汇集全球信息安全产业焦点的2019RSA大会准时到来,今年RSAC2019大会确立“Better”为主题,旨在数字化时代背景下探索新的网络安全发展领域,致力于寻找更优秀的安全厂商、产品以及服务解决方案。近些年,随着大数据、人工智能等技术的应用,整个安全行业都在积极探索推动这些新技术在安全领域的被“更好”的应用。检测和响应作为安全领域永恒的主题,从它们在本年度以及去年RSA大会的热度不难看出,各大安全厂商都加大了对基于智能体系的自动化检测和响应方面的投入,这些厂商利用自动化、流程编排、人工智能和机器学习的组合,来改进他们的集中化安全管理和运营平台,达到威胁发现和响应更加的自动化、智能化。
正如来自Juniper Networks的安全专家Nick Bilogorskiy在他的报告《Accelerate and Simplify Incident Response with Secutiy Automation》中向大家介绍的,利用安全自动化的技术可以极大的简化和加速安全事件的响应流程。
安全形势研究
报告开始,基于自己的调研,Nick向大家介绍了高级威胁在TTPs(Tactics, Techniques, and Procedures)上的发展趋势。其一,随着个人信息的泄漏,利用个人账号密码的攻击在增长。据调查,32%的黑客认为利用特权账号登录是最快、最便捷的攻击方式,有81%的入侵利用了被盗取、被泄漏账号密码信息或者是本来就存在的弱密码,由于账号密码泄漏的增多credential stuffing(利用一组被盗取的密码组成账号爆破的密码字典)的攻击也愈发的猖獗。其二,是针对双因子认证的攻击也频频出现,例如被称为SIM Swapping的攻击,能利用一些隐秘的欺骗手段骗过移动运营商,从而将受害者的手机号转移到被黑客控制的SIM卡上,而普遍被利用的以手机为接收端的双因子认证体系反而成为黑客的帮凶。其三,针对软件供应链的攻击也呈剧增态势,只在2017年就增加了200%,并且在整个供应链上,针对第三方合作伙伴的攻击所导致的损失成为了重灾区,据调查,有42%的公司曾因为合作伙伴的攻击遭到牵连,并导致了严重的数据泄漏,应了那句老话“就怕x一样的队友”。最后,网络攻击已经高度的自动化和集成化,高端的攻击者都有自己的一套自动化、集成化的攻击套件,能对猎物发起接近全流程自动化的有效攻击。
SOC存在的问题
针对严峻的高级威胁安全形势,安全平台类产品(如SOC、SIEM)总是容易被人提及。任何”有理想“的甲方安全员都梦想拥有自己的安全分析平台,而平台的现实却是依然的残酷。Nick根据自己的调研,列举了当前SOC存在的四大问题:
1) 告警太多,平台无法运营;
2) 运营中太多需要人的参与,消耗大量的人力资源;
3) 功能过于复杂,运营难度高;
4) 因为防御手段的滞后性,防御永远跟不上威胁的发展步伐。
机器学习与安全
至此,Nick开始介绍机器学习在安全领域能发挥的作用。本章开篇介绍针对于机器学习外界渲染和学术研究的巨大差异,阐述了他所理解的安全检测问题,当出现新的需要检测文件或研判的事件时,需要回答三个问题,以下是笔者自己的理解:
1) 判断题:判断是否为恶意;
2) 选择题:选择恶意的类别,是木马、蠕虫还是恶意广告?
