這是大數(shù)據(jù)安全分析的最后一篇文章。解決方案總是要涉及到產(chǎn)品技術(shù)、流程和人三個(gè)方面,其中人的因素最為重要:
1.攻防最終是人與人之間的對(duì)抗;2.再好的想法也需要一個(gè)團(tuán)隊(duì),開(kāi)發(fā)成為產(chǎn)品落地;所以作為最后一篇一定要說(shuō)有關(guān)人的問(wèn)題。
從安全分析上看,大多數(shù)組織缺乏相應(yīng)的開(kāi)發(fā)能力,他們需要采購(gòu)廠商的成熟產(chǎn)品,招聘安全分析師,建立自己的安全運(yùn)營(yíng)中心。有一些可能采用服務(wù)外包形式,但由于數(shù)據(jù)收集、分析過(guò)程中越來(lái)越需要組織內(nèi)部的信息,安全要求比較高的組織會(huì)更慎重考慮這種選擇及具體操作方式。極少數(shù)具備一定規(guī)模的組織,其關(guān)注的安全問(wèn)題有一定特殊性,可能會(huì)考慮自行開(kāi)發(fā),這種方式在互聯(lián)網(wǎng)和金融領(lǐng)域比較常見(jiàn)。因此就涉及了兩種角色,分別以安全運(yùn)營(yíng)和平臺(tái)開(kāi)發(fā)為主要任務(wù)。相較于安全分析師的稱(chēng)呼,后者更合適作為一個(gè)開(kāi)發(fā)團(tuán)隊(duì)討論。下面我們就來(lái)談?wù)勥@兩者。
安全分析師
2013-2014年是國(guó)內(nèi)安全行業(yè)風(fēng)云變換的起始,看似格局已定的網(wǎng)絡(luò)安全行業(yè)猛然發(fā)現(xiàn):面對(duì)日趨嚴(yán)重的定向攻擊以及APT,傳統(tǒng)的老幾樣產(chǎn)品似乎失去了作用,動(dòng)蕩之時(shí)思人才,但暮然回首卻發(fā)現(xiàn)近二十年的發(fā)展,在攻防領(lǐng)域成長(zhǎng)起來(lái)的可用之才卻少之又少,加之互聯(lián)網(wǎng)企業(yè)的大力爭(zhēng)奪,大家一時(shí)間均在感嘆人才難得。
很多人都會(huì)同意的看法,在整個(gè)短缺的人才中,安全分析師是首當(dāng)其沖的。安全分析是要解讀報(bào)警、針對(duì)相關(guān)數(shù)據(jù)分析和調(diào)查,并確定事件是否需要進(jìn)一步升級(jí),分析師還可能參與事件響應(yīng)過(guò)程或者其它任務(wù)(如:主機(jī)取證或者惡意軟件分析等)。
一個(gè)簡(jiǎn)單的事實(shí)是,組織的網(wǎng)絡(luò)安全性取決于安全分析師是否能有效的做好自己的工作。安全分析師的工作如此重要,而需要他們的不僅是安全廠商,合理的情況是只要組織需要安全建設(shè)運(yùn)營(yíng),就需要他們,可以想見(jiàn)需求數(shù)量之多。而實(shí)際上現(xiàn)今這方面人才又有多少呢?安全分析師應(yīng)該是一種不錯(cuò)的職業(yè)選擇!
