引言:12月初,我接受了《中國信息化周報(bào)》的一個(gè)書面采訪。針對(duì)記者提出的幾個(gè)問題,談及了對(duì)于目前大數(shù)據(jù)安全分析的一些觀點(diǎn)。記者將采訪的內(nèi)容提煉后連同其他采訪作為一期專題已經(jīng)刊發(fā)?,F(xiàn)將書面采訪的部分原始問題和回答公布如下,供大家參詳,歡迎指正。
書面采訪中我回答的內(nèi)容功能更加詳細(xì),可以作為對(duì)那個(gè)報(bào)道中我的觀點(diǎn)的補(bǔ)充說明。
1、 目前大數(shù)據(jù)安全分析存在的瓶頸是什么?需要怎樣做才能盡快突破?
答:隨著大數(shù)據(jù)技術(shù)生態(tài)的逐步成型,大數(shù)據(jù)技術(shù)逐漸成為了一種貨架技術(shù)?;谶@些技術(shù),目前大數(shù)據(jù)安全分析過程中的數(shù)據(jù)采集和存儲(chǔ)技術(shù)已經(jīng)被先進(jìn)企業(yè)所掌握,可視化水平也突飛猛進(jìn),存在的瓶頸是主要是應(yīng)用場景、安全分析場景方面。大數(shù)據(jù)技術(shù)是一種基礎(chǔ)技術(shù),其興起和發(fā)展最初都來源于互聯(lián)網(wǎng)企業(yè)。互聯(lián)網(wǎng)企業(yè)為解決其實(shí)際問題,發(fā)展了大數(shù)據(jù)技術(shù)。而將大數(shù)據(jù)技術(shù)應(yīng)用在安全分析領(lǐng)域,屬于在安全分析領(lǐng)域的革新和進(jìn)步,但如何應(yīng)用,需要找到安全痛點(diǎn),數(shù)據(jù)創(chuàng)造價(jià)值,仍然要結(jié)合安全業(yè)務(wù)場景,通過大數(shù)據(jù)技術(shù)解決傳統(tǒng)技術(shù)無法解決或解決起來非常困難的問題。盡快突破的辦法就是結(jié)合安全業(yè)務(wù)場景,以場景驅(qū)動(dòng)安全分析,以數(shù)據(jù)帶動(dòng)技術(shù)進(jìn)步。與此同時(shí),安全分析師、業(yè)務(wù)分析師、領(lǐng)域工程師等技術(shù)人員的匱乏也是制約大數(shù)據(jù)安全分析應(yīng)用發(fā)展的重大瓶頸。大數(shù)據(jù)分析情境之下,對(duì)分析師的人員和技能要求更高。
2、 在安全數(shù)據(jù)收集、整理、分析、可視化過程中,如何幫助客戶實(shí)現(xiàn)安全數(shù)據(jù)可視化,并最終走向數(shù)據(jù)驅(qū)動(dòng)的安全?
答:數(shù)據(jù)驅(qū)動(dòng)的安全是指途徑和手段,而非目標(biāo)。安全的目標(biāo)從來也沒有改變過。并且,數(shù)據(jù)驅(qū)動(dòng)的安全也僅僅是眾多安全方法論中的一種。
在目前,網(wǎng)絡(luò)攻防雙方的能力已經(jīng)不對(duì)等,攻擊占據(jù)上風(fēng),攻擊耗時(shí)遠(yuǎn)遠(yuǎn)低于防守耗時(shí)。攻防的對(duì)抗其實(shí)就是數(shù)據(jù)的對(duì)抗、知識(shí)的對(duì)抗和人的對(duì)抗,數(shù)據(jù)驅(qū)動(dòng)的安全一定程度上是在彌補(bǔ)這個(gè)防守耗時(shí),以求盡快識(shí)別攻擊并進(jìn)行響應(yīng)、阻斷和反制。
在這個(gè)過程中,數(shù)據(jù)的攝取、整理、分析和呈現(xiàn)都很有講究,每個(gè)環(huán)節(jié)都很重要,并且環(huán)環(huán)相扣??梢暬且环N呈現(xiàn)方式,主要面向兩類角色。一類是分析師,幫助其更高效地進(jìn)行交互式分析,即所謂威脅捕獵(Threat Hunting)。另一類是管理層和決策者,幫助他們了解網(wǎng)絡(luò)的整體安全態(tài)勢,及時(shí)掌握安全的我情、敵情和戰(zhàn)情,以求做出清晰、有效的決策。
只要角色定位清楚了,給誰做可視化的問題就明確了,安全數(shù)據(jù)可視化的目標(biāo)和實(shí)現(xiàn)途徑就好設(shè)計(jì)了。我們可以根據(jù)不同的角色,定義不同的場景,并設(shè)定為一組目標(biāo),然后就可以自頂向下地梳理所需的信息和模型,以及這些信息所依賴的數(shù)據(jù),再就是如何攝取這些數(shù)據(jù)。
