从安全走向开放 建立安全架构协同的互联生态体系

　　随着联网设备的增加，安全威胁的来源变得更为广泛。课课家预计到2019年连网设备达到200多亿，而这些联网设备的类型也将更加多样性。大量智能终端访问企业内部数据的需求，以及移动办公、BYOD的兴起，对于企业安全防护带来新的挑战。

　　攻防态势严重失衡

　　在互联网+时代，接入设备数量的增长，黑客攻击的入口增多，防范的难度也随之叠加。分析显示，当前安全威胁态势的特点有三大表现，首先企业公有云、私有云的应用，云化趋势迫使形势越来越复杂。其次，攻防时间严重失衡，黑客入侵的周期非常短，75%的攻击在一天内破译，而检测以及修复漏洞，需要几天、几个星期甚至上月的时间。第三，资源短缺，受成本因素影响，企业IT安全预算相对缺乏，专业的安全运维人员缺乏，迫使企业需要利用更少的资源，更快地解决严重的威胁。

　　其中，首要解决的是攻防时间失衡问题。从入侵到发现再到修复的全过程，入侵阶段是以分钟来计算，攻击成本非常低。对于防守者，发现入侵环节可能需要几个月甚至几年的时间。甚至一些大的银行、大型连锁零售商，其入侵事件在一年多之后，被媒体公布或者出现黑市信息交易，方才知道被攻击，可见发现入侵的环节存在短板。

　　同样，由于安全开发人员不足，发现入侵后的修复时间也远高于攻击时间。普遍的修复时间需要一周以上，甚至需要花费几个月的时间完全清理掉被攻击的痕迹，时间的失衡是阻碍安全防御的关键。

　　在此基础上，黑客的攻击是多渠道的，比如发送钓鱼邮件，网页欺诈页面、U盘感染等方式。然而预算有限的企业通用的安全策略，仅在关键点部署必要设备，其他的点无法防范，因此采用安全防范的措施都是孤立防护。

　　让安全架构协同互联

　　那么，如何让安全策略变得完善?让安全架构具备通过过去的事物进行学习和自适应的能力。简单说，就是变被动攻击为主动防御，一方面尽可能的提高黑客攻击的成本，延长攻击的周期;另一方面，在攻破后采用更短的时间发现和修复，从而缩小攻击产生的影响。

　　因此，一旦发现威胁，需要将威胁情报共享给其他的安全设备，而安全厂商间也需要开放合作，实现威胁情报共享。协作的安全架构即安全设备之间要协同、互联，从黑客活动里面获得实时洞察力。基于这个理念，Intel Security在去年发布了数据交换层(DXL)，这个数据交换层。不管黑客试图攻击哪个点，一旦触发了某一个安全手段，企业网关通过引擎发现有可能是危险的，同时会将威胁情报传递到端点，传递给邮件网关，即便防火墙、IPS还没有发现这一特征，其他组件也可以从Web安全网关得到这个情报，更新本地的知识库。

　　而随着安全产品的增加，基于API的集成方式凸显不足。如果利用上百个安全产品，通过点到点不同产品之间用不同的API集成，其中任何一个产品变动或技术更新，这个API将面临重写，API效率不足。

　　API集成方式性能不足正转向协作性的通信架构DXL生态，DXL是新的通信架构，采用开放标准，只要遵循这种标准，基于任何厂商的产品之间都可以互联互通，在生态系统里共享信息。目前加入DXL生态都是一些赛门铁克、Forescourt等国外厂商，未来也将联合国内厂商，共同完善DXL生态。

　　构建多维度生态体系

　　当前黑客们之间的合作井井有条，产业链已经是分工合作，这也就要求安全厂商之间以更开放的心态紧密合作。单打独斗很难与黑客进行抗衡，开放和合作是未来三到五年的一个大的趋势，也是对企业用户的有力保障。

　　在生态系统方面，Intel Security(McAfee)不仅有协作性的通信架构DXL，同时基于威胁情报等联盟，打通新的安全互联的生态系统，这里面有迈克菲的解决方案，包括迈克菲为主导的安全合作团体SIA(Security Innovation Alliance)创新联盟，联盟成员为Intel Security的业务比较互补的公司，产品可由 ePO统一管理，目前该联盟有一百多家厂商。

　　而基于威胁情报合作，Intel Security 构建CTA(Cyber Threat Alliance)联盟, 主要由安全业务与McAfee比较相近的厂商组成的联盟，交换威胁情报。通过这种开放的生态系统，以及威胁情报交换的机制，再加上Intel Security自身具备的针对未知的威胁分析的技术，能够形成这么一个开放集成的安全系统。不管客户系统是部署在云端，还是在本地，以及安全产品和设备的类型与供应商，Intel Security都能够统一地进行威胁情报交换，形成联防的体系。相信这样开放的生态也将不断完善用户的安全体验，提升安全防御效率。