信息來(lái)源:比特網(wǎng)
美國(guó)當(dāng)?shù)貢r(shí)間2月17日,被稱為行業(yè)風(fēng)向標(biāo)的RSA Conference 2017在美國(guó)舊金山落幕�����,360企業(yè)安全集團(tuán)天眼產(chǎn)品總監(jiān)沈華林在回顧本次RSA時(shí)認(rèn)為�,在威脅分析、威脅情報(bào)���、人工智能和機(jī)器學(xué)習(xí)等多個(gè)方面今年RSA都呈現(xiàn)了一些值得關(guān)注的新趨勢(shì)和新方向��。
圖:360天眼產(chǎn)品總監(jiān)沈華林
威脅分析越來(lái)越重要���,結(jié)合全網(wǎng)成方向
從RSA看,業(yè)界現(xiàn)在越來(lái)越關(guān)注威脅分析�����,并把威脅分析提升到了企業(yè)安全運(yùn)營(yíng)的一個(gè)很重要層面���。
結(jié)合全網(wǎng)數(shù)據(jù)的威脅分析:威脅分析已經(jīng)成為大數(shù)據(jù)安全分析�����、高級(jí)威脅檢測(cè)一個(gè)非常重要的點(diǎn)�����,結(jié)合全網(wǎng)數(shù)據(jù)的威脅分析成為一個(gè)方向�,比如IBM的Waston in QRadar就是結(jié)合全網(wǎng)數(shù)據(jù)來(lái)做的,它會(huì)從上博客�����、論壇等地方把專家意見(jiàn)拉過(guò)來(lái)���,將這些專家的意見(jiàn)結(jié)合到事件分析中���,結(jié)合全網(wǎng)的數(shù)據(jù)和一些專家意見(jiàn)�,可以提高分析的深度和分析的相關(guān)性,把整體事件的全貌還原出來(lái)�����。
重視場(chǎng)景分析:RSA有一個(gè)主題演講關(guān)注基于人的行為的攻擊鏈分析�����,這個(gè)演講的關(guān)注點(diǎn)都在場(chǎng)景分析上�����,其基本意思是不光要知道這個(gè)威脅是怎么回事兒,還要非常清楚地知道整個(gè)的攻擊場(chǎng)景是怎么回事兒�,攻擊鏈條是怎么一回事,它的來(lái)龍去脈是什么樣的�����,分析的時(shí)候要把整個(gè)攻擊的鏈條還原出來(lái)�����。
微軟的sysmon���、初創(chuàng)公司SentinelOne的attack story都是基于場(chǎng)景的分析��,重視場(chǎng)景化分析也是360天眼在產(chǎn)品化當(dāng)中重點(diǎn)考慮的方面��。攻擊事件不再是一個(gè)孤零零的事件�,它應(yīng)該有一個(gè)全貌��,把整個(gè)黑客的攻擊鏈條還原出來(lái)���。在威脅分析的全網(wǎng)數(shù)據(jù)結(jié)合方面�����,360已經(jīng)通過(guò)云數(shù)據(jù)把全網(wǎng)數(shù)據(jù)都結(jié)合在了一起�����,在新版本的NGSOC中��,最重要的一個(gè)能力就是場(chǎng)景分析�,在其中定制了大量的業(yè)務(wù)場(chǎng)景分析的各種story在里面。
人工智能和機(jī)器學(xué)習(xí)進(jìn)入產(chǎn)品化
在今年RSA上�,人工智能和機(jī)器學(xué)習(xí)開(kāi)始進(jìn)入產(chǎn)品化,比如Splunk推出了Aktaion組件����,就是做機(jī)器學(xué)習(xí)分析的,它通過(guò)機(jī)器學(xué)習(xí)處理業(yè)務(wù)數(shù)據(jù)����,能逐漸去學(xué)習(xí)業(yè)務(wù)數(shù)據(jù)當(dāng)中哪些業(yè)務(wù)出現(xiàn)異常��,然后直接報(bào)出來(lái)�。