3) “主观”题:根据实际情况做风险评估。
首先介绍了三种恶意文件的检测方式,如下图表格:
分别列举了静态检测、文件信誉以及基于沙箱文件行为的检测方式,对各自的检测内容项、使用的检测方法和检测的性能、效果做了简要的介绍,其中static和reputaion的方式在基本做到“know know”,基于行为的分析方法在一定程度上能做到“know unknow”。
基于行为分析的检测方式能很好的体现机器学习的优势:能够很好利用indriect indicator(Not Necessarily Malicious indicator,例如用户“正常”的行为操作)。indriect indicator也具有传统IOC不具备的优点,它更不容易被伪装或假冒,如某些动作的频率、行为组合(combination of actions),也能为提供更通用的检测带来可能性,因为利用这些特性能检测到利用同样技术的不同家族,而利用具有特定特性的恶意软件训练集能轻松定制处检测目标,因样本可以有特定的组织给出,也就是的检测机制能适应不同的部署环境。
接着Nick又为提出了在机器学习中“数据为王”的“大众观点“,合适的训练数据是模型成功的最重要因素,也用下图介绍了模型训练的一般过程。
接着就是大家的规定动作,介绍机器学习的ToolKit,监督学习、非监督学习以及半监督学习。并且给出成功的机器学习的黄金标准:1) 了解你的训练数据;2)对算法的优点和缺陷都要心中有数;3) 不断的迭代、清洗和重复。
另本章节几张图值得收藏。
监督学习的模型训练和使用过程
深度学习
针对文件样本分类的模型生成过程
非监督学习
聚类分析
事件响应的自动化
威胁响应的自动化能做什么呢? Nick列举了三项:1) 通过多源数据的采集、关联和理解来标识高级威胁;2) 能够持续性的学习威胁行为,利用安全工具进行自动化的工作,以便涵盖更多的威胁;3) 提高检测的精度,能为安全专家研判提供更优质的数据,以便他们作出最优的决策。接着,Nick分析了典型的威胁响应流程:
在流程中,面对不断产生的新告警,需要不断的做威胁运营研判,判断是否为真正的威胁以及是否需要深入的关注分析,如果是需要关注的威胁,则需要采取缓解或修复措施,否则要加入白名单列表或者做假阳性误报处理。为更好的排定威胁处置的优先级,需要有一套威胁关注度评价机制,来回答什么样的威胁应该被关注,Nick给出了自己的看法,认为以下两点因素需要被更优先的考虑:1) incident的攻击目标和重要资产的关系;2) 考虑威胁的影响范围以及攻击目标是否快要达成。同时也给出威胁响应关注要素的优先级:1) 攻击基本属性(攻击源、攻击目标、攻击载荷等);2) 入侵途径(通过什么途径发起攻击的,是web、mail、document还是横向扩散);3) 恶意的行为(木马、扫描、CnC、外泄等);4) 为响应团队同步威胁概况; 5) 提取威胁中的终端用户活动范围;6) 允许威胁利用用户名来做标识,而不仅仅是IP地址和DNS。对于攻击证据,需要采集诸如恶意文件、pcap包、网络探测等数据,用来对攻击做验证,也能用来确定有效和适当的缓解措施。攻击的影响范围,需要评估哪个设备/用户受到了影响;攻击的进度,要确认攻击活动了多久,这需要根据攻击的属性做时间序列的分析。
为使得自己的观点更具操作性,Nick介绍了一些use cases:
以及主要的入侵途径:
以及event所可能覆盖的攻击链阶段:
自动化的解决方案依赖于各种产品、模块所开放的OpenAPI,以便达成供应商以及产品之间的信息交换:
应对安全事件,应该做什么?Nick列举出安全事件响应应该要完成的Task:1) 从web,mail中收集数据;2) 分析和检测高级威胁;3) 标识受影响的主机和用户;4) 尽可能从所有的数据来源中收集数据的mate信息;5) 关联所有相关联的主机事件;6) 按照时间线合并事件;7) 将所有信息汇集成一个Security Incident。以此来达成四个目的:减少来自SIEM告警的干扰,避免人工关联,提供对威胁的洞察力,简化incident响应流程。
