寻求提升权限, 往往在窃取帐户凭据时显示为合法用户 IDC 认为这些威胁事件报告只是冰山一角, 因为很少有公司愿意透漏真实的损失在法律合规环境不成熟的亚洲更是如此中国某主要银行的系统数据遭到网络攻击后, 即使相关执法人员私下确认了此事件, 该银行仍公开否认其系统遭受了攻击 7

数字化时代要求下一代数据驱动的安全 Facebook 目前拥有 13 亿活跃用户腾讯 QQ 拥有 8 亿用户前 5 名的聊天应用用户总数超过 23 亿人人民在日常生活中广泛地使用网络, 而背后则暗示着其对社会巨大的影响 IDC 预计到 2020 年, 超过 15 亿人, 即每四个人当中就有一个人, 将受到数据泄露的影响这个数字还考虑到了个人敏感信息在社交网络平台上的显著增加, 而网络罪犯恰恰是利用这些社交网络平台发动了社会化工程运动来源 : 我们是社会 (We Are Social),2015 年 1 月 8

IDC 2016 行业白皮书直至今天严重网络犯罪的罪犯中只有少数归案在很多案件中甚至无从指认制止网络犯罪的成本远高于实施网络犯罪的成本当我们讨论企业如何借助第三平台技术如云社交大数据分析等去实现数字化转型的时候网络罪犯也正运用相同的技术去实施犯罪是什么让网络犯罪愈演愈烈数据破坏调查反映出企业在维护强有力的安全管控方面仍难免百密一疏也反映出攻击者有能力绕开哪怕是市面上最有效的安全产品现如今的安全解决方案并不能完全满足社会对网络安全的需求尤其是面对先进的恶意软件和网络攻击随着网络攻击的持续性规模化和影响力在增长迫使企业需要重新考虑网络安全和风险方面的部署监控管理和修复黑客们实施网络犯罪的门槛其实不高随着黑客越来越多地利用基于云的解决方案如'恶意软件即服务" 使得不那么精通技术的人也可以成为黑客此外如今许多网络攻击是由更成熟的自动化工具发动可以发现零日漏洞并实施攻击高级持续性威胁(APT)是近日许多大规模破坏的源头此种破坏大多使用大量精密的方法去危害网络运行并寄宿在网络内部很长时间而不被发现通常企业受到的危害会一直持续到病毒过滤系统把它列为怀疑对象从而阻止其继续攻击 9

数字化时代要求下一代数据驱动的安全在不断发展的网络威胁环境中, 威胁者持续地改进犯罪的工具战略和流程, 同时抓住间隙以便更有效地发起攻击目标明确的攻击通常是分阶段精心部署且可以攻破普通的防御为什么传统的安全解决方案行不通? 传统的安全方案越来越不能解决如今的网络攻击主要原因有三点 : 签名式的安全监测方法 : 通常相对不成熟的企业认为一道坚实的防火墙就是整个企业的安全战略传统安全方案是基于围墙概念创建的, 如同在城堡周围建立堡垒这种围墙式安全的典型构成是网关上的防火墙和设备终端上的防病毒软件这些安全设备, 包括防火墙入侵检测与防护系统以及其他恶意软件的鉴别防护, 都是部署在固定的位置的此种解决方案通常足以应对已被认知的基于签名创建的恶意软件但是, 对于未知的威胁, 基于签名的解决方案会变得无效由于产生恶意软件的自动化过程使得变体恶意软件的数目大副快速增加, 以签名为基础的恶意软件周期会太长和无法应对, 考虑到这将需要更长的时间和计算能力来基准一个越来越大的签名列表, 从检测指纹更新恶意软件数据库和新的指纹分配到终端点会让安全的产品性能都成为一个问题缺乏威胁信息的可视化和背景信息 : 对许多企业的安全系统来说, 安全警报的惊人数量已经成为一个极大挑战据调查, 有不少 IT 团队一个月以内收到近万次警报, 筛选和衡量警报的威胁性将会成为企业的重要工作因此, 这对于自动化不完善的企业的 IT 人员是一项繁琐而复杂的工作这样一来, 企业便会经常苦于缺少自动化衡量警报风险的工具其实, 挑战都是由于传统的安全防护手段无法对威胁和系统安全状态实现可视化单点产品, 零敲碎打的做法 : 尽管大部分信息安全技术, 从单点来看, 都有越来越成熟的发展, 但信息安全及威胁分析仍然是一个很难实现的目标, 究其原因, 是由于传统的安全及威胁分析通常依赖来自多个厂商的多个工具而很多时候这些工具之间的兼容性很有限包括在多个环境之间无缝衔接, 一体化信息安全管理已经成为驻扎中国的企业选择信息安全厂商第二重要的衡量标准 ( 图 6) 私有云, 公有云, 第三方管理云等多样的 IT 环境现已十分常见因此, 能在多样环境下一体化信息安全管理系统也成为买家的一大需求保持企业边界不被网络攻击入侵变得极其困难, 有时甚至不可能实现, 因为定制化的攻击可以绕开传统的检测工具并利用网络中的弱点 10