在進(jìn)行數(shù)據(jù)可視化的時(shí)候,不能一味追求酷炫的展示效果,更要注重內(nèi)容的表達(dá),即數(shù)據(jù)安全分析得到的那些洞見的展現(xiàn)。從這個(gè)意義上來說,幫助客戶實(shí)現(xiàn)對(duì)安全的可見性(Visibility)比實(shí)現(xiàn)對(duì)安全的可視化(Visualization)更重要。我們經(jīng)常說看見威脅,看見安全,更多是指洞察、洞悉。
3、在幫助客戶建立以數(shù)據(jù)驅(qū)動(dòng)為核心的機(jī)制,讓客戶“看見”威脅,從而建立縱深防護(hù)體系方面,您們的企業(yè)有哪些創(chuàng)新?目前有較成功的案例嗎,能具體介紹一下嗎?
答【僅摘錄部分回答】:在當(dāng)前網(wǎng)絡(luò)攻防對(duì)抗的形勢下,企業(yè)和組織傳統(tǒng)的安全防護(hù)體系和思路必須進(jìn)行改變。我們必須認(rèn)定我們的網(wǎng)絡(luò)已經(jīng)遭受入侵,必須從消極防護(hù)轉(zhuǎn)變?yōu)橹鲃?dòng)防護(hù)和智能防護(hù)、甚至是可適應(yīng)性防護(hù),要從單純的防御轉(zhuǎn)向積極對(duì)抗,要從獨(dú)立防御向協(xié)同防御體系買進(jìn),安全需要知己,還需要知彼。也就是說,我們要從全新的視角去看“建立縱深防護(hù)體系”這個(gè)理念,要建立一種“高維度的縱深防護(hù)體系”。這種高維度是指不僅要考慮攻擊路徑上的縱深,還要考慮防范攻擊的時(shí)間縱深、管理縱深、物理縱深。因?yàn)槲覀兊膶?duì)手總是試圖發(fā)起高維攻擊,我們必須建立高維縱深。
在應(yīng)對(duì)新型威脅和新安全挑戰(zhàn)方面,Gartner在2014年提出了自適應(yīng)安全架構(gòu)的概念。Gartner認(rèn)為攻擊已然不可避免,建議企業(yè)和組織必須將更多的精力從原來的防范攻擊轉(zhuǎn)向檢測、響應(yīng)和預(yù)測,通過對(duì)全安全要素的持續(xù)監(jiān)測和持續(xù)響應(yīng)來持續(xù)改善現(xiàn)有的防范機(jī)制。而這種監(jiān)測就建立在以安全數(shù)據(jù)倉庫為基礎(chǔ)的安全分析(Security Analytics)基礎(chǔ)之上。
安全分析,就是數(shù)據(jù)驅(qū)動(dòng)的安全分析,強(qiáng)調(diào)將高級(jí)分析技術(shù)作用在數(shù)據(jù)之上,產(chǎn)生比以往更有價(jià)值的安全洞見、知識(shí)和情報(bào)。高級(jí)分析技術(shù)是指不同于以往基于特征和規(guī)則的分析技術(shù),高級(jí)分析技術(shù)更多地采用了高級(jí)統(tǒng)計(jì)、機(jī)器學(xué)習(xí)等基于行為分析的技術(shù)。
面對(duì)當(dāng)前網(wǎng)絡(luò)安全的挑戰(zhàn),結(jié)合新技術(shù)的發(fā)展情況,大潘提出的全新的安全分析方法論——全范式安全分析體系——我很贊同。所謂“全范式安全分析”體系,就是強(qiáng)調(diào)要綜合利用四種安全分析范式來構(gòu)建一個(gè)完備的安全分析體系。這四種范式分別是:
1) 安全分析第一范式:嘗試、實(shí)驗(yàn),即以經(jīng)驗(yàn)為主的分析,譬如滲透測試;
2) 安全分析第二范式:模型、特征,也就是經(jīng)典的特征檢測、攻擊建模,等等;
3) 安全分析第三范式:模擬、仿真,譬如沙箱、虛擬執(zhí)行;
4) 安全分析第四范式:大數(shù)據(jù)安全分析。
面對(duì)當(dāng)前的網(wǎng)絡(luò)威脅,只有綜合上述四種安全分析方法,才能構(gòu)建一個(gè)相對(duì)完備的安全防護(hù)體系。而大數(shù)據(jù)安全分析又在其中起到了提綱挈領(lǐng)的作用。
4、以數(shù)據(jù)為基礎(chǔ)的安全技術(shù)在安全防御中的價(jià)值是什么?未來在基于數(shù)據(jù)的安全技術(shù)上的趨勢和方向是怎樣的?
