隨著網(wǎng)絡云化，安全防御邊界愈加模糊，同時威脅的數(shù)量和種類隨著大量的應用和設備的使用而倍增。對于電信網(wǎng)絡而言，新型網(wǎng)絡攻擊將可能發(fā)生在骨干和城域網(wǎng)絡、云數(shù)據(jù)中心、B2B等各個場景。

當電信基礎設施進入云化后，安全能力成為彈性資源池，特別是對于5G網(wǎng)絡，不同的切片需要不同的安全功能，同時在B2B場景，安全作為增值服務需要匹配業(yè)務的快速發(fā)放。

華為提出SDSec(Software-defined Security, 軟件定義安全)解決方案，構建全網(wǎng)主動防御體系。該方案可使威脅檢測、威脅處置及安全運維更為智能，提高運營商網(wǎng)絡基礎設施和企業(yè)IT網(wǎng)絡抵御威脅的能力，提升安全運維效率，實現(xiàn)業(yè)務快速發(fā)放，降低運維成本。

一、智能檢測和分析，威脅綜合檢出率提高到95%

運營商通常會部署從網(wǎng)絡邊界到終端的所有安全產品，但什么功能都具備的防御戰(zhàn)線并不意味著能有效對抗威脅。

當前客戶的普遍問題是，對現(xiàn)網(wǎng)安全設備防護效果沒底，對威脅事件無法判斷，更不能有效檢測未知威脅。

同時，在運營商IT環(huán)境每天產生的日志是海量的，管理員會被淹沒在巨量的日志信息中，無法做出及時有效的分析處理。

另外，這些日志都是基于單點事件的告警，對入侵和攻擊鏈的全局缺乏多點異常關聯(lián)，無法識別新型復雜攻擊的入侵意圖，直接影響對威脅的準確判定。

華為SDSec解決方案首先確保了單點檢測有效。

從源頭過濾“噪聲”，基于關鍵資產信息、動態(tài)威脅變化和專家分析經(jīng)驗，生成有效過濾條件，做好一級收斂。

結合AI機器學習算法實現(xiàn)多點分析的準確性，這里的核心是構建針對“威脅場景”的高級規(guī)則，含單場景檢測模型，和含日志、情報、流量異常等的多維綜合判定算法，這是二級收斂。

黑客已經(jīng)利用機器學習生成智能的惡意軟件，可以預測未來攻與防的對抗必定是人+機器的對抗，需要以更聰明的大數(shù)據(jù)安全分析大腦，結合海量黑白樣本的學習訓練，研究黑客入侵意圖和攻擊手法，來最終做出預測和判定。

二、自動化處置，平均響應時間降低到1天以內

除了主動發(fā)現(xiàn)威脅，對企業(yè)更重要的是如何快速響應和處置，最大程度減少損失。威脅和安全響應就是一場時間賽跑，42%的新漏洞在紕漏30天內被黑客利用，企業(yè)響應的時間遠大于30天，打的就是時間差。

以去年5月份“名聲大振”的勒索軟件WannaCry為例，WannaCry使用SMB（Server Message Block）漏洞來感染計算機，并將病毒傳播給新的受害者，影響超過24萬受害者。

WannaCry本身的技術性不強，但傳播快、感染范圍廣。

盡管所有廠商都紛紛宣稱可以檢測到WannaCry，但客戶最關注的不是你能否“檢測”到，而是第一時間定位被感染計算機，及時攔截防止內部橫向擴散，對并已感染終端快速進行修復。

華為SDSec解決方案可協(xié)同全網(wǎng)來遏制威脅。

結合云端或本地沙箱分析能力，快速檢測未知蠕蟲病毒，除了一些常規(guī)動作，比如在出口防火墻封堵445端口（WannaCry攻擊采用的端口），升級IPS（Intrusion Prevention System）特征庫等，更關鍵的是可以通過安全控制器聯(lián)動接入層交換機，及時隔離已經(jīng)被感染的計算機，利用網(wǎng)絡的各個神經(jīng)末梢采集流量，定位感染路徑，并聯(lián)動終端軟件自動化清除蠕蟲病毒，批量推送補丁，輔助員工配合來修復漏洞，自動化發(fā)布工具恢復加密文件。

除了技術手段，更重要的是還要與員工教育、補丁推行等管理手段和流程結合，真正做到“智能、近實時處置”，將威脅響應的時間縮短到目標24小時內。

三、智能安全運維，安全運維成本降低80%

海量安全策略運維一直是運營商和中大型企業(yè)的頭號難題。

以一個中型規(guī)模數(shù)據(jù)中心為例，僅防火墻策略就有幾萬條，策略基于IP語言，業(yè)務的每次更新都需要調整防火墻策略，每天的策略更新量達到上千。

業(yè)務下線，IP地址回收，不會及時通知網(wǎng)絡安全維護部門，策略的提交責任人也不一定會取消策略，這種情況管理員很難發(fā)現(xiàn)，導致大量過期的安全策略堆積沒人“敢動”。

另外，遇到搬遷數(shù)據(jù)中心的場景，安全策略的遷移將成為一個“老大難”, 策略需要重新生成配置，手工操作花費數(shù)周時間才能完成。

最后，還有重復策略的問題，同一應用多人都可以申請策略，可能會造成重復策略，策略總數(shù)膨脹。

智能運維的核心是“以業(yè)務驅動的安全策略”。

從IP機器語言升級到基于應用的高級語言，建立應用到IP的自動映射，通過安全控制器將安全策略的生命周期與業(yè)務的生命周期緊密捆綁，在業(yè)務上線、變更和下線時，實時感知變化，自動翻譯“業(yè)務的策略”到最終設備可執(zhí)行的IP策略，省去人工干預。

更重要的是，還可以通過安全控制器分析對應用的互訪關系進行可視分析，在機房搬遷場景自動生成策略白名單，免去繁重的人工重新配置工作量。

對于策略的合理性，如重復冗余、沖突和過期的策略，也可以通過觀察分析應用互訪流，策略命中率，進行動態(tài)的調整和優(yōu)化，及時刪除重復策略、下線過期策略。

通過動態(tài)流量分析，還可以驗證預上線策略的有效性，確保策略定義和實際執(zhí)行保持一致。

華為SDSec解決方案在運營商、政務云等重要行業(yè)場景實現(xiàn)了規(guī)模商用，以安全控制器和安全分析器為核心，橫向使能“一整張網(wǎng)絡”，實現(xiàn)以業(yè)務驅動的云、網(wǎng)絡和安全的上下協(xié)同，并以“威脅入侵意圖”學習為核心，動態(tài)定制采集和檢測，基于AI機器學習創(chuàng)新對惡意文件、C&C（command and control server）、內部流量異常的主動分析，使能全網(wǎng)神經(jīng)末梢節(jié)點自動快速遏制威脅，幫助客戶提升安全分析和運維的智能化、自動化程度，解放管理員簡化安全運維，保護客戶關鍵基礎設施穩(wěn)固，業(yè)務永續(xù)。