IDC 2016 行业白皮书下一代数据驱动安全 IDC 提出, 下一代安全是六大创新加速器之一, 也将成为从根本上加速数字化转型和完善第三平台的技术创新之一早在 2014 年底,IDC 已经开始谈论第三平台安全的优化问题简言之第三平台使得企业数据大规模增长, 这样一来企业间的防护边界也随着数据的增长而拓展, 使得企业安防边界变得模糊且不断变更, 这使得传统安全措施无法适应这种无法预测的变化, 第三平台中的信息安全急需一个强有力的手段进行保护例如, 我们看到主要发展安全的终端设备 ( 移动设备, 连接传感器等 ), 云端设备 ( 云存储的数据 ), 以及越来越多地使用大数据分析都让我们的企业受到了大量的安全威胁第三平台优化意味着信息安全技术和服务的发展能够适应信息系统大规模快速发展的脚步, 并有能力保护信息安全免受威胁例如, 在保护终端设备 ( 移动设备, 传感器等 ), 核心设备 ( 云储存的数据 ), 以及大数据及分析等方面, 我们见证了安全技术正不断发展以使其免受侵害网络攻击的增长速度越来越快, 云技术 BYOD/CYOD 和物联网等技术的涌现又持续扩大着 IT 攻击的目标范围企业首席安全官正在寻找实时的安全数据分析方法来更好地控制威胁以及运用可靠的检测机制, 使得企业能够迅速遏制威胁突破口, 从而保证数字化转型中的企业自身不受到安全问题威胁图 4 中国数字化转型驱动最重要的三项技术亚太区 n= 1338, 中国 n= 100 来源 :IDC 亚太 IT 调研,2015 对风险的问责制度提升了 IT 在企业中的重要性, 也导致 CIO/CISO 有更多不容推卸的领导责任不出所料, 在近期 IDC 亚太地区 IT 服务调研中显示, 下一代信息安全在数字化转型过程中最受重视技术排名中位列第二, 平均得分 3.34(5 分代表最重要 ) 相比之下, 中国企业把下一代信息安全列于第三, 平均得分为 3.75, 高于整个亚太地区的平均分这表明中国企业对下一代信息安全的重视程度要高于亚太整体平均水平 ( 见图 4) 11

数字化时代要求下一代数据驱动的安全 64% 的中国企业认为下一代安全在数字化转型中处于重要或非常重要的地位然而, 抛开下一代安全的重要性, 只有 39% 的企业认为自己做好了相应准备, 而 35% 的企业则认为内部 IT 组织并没有充足的准备 ( 见图 5) 图 5 中国下一代安全的重要性和完备性对比 n= 100 来源 : IDC 亚太区 IT 调研,2015 IDC 认为, 大多数的企业尚未开始创建新一代的安全防护机制, 这也跟受访者给到我们的答案相吻合当下, 企业已经认识到 IT 作为当今的技术改革驱动力, 企业将会投入更多地人力和物力来加强他们的安全策略, 来更好地为应对当下的安全挑战做好充分准备 12