所需的技能
如何成為一個(gè)安全分析師,就是需要回答這個(gè)問(wèn)題的時(shí)候。由于自身并不是一個(gè)專(zhuān)業(yè)的安全分析人員,所以這里只能整理業(yè)內(nèi)專(zhuān)家的建議[1],供有意愿的人參考:
分析師的技能可以分為基礎(chǔ)技能和專(zhuān)業(yè)技能兩類(lèi),基礎(chǔ)技能是所有分析師都應(yīng)該擁有的,而專(zhuān)業(yè)技能方面,理想情況下應(yīng)該掌握2-3個(gè)領(lǐng)域。事實(shí)上在FireEye的有關(guān)團(tuán)隊(duì)中要求至少一個(gè)。
基礎(chǔ)技能
1.安全理念:威脅為中心的安全、NSM(網(wǎng)絡(luò)安全監(jiān)控)和NSM周期;2.TCP/IP協(xié)議;3.通用應(yīng)用協(xié)議;4.包分析;5.Windows體系結(jié)構(gòu);6.Linux體系結(jié)構(gòu)7.基本數(shù)據(jù)解析(BASH、grep、SED、AWK等)8.IDS使用9.IOC和IDS簽名調(diào)優(yōu)10.開(kāi)源情報(bào)收集11.基本的分析診斷方法12.基本的惡意軟件分析專(zhuān)業(yè)技能
1.進(jìn)攻戰(zhàn)術(shù)(Red Team):集中在滲透測(cè)試和安全評(píng)估。此類(lèi)演練可以用來(lái)識(shí)別其他分析師的弱點(diǎn)。并且具備這方面優(yōu)勢(shì)的分析師可以更好的識(shí)別某些攻擊者的活動(dòng);
2.防守戰(zhàn)術(shù)(Blue Team):精通檢測(cè)和分析的大師。涉及構(gòu)思新的工具和分析方法,及時(shí)了解網(wǎng)絡(luò)防御相關(guān)的新的工具和研究,并評(píng)估這些工具為組織使用。具體如:對(duì)網(wǎng)絡(luò)通信協(xié)議更詳盡的了解、IDS機(jī)制與運(yùn)維,IDS簽名調(diào)整以及基于統(tǒng)計(jì)的檢測(cè)。
3.編程能力:精通編程就能夠開(kāi)發(fā)定制的檢測(cè)和分析解決方案。他們應(yīng)該成為精通解釋性語(yǔ)言(如Python或者Perl)、網(wǎng)絡(luò)語(yǔ)言(PHP或Java),最終可能涉及編譯語(yǔ)言(如C)。
4.系統(tǒng)管理:系統(tǒng)管理本身是一個(gè)更通用的技能,專(zhuān)注于此,可以更好的參與收集數(shù)據(jù)的過(guò)程。以深入了解Windows和Linux平臺(tái)為基礎(chǔ),更進(jìn)一步深入,可以更好的理解和收集日志。
5.惡意軟件分析:分析過(guò)程經(jīng)常會(huì)存在已知或可疑惡意軟件樣本的收集,一般的分析師可以利用沙箱做IOCs提取,但如果遇到有針對(duì)性的惡意軟件,則一個(gè)在惡意軟件分析上有較高水準(zhǔn)的人就非常有價(jià)值。
6.基于主機(jī)的取證:從已被攻陷的主機(jī)進(jìn)行取證分析獲得情報(bào),情報(bào)可以用來(lái)進(jìn)一步優(yōu)化組織的數(shù)據(jù)收集過(guò)程,同時(shí)也可用于評(píng)估和實(shí)現(xiàn)新的基于主機(jī)的檢測(cè)機(jī)制,并生成IOCs。有用的技能包括硬盤(pán)驅(qū)動(dòng)器和文件系統(tǒng)取證、內(nèi)存取證和案發(fā)過(guò)程回溯等。
分析師等級(jí)
當(dāng)我第一次讀到上面的內(nèi)容時(shí),心里不由感嘆,要成為一個(gè)分析師太不容易了!其實(shí)并非如此,如果能夠達(dá)到以上標(biāo)準(zhǔn),那是需要很長(zhǎng)的時(shí)間的,分析師需要一點(diǎn)點(diǎn)成長(zhǎng)起來(lái),現(xiàn)實(shí)中分析師是分層級(jí)的,你可以先成為一個(gè)低級(jí)別的分析師,然后逐步積累帶到更高。在美國(guó)慣例把分析師劃為3個(gè)等級(jí):
L1級(jí)分析師:擁有前面列出的基本技能,但還沒(méi)有選擇特定的專(zhuān)業(yè)技能。大多數(shù)組織內(nèi),大多數(shù)的分析師都屬于L1分類(lèi)中。
L2級(jí)分析師:擁有扎實(shí)的基本技能,通常情況下至少有一種專(zhuān)業(yè)技能。L2往往充當(dāng)L1的導(dǎo)師;
L3級(jí)分析師:最高級(jí)分析師,擅長(zhǎng)所有基本技能和至少一種專(zhuān)業(yè)技能。
三級(jí)分析師有各自的分工,在工作中相互配合。就如下圖Splunk[2]給出的建議:
在接觸上面相關(guān)材料的時(shí)候,不由的對(duì)SANS組織在美國(guó)的安全分析師培養(yǎng)上發(fā)揮的作用感到震撼,針對(duì)以上提到的分析師技能,他們都有專(zhuān)門(mén)的培訓(xùn)課程[3](如:SEC401、SEC501、SEC503、SEC504、SEC561、FOR610等),并且這些課程提供了被業(yè)界認(rèn)可的專(zhuān)業(yè)性和美譽(yù)度,在我跟蹤的幾個(gè)重要分析師博客中,可以發(fā)現(xiàn)他們對(duì)SANS的尊重及對(duì)其課程的重視,很多有影響的分析師會(huì)在那里親自授課。真心期盼我們國(guó)內(nèi)的相關(guān)培訓(xùn)也能盡快的迎頭趕上。
平臺(tái)開(kāi)發(fā)團(tuán)隊(duì)