Nick给出了incident response的基础架构图:
自动化的响应方式到底能带来什么好处呢?Nick给出了他们的实践的答案:自动化的响应相比人工能节省80%的时间消耗:
报告的最后,Nick对安全的现状疑虑重重,提出了自己的几点建议:
1) 攻击者正利用自动化的方式提升攻击的效率和效用,作为防御者也应如此;
2) 在争取使用机器学习的情况下能大幅度的提升威胁检测能力;
3) 因机器学习的不可解释性,因此需要专家辅助来解释机器学习的结果输出;
4) 利用自动化通用任务为威胁影响提速。
安全攻防的对决很大程度上是双方速度的比拼。
绿盟科技最新的两项研究表明: 1) 大部分互联网的业务系统在上线后半小时内会被攻击者探测发现并开始遭受攻击, 2)系统的最新漏洞在信息公开后 10 小时~13 小时,攻击者会采用最新的攻击代码对开放在互联网系统进行攻击。第一项研究采用蜜罐系统完成, 绿盟科技研究人员发现所有蜜罐系统在上线后不到半小时就会遭受探测类与扫描类攻击,并且每个蜜罐系统遭受攻击平均次数多达 50次以上。 通过对蜜罐系统的持续观测,绿盟科技研究人员发现每次紧急高危漏洞的信息公开后的 10~13 小时以内,蜜罐系统就能捕获针对紧急高危漏洞的新型攻击。 以上数据都表明,当前我国互联网充斥安全威胁并威胁演进的速度非常惊人。
绿盟MDR服务
面对攻防演进速度惊人的形势,为更好的为企业客户以解燃眉之急,绿盟科技在2018年推出了可管理的威胁检测与响应服务(NSfocus Managed Detection and Response Service,以下简称绿盟 MDR 服务)。
相对于传统的安全产品与安全服务,绿盟 MDR 服务具备以下优势:
绿盟 MDR 服务是一种集安全威胁检测设备、安全威胁分析平台、安全专家服务于一体的一站式安全运营支撑服务,通过入侵检测防御系统、全流量分析系统、态势感知系统等安全设备与平台及云端远程安全分析专家共同为企业客户提供各类安全的威胁检测与响应服务(如下图所示)。
- 避免企业信息安全建设面临的管理风险
当前国内企业机构的信息安全建设往往采用先采购安全设备和安全平台类产品,后采购运维外包服务方式解决安全问题。这种建设方式,往往在工期上、人员配备上、技术集成上存在较大风险。实现不同厂商安全设备的统一运维与管理、不同安全设备与平台同步开发、联调对接、安全运维外包服务或安全运维人员招聘和培养等问题给企业增加了供应
商管理及外包管理成本和风险,难以确保采购的安全设备、平台及服务能够形成完整的、有效的运营体系应对日益复杂的安全威胁。
绿盟 MDR 服务是一体化的、端到端的安全运营支撑服务,通过一体化的设计有效整合了安全威胁分析平台、安全检测设备及安全运维专家资源, 并在技术上、流程上和人员配备上形成有效的安全运营支撑体系,从而避免了企业在安全建设上的风险。
配置灵活,成本可控,降低总体成本
绿盟 MDR 服务可采用灵活方式采购。一方面,客户可以根据自身业务系统的类型、规模及规划灵活地选配威胁检测与分析所需要的设备。另外一方面,在安全设备及安全平台建设上,企业可以根据自身的安全预算情况选择租赁或采购的方式。对于已购买绿盟安全设备的客户,还可以选择在原有安全设备基础上扩建的方式完成 MDR 服务的采购。通过以上方式,企业可以大幅降低信息安全建设的一次性投入,并且在确认安全运营支撑服务效果后逐步追加投资。
- 降低运营负担,适配企业原有的管理流程
与传统安全设备采购不同,绿盟 MDR 服务采用一体化建设方式,在原有安全运体系基础上增加企业威胁检测与防护的能力,能够完整地实现企业原有的安全运维体系无缝对接,避免给企业安全运维带来额外负担, 降低整体安全运营效率。
绿盟 MDR 服务是无论是在服务模式上还是在技术上都是业界先进的,该服务不仅为客户提供了安全一体化建设方案,避免安全建设项目的风险,还进一步融合业界最先进的大数据分析技术、机器学习技术、智能决策技术为客户有效精准地识别安全威胁和事件,从而协助企业持续有效地降低安全风险和安全事故带来的损失。