未来展望 IDC 定义了下一代安全是一个基于第三平台的不断进化的安全模型, 有别于深层防御分层防御边界防御等传统平台它的分配模型基于轴辐式结构, 可以根据风险测定, 共享威胁指标并调整应对策略威胁指标和风险评估需要大量结构化和非结构化的数据数字经济中, 风险评估至关重要有效的风险管理需要对企业的业务和商业模式有深层的理解 13

数字化时代要求下一代数据驱动的安全图 6 中国市场评价安全服务商最重要的特质 2016 年亚太区 IT 服务调查表明, 中国企业选择信息安全厂商时最看重的三个特质分别是 : 对企业业务的理解一体化信息安全管理和安全大数据信息分析能力 ( 图 6) 威胁情报市场的兴起传统安全解决方案的不足很大程度上是因为大量的安全产品和资源都集中在较被动的防御层面, 没有主动地去掌握如威胁情报 (threat intelligence) 这样可以针对未知威胁的产品和服务自 2015 年起,IDC 看到市场上一股对于威胁情报的产品及服务的强劲需求例如全球的高级威胁安全分析和防御 (specialized threat analysis and protection) 产品市场规模会从 2015 年的 15.4 亿美金增长到 2019 年的 31.4 亿美金, 五年间的复合增长率是 27.6% 同样, 相关的服务市场 (threat intelligence services) 也会在 2020 年达到 17.9 亿美金的市场规模无论是从提供商还是从客户需求的角度, 我们都能看到这个市场的蓬勃兴旺, 特别是考虑到更加复杂的物联网软件定义网络数字化转型对企业安全带来的挑战,IDC 认为下一代的安全是非常需要威胁情报的支持并推动企业数字化转型的目标是下一代信息安全的终极目标, 换言之, 它将以企业为重心, 为企业服务 ( 而非以传统的以 IT 系统为重心 ) 更重要的是, 已出现的信息安全威胁和事件应当能在事件情景和行动的方面为企业主们所借鉴这一切都要求下一代信息安全必须以数据为驱动力另外, 威胁情报的解决方案或服务并不是传统安全控制方案 ( 如 NGFW IDS IPS AV SIEM 等 ) 的替代品, 而是使其提供更好防护的新动力基于提供的威胁情报上重新调配安全控制, 可以使得它们更好地发挥出它们的价值来出色的工作然而要将这一切完美地结合在一起, 我们需要通过安全数据分析让威胁情报能够从企业内部和外部采集到多层面的数据信息不同层面的威胁指标 Indicators of Compromise (IOCs) 需要清楚地收集作用于各个层面汇集的数据 ( 网络终端用户行为等 ) 才可以捕捉到之前被传统签名的安全方式忽视的冒充行为, 并与可疑的威胁和零日攻击做关联 14