大數(shù)據(jù)安全分析平臺(tái)相關(guān)的產(chǎn)品無(wú)疑是當(dāng)前網(wǎng)絡(luò)安全行業(yè)的熱點(diǎn),國(guó)際、國(guó)內(nèi)進(jìn)入的廠商很多。在實(shí)際工作中,大家會(huì)發(fā)現(xiàn)其對(duì)跨領(lǐng)域?qū)I(yè)要求非常廣泛,涉及到:
1.計(jì)算機(jī)編程2.大數(shù)據(jù)系統(tǒng)架構(gòu)3.機(jī)器學(xué)習(xí)算法4.可視化5.數(shù)學(xué)及統(tǒng)計(jì)學(xué)6.安全分析領(lǐng)域知識(shí)這么廣泛的領(lǐng)域,沒(méi)有人能夠做到面面俱到,因此很多時(shí)候在建立團(tuán)隊(duì)時(shí)要求“通才”或者“全棧工程師”是不現(xiàn)實(shí)的,組建一個(gè)團(tuán)隊(duì),讓不同的領(lǐng)域?qū)<彝献鞲鼮榭尚?。這種情況下團(tuán)隊(duì)的交流溝通就至為重要了,如何讓團(tuán)隊(duì)更好的溝通合作是成功的基本條件。
關(guān)于團(tuán)隊(duì)在統(tǒng)計(jì)模型方面的能力,需要著重提一下。我們先看一下Drew Conway總結(jié),被廣泛認(rèn)同的數(shù)據(jù)科學(xué)維恩圖[4](其中的Hacking Skills指的的計(jì)算機(jī)領(lǐng)域技能):
請(qǐng)?zhí)貏e注意這里面的Danger Zone,他這樣論述:
Finally, a word on the hacking skills plus substantive expertise danger zone. This is where I place people who, "know enough to be dangerous," and is the most problematic area of the diagram. In this area people who are perfectly capable of extracting and structuring data, likely related to a field they know quite a bit about, and probably even know enough R to run a linear regression and report the coefficients; but they lack any understanding of what those coefficients mean. It is from this part of the diagram that the phrase "lies, damned lies, and statistics" emanates, because either through ignorance or malice this overlap of skills gives people the ability to create what appears to be a legitimate analysis without any understanding of how they got there or what they have created. Fortunately, it requires near willful ignorance to acquire hacking skills and substantive expertise without also learning some math and statistics along the way. As such, the danger zone is sparsely populated, however, it does not take many to produce a lot of damage.《大數(shù)據(jù)時(shí)代:生活、工作與思維的大變革》使大數(shù)據(jù)的概念成為公眾話(huà)題,但相關(guān)性到底是大數(shù)據(jù)的優(yōu)勢(shì)或者不足,也許我們需要收集更多的信息,有自己獨(dú)立的思考。
總結(jié)
大數(shù)據(jù)安全分析整個(gè)四篇文章就全部結(jié)束了,寫(xiě)作過(guò)程也是一個(gè)總結(jié)提高的過(guò)程,在這個(gè)過(guò)程中個(gè)人有很多收獲,同時(shí)也希望能夠給花時(shí)間閱讀這些文字的同行一些收獲。愿我們能夠共同努力,早日讓大數(shù)據(jù)安全分析在國(guó)內(nèi)結(jié)出累累碩果。
最后推廣一下我的簡(jiǎn)書(shū)主頁(yè)(http://www.jianshu.com/users/8e057f1f9a4b/latest_articles),可以在那兒方便的看到這個(gè)系列的全部文章,包括大數(shù)據(jù)分析的理念、數(shù)據(jù)收集、分析、可視化等內(nèi)容。
參考資料:
1.Chris Sanders 等:《Applied Network Security Monitoring :Collection, Detection, and Analysis》;
2.Splunk 白皮書(shū):《Building a SOC with Splunk 》
3.SANS 白皮書(shū):《Building a World-Class Security Operations Center: A Roadmap 》
4.http://drewconway.com/zia/2013/3/26/the-data-science-venn-diagram