答:安全分析的最關(guān)鍵價(jià)值就在于盡快識(shí)別出漏洞、威脅和攻擊,并進(jìn)一步幫助我們?cè)u(píng)估風(fēng)險(xiǎn)、進(jìn)行應(yīng)急響應(yīng)和處置,指導(dǎo)企業(yè)和組織改進(jìn)防御控制機(jī)制、增強(qiáng)合規(guī)符合度,并向管理層傳遞安全態(tài)勢和防御效果,最終提升整個(gè)攻防對(duì)抗的效益。
就在11月份,SANS發(fā)布了最新一期的《安全分析與智能調(diào)研報(bào)告》。報(bào)告顯示,安全分析的價(jià)值排名靠前的五個(gè)分別是:更準(zhǔn)確地評(píng)估風(fēng)險(xiǎn)、檢測外部的基于惡意代碼的威脅(譬如0day攻擊)、獲得網(wǎng)絡(luò)和終端行為的可視性(Visibility)、建立行為基線識(shí)別行為異常、合規(guī)監(jiān)測與管理。
結(jié)合國際上安全分析的發(fā)展趨勢、Gartner的分析報(bào)告,以及我們對(duì)國內(nèi)客戶的差異性分析和具體實(shí)踐,我認(rèn)為,未來幾年數(shù)據(jù)驅(qū)動(dòng)的安全分析技術(shù)的發(fā)展動(dòng)向?qū)⑹牵褐悄芑⑶閳?bào)化、交互化、協(xié)作化。
智能化:這是數(shù)據(jù)驅(qū)動(dòng)的安全分析的核心,強(qiáng)調(diào)不依賴于既有特征和規(guī)則的分析。未來這方面將進(jìn)一步增強(qiáng),更多高級(jí)統(tǒng)計(jì)、機(jī)器學(xué)習(xí)、情境感知的技術(shù)將引入安全分析。
情報(bào)化:安全分析將更加依賴安全情報(bào),情報(bào)驅(qū)動(dòng)的安全分析將盛行。借助情報(bào),可以提升分析的效率,并更快地適應(yīng)對(duì)抗環(huán)境的變化。同時(shí),安全分析的結(jié)果也更多地以情報(bào)的方式進(jìn)行輸出。這里的安全情報(bào)可以分為戰(zhàn)略層的、操作層的和執(zhí)行層的,從技術(shù)上可以分為漏洞情報(bào)、威脅情報(bào)、攻擊情報(bào)等,從來源可以分為內(nèi)部情報(bào)、外部情報(bào)。
交互化:鑒于安全智能中期內(nèi)還無法成熟,安全分析、尤其是高級(jí)安全分析和威脅狩獵(Threat Hunting),將更多地依賴人機(jī)交互。系統(tǒng)更多地是盡可能地為人提供一套便捷高效的分析工具,安全分析將更多是一個(gè)人機(jī)促進(jìn)系統(tǒng),或者叫Human-augmented System。
協(xié)作化:這里的協(xié)作既包括人機(jī)協(xié)作、內(nèi)外部情報(bào)協(xié)作,更包括由于國內(nèi)現(xiàn)實(shí)情況而產(chǎn)生的人人協(xié)作。所謂人人協(xié)作,就是指在當(dāng)前企業(yè)和組織自身的安全分析能力、資源和分析師技能短缺的情況下,通過外部人才/力量來彌補(bǔ)的情形。這可以是安全分析設(shè)施和服務(wù)的整體或部分外包,也可以是人員外包、知識(shí)外包、人才培養(yǎng)等。企業(yè)和組織要找到安全分析的合作伙伴,而安全分析的廠商也要構(gòu)建起一個(gè)生態(tài)系統(tǒng)。