IDC 2016 行业白皮书威胁情报在企业侧大数据安全分析平台的应用遍物联网将推动下一代的终端安全 EDR 端点检测和响应解决方案就是一个很好的例子旨在主机和终端发现调查并解决未修补漏洞以及可疑活动同时该系统还会在事件发生后共享威胁情报我们已经看到一些大企业开始收集和处理无论是内部还是外部以TB 甚至PB为量级的信息这样海量的数据并且好多数据都不是像安全产品日志那样属于结构化的数据要处理并且关联这些数据一定要有大数据平台作为支撑才可以大数据安全分析平台通常单独建立或是在安全信息和事件管理 Security Information and Event Management-SIEM 或 SOC 平台基础上的提升可以对网络端流量和终端行为数据进行还原结合传统日志将攻击链中的关键点从不同层面全方位地体现出来下一步事件处理与修复网络安全市场需要总体上的转变这与IDC所倡导的从保护和控制到监测与修复的理念是一致的一系列广为人知的攻击案例已经清楚表明哪怕企业对安全问题有所监察或投入这些企业还是有可能受到网络攻击尽管大多数企业仍然依赖以签名检测为基础的信息安全手段我们已经看到一些企业开始将威胁情报融入现有的信息安全运营体系中并用数据采集数据分析预测的角度来发现降低和防御潜在的安全威胁很多企业都会从专业的威胁情报提供商那里直接获得或者是用第三方的威胁情报对自己的大数据安全平台进行有效的补充市场趋势向监测与修复的转变说明了世上没有百分之百的安全更重要的是这说明了系统必须有弹性我们的研究表明业务连续性已成为企业优先考虑的话题因为业务中断将会增加地缘政治环境和网络空间上的不确定性基于数据能力的威胁情报处理与威胁分析保护方案的早期使用者的出现意味着对事故应对支持的需求在增长其中包括在威胁确认和修复方面的事项终端安全的迅速发展随着大数据时代的到来和移动终端设备的迅速发展市场上许多以终端为主的厂商正在面临着一些信息安全初创企业带来的威胁这些初创企业通过在终端提供用户体验分析来监测新型的安全威胁因此越来越多的传统厂商开始变革自身平台以迎合不断变化的用户需求并逐渐扩大其在系统开发保护等方面的生产力 IDC认为在不久的将来运用网络传感器和终端代理器监测收集和分析威胁指标通过私有或SaaS平台下的沙箱分析可疑文件甚至构建风险评级体系将十分普 15

关于 360 针对企业数字化转型,360 做出了安全领域的创新, 从终端数据监测网络流量数据采集到部署大数据平台的情报中心, 再到还原威胁的场景,360 开创了数据驱动安全的新思路 16

IDC 2016 行业白皮书 360 企业安全集团是一家中国本土的大型安全产品解决方案与服务供应商, 创建于 2012 年, 是 360 公司继个人安全市场后致力于服务政府和企业客户网络安全与信息安全管理的安全产品业务线 360 凭借在 PC 终端安全移动终端安全桌面安全管理大数据分析云安全等方面多年的积累, 并整合了网络安全网站安全开发安全等领域的优质技术资源, 推出各行业用户所急需的终端安全与管理一体化新一代网络安全未知威胁检测移动终端安全管理态势感知与安全运营平台等多项创新型企业安全产品, 目前已经拥有国家众多政府机构客户和超过百万家企业用户 17

数字化时代要求下一代数据驱动的安全从国家部委到担负国计民生经济支柱的大型央企, 从世界 500 强到国内外的中小企业, 从 CIO CTO 到网络管理员和工程师, 他们都在使用 360 企业安全产品和服务来提升网络管理安全性, 降低运营成本, 抵御来自全球的高级威胁 360 天眼态势感知及安全运营平台 (NGSOC) 介绍 360 天眼是 360 企业安全推出的基于威胁情报与大数据分析的态势感知与安全运营平台, 可针对包括大型企业政府能源金融等各个行业的企业级客户提供高级威胁的监测与发现响应与处置调查与分析闭环, 以及安全态势感知的功能和日常的安全管理运营, 从而被称为企业与组织安全运营的大脑, 与安全体系的其他部分达成智能的安全协同天眼 NGSOC 可基于在客户处建立的私有大数据安全分析系统作为平台, 并以 360 海量互联网安全数据所产生的威胁情报作为驱动, 进行智能的威胁与异常发现响应与深度分析天眼平台可对企业全流量进行还原, 对终端元数据以及各类设备与系统的日志进行采集存储与计算, 结合威胁情报进行深度分析, 帮助客户实现对各类高级威胁 ( 包括 APT 攻击 ) 进行精准的监测发现, 并在第一时间进行终端侧 (EDR) 与网络侧 (NDR) 的协同处置除了威胁情报与关联引擎的应用, 基于用户本地侧的各类大数据分析能力, 更可以对长周期数据运用如统计机器学习等方法, 进行异常行为的分析与发现进一步基于各类的调查分析工具, 如搜索引擎可视化关联分析引擎各类威胁鉴定器, 安全分析人员更可对攻击过程 (Kill Chain) 与攻击源头进行关联与回溯, 最终实现对威胁入侵的调查追溯在达到监测响应调查分析的核心闭环后平台还要在日常帮助安全运维人员简单高效的完成安全管理与运营工作并通过内外部的安全态势感知, 使得企业与组织的管理者对于自身的安全状况有全面的动态掌握 360NGSOC 更采用开放数据接口的方式, 使得第三方可以在此平台上通过 APT 接基于威胁情报与数据的驱动, 在本地大数据分析平台中实现可见的安全, 及时响应, 再到问题精准回溯分析,360 天眼 NGSOC 使得企业级客户在一个开放接口的数据平台上, 能够持续发现与避免威胁, 感知企业与机构安全态势, 进行综合的管理与运营口进行扩展的应用开发, 从而协同更多的力量为企业安全管理作出协作 18

IDC 2016 行业白皮书图 7 来源 : 奇虎 360 19

数字化时代要求下一代数据驱动的安全威胁情报 - 云端大数据持续分析安全态势感知 360 收集云端海量的网络基础数据和恶意样本数据, 通过数据分析数据挖掘机器学习等人工智能算法, 安全专家持续分析及运营, 对互联网内每天新增的恶意样本攻击资源甚或 APT 攻击进行发现和跟踪, 并对攻击发生的背景和源头进行挖掘所有分析结果都将以威胁情报的形式推送至企业客户威胁情报可以说是在新一代安全防护体系中, 衔接各个检测与防护环节的关键纽带由于天眼的大数据平台能够利用大数据分析方法对企业的内外部威胁一目了然, 并结合企业的资产业务域人处置流程, 从多个视角以可视化分析的方法为企业的安全管理者进行安全态势的完整呈现, 从而协助管理者进行整体状况的掌控关键问题定位与决策使得企业管理者对于其自身甚至行业安全态势的变化, 都能够及时了解与掌握基于大数据的高级威胁本地发现及问题精准回溯 360 天眼可通过一整套硬件系统对企业网络中的流量进行全量检测和记录, 所有网络行为都将以标准化的格式保存于天眼的数据分析平台, 再加上各类终端数据以及传统的日志数据, 可结合 360 云端发现的威胁情报对企业内网已经发生和正在发生的高级威胁进行识别利用云端丰富的实时威胁情报和企业本地详实的网络行为, 天眼系统可以为企业客户呈现一次攻击的完整情报, 它将覆盖攻击的源头手段目标范围等相关信息, 可对任何一个被发现的未知威胁进行快速的回溯和定性, 分辨 APT 攻击和普通网络攻击再者, 利用企业本地的安全大数据, 以及平台所提供的各类分析工具, 也可对攻击链条的关键环节 ( 武器投递突防利用植入远程通讯控制等 ) 进行下钻分析与调查回溯 20

IDC 2016 行业白皮书 360 大数据时代的几大创新功能图 9 威胁情报中心情报查询服务情报推送来源 : 奇虎 360 360 将多年积累的各类互联网安全数据, 如恶意样本攻击行为记录恶意 IP 域名解析纪录众测漏洞攻击组织等各类信息进行汇总, 存储至云端大数据平台进行自动化分析与挖掘, 将生成的威胁情报汇总并创建威胁情报中心, 同时对数据进行持续的运营与提升 360 威胁情报中心对各类企业客户安全业内人员开放共享, 致力于建立一个完整成熟的威胁情报平台, 在威胁情报生态环境建立中起到了积极的作用 21

数字化时代要求下一代数据驱动的安全图 8 来源 : 奇虎 360 原始流量数据还原在威胁发现中的应用 360 的下一代数据驱动安全可以进行全网络流量以及全终端行为的还原 ( 包括 :TCP 流量 /Web 访问 / 域名解析 / 文件传输 / 邮件 /SQL 行为 / 登录行为 / 终端行为 ), 以及通过大数据技术拥有大量日志存储的能力, 此技术可进行情景还原, 记录可能发生的威胁行为实现数千亿日志条目秒级快送检索, 这样一来, 即使我们的数据部署在云端的海量数据中, 也可以根据还原情景进行快速检索, 快速发现潜在威胁这使得部署在第三平台之上的企业即便在受到攻击时也可以做出场景还原快速发现威胁并进行追溯 22

IDC 2016 行业白皮书终端的检测与安全响应 (EDR) 网络流量的检测与安全响应 (NDR) 毫无疑问, 伴随着数字化转型的加快, 企业将业务部署在云端,PC 终端办公早已全面普及然而今天, 越来越多的企业员工希望可以在移动终端上进行办公他们希望可以随时随地进行邮件查收或业务管理终端设备的多种多样以及数量的提升, 使得我们的传统安全软件很难保证数据的安全因此, 转向对终端的防护和监测是企业数字化转型克服安全问题的关键下一代数据驱动安全一个重要特点和衡量指标就是对终端的监测和安全管控 360 开拓了一个从传统的防病毒安全管理, 演进至以终端监测与响应防护为主的新领域通过威胁情报和连接的概念,360 对下一代防火墙 (NGFW) 进行了重新的诠释市场上的 NGFW 主要强调高性能的应用层安全防御, 但没有脱离局限在针对实时的已知的威胁进行防御的本质 360 智慧防火墙则强调在 NGFW 架构的基础上, 将安全价值扩展至事前事中和事后三个维度, 形成利用威胁情报事前预警并自动免疫 ; 事中基于已知威胁实时检测防御响应实时沙箱及云增强检测 ; 事后通过可视化的分析工具, 异常行为数据挖掘, 以及威胁情报与本地流量大数据关联碰撞而发现高级威胁并做响应处置, 从而形成了智慧发现威胁智慧调查溯源智慧响应处置的闭环的网络安全方案, 为客户提供更多威胁检测手段更早发现高级威胁更准追溯定位威胁更快反应处置威胁 1 终端是真相之源, 以终端作为全量数据采集的 2 充分利用大数据探针 ; 3 安全平台技术 ; 这些技术创新使得企业实现从终端到基于终端网络等多种数据来源, 开发数据类安全应用后台全方位的安全可视化监控, 避免恶意程序从任何通道进入 23

关于 IDC 国际数据公司 (IDC) 是在信息技术电信行业和消费科技领域, 全球领先的专业的市场调查咨询服务及会展活动提供商 IDC 帮助 IT 专业人士业务主管和投资机构制定以事实为基础的技术采购决策和业务发展战略 IDC 在全球拥有超过 1100 名分析师, 他们针对 110 多个国家的技术和行业发展机遇和趋势, 提供全球化区域性和本地化的专业意见在 IDC 超过 50 年的发展历史中, 众多企业客户借助 IDC 的战略分析实现了其关键业务目标 IDC 是 IDG 旗下子公司,IDG 是全球领先的媒体出版研究咨询及会展服务公司

IDC China IDC 中国 ( 京 ): 中国北京市东城区北三环东路 36 号环球贸易中心 D 座 1202-1206 邮编 :100013 电话 :+86.10.5889.1666 Twitter: @IDC idc-insights-community.com www.idc.com

数字化时代要求下一代数据驱动的安全版权声明本 IDC 研究文件作为 IDC 包括书面研究分析师互动电话说明会和会议在内的持续性资讯服务的一部分发布欲了解更多 IDC 服务订阅与咨询服务事宜, 请访问 www.idc.com 如欲了解 IDC 全球机构分布, 请访问 www.idc.com/offices 如欲了解有关购买 IDC 服务的价格及更多信息, 或者有关获取额外副本和 Web 发布权利的信息, 请拨打 IDC 热线电话 800.343.4952 转 7988( 或 +1.508.988.7988), 或发邮件至 sales@idc.com 版权所有 2016 IDC 未经许可, 不得复制保留所有权利