Splunk提到很典型的一個(gè)場(chǎng)景是如何檢測(cè)勒索軟件,勒索軟件會(huì)有下載階段�����、數(shù)控階段、數(shù)據(jù)傳輸��、感染等不同的階段���,不同的階段���,它的行為和本地行為的那些數(shù)據(jù)、日志是不一樣的�����,通過(guò)機(jī)器學(xué)習(xí)�,利用海量的正向樣本和惡意樣本的分類,就能夠分出哪些是屬于勒索軟件的行為�����。就可以發(fā)現(xiàn)誰(shuí)感染了勒索軟件���、哪些勒索軟件可能已經(jīng)要開(kāi)始起作用了�����,提前感知到��,然后去做一些判定�。Splunk在機(jī)器學(xué)習(xí)和人工智能方面最關(guān)注的是誤報(bào)率,通過(guò)對(duì)算法的調(diào)整�,已經(jīng)可以很好地對(duì)某些場(chǎng)景,比如勒索軟件做到低于千分之一的誤報(bào)率�。
圖:IBM的沃森從網(wǎng)上和本地?cái)?shù)據(jù)中獲取專家分析結(jié)果,應(yīng)用到SIEM系統(tǒng)中
另外一個(gè)典型的例子就是上面提到的IBM的沃森�,之前沃森在醫(yī)療方面已經(jīng)成功應(yīng)用,在安全方面沃森可以學(xué)習(xí)所有安全專家的意見(jiàn)���,收集安全專家在Twitter�、博客等發(fā)表的意見(jiàn)��,尤其是在一些新型攻擊發(fā)生時(shí)安全專家的意見(jiàn)至關(guān)重要�,把這些東西形成一些專家的報(bào)告,通過(guò)人工智能學(xué)習(xí)的方式把它給結(jié)合進(jìn)來(lái)���,就能夠給本地的數(shù)據(jù)帶來(lái)一定的幫助��。安全運(yùn)營(yíng)平臺(tái)的目的是把安全專家處理的步驟自動(dòng)化,不僅僅是內(nèi)部的安全專家���,還有全網(wǎng)的安全專家都能夠去結(jié)合起來(lái)為我提供服務(wù)��。沃森的思路本身是很好的����,但相對(duì)而言,沃森的產(chǎn)品化的效果還是有待觀察�����。
360的NGSOC組件里的流量探針也已經(jīng)使用了機(jī)器學(xué)習(xí)技術(shù)�,在檢測(cè)基于服務(wù)器端的攻擊,以及基于網(wǎng)絡(luò)攻擊這方面�,通過(guò)機(jī)器學(xué)習(xí)去做相關(guān)的判定,相關(guān)的檢出率和誤判率都已經(jīng)達(dá)到了比較滿意的效果����。
威脅情報(bào)成為必需品后,開(kāi)始追求精細(xì)化
從RSA看���,威脅情報(bào)已經(jīng)成為一個(gè)必需品�����,不僅僅必須要有威脅情報(bào)��,用威脅情報(bào)去連通整個(gè)環(huán)節(jié)����,而且開(kāi)始更多的關(guān)注怎樣選擇適合的威脅情報(bào),訂閱威脅情報(bào)時(shí)需要去評(píng)定它���,需要知道自己的行業(yè)需要什么樣的威脅情報(bào)�����,威脅情報(bào)的質(zhì)量開(kāi)始成為安全運(yùn)營(yíng)中關(guān)注的重點(diǎn)��。
現(xiàn)在的威脅情報(bào)很多�,但是不同的行業(yè)用戶需要的威脅情報(bào)是不一樣的�����,比如說(shuō)能源行業(yè)���、教育行業(yè)關(guān)注和政府行業(yè)關(guān)注的威脅情報(bào)是完全不一樣的���。360已經(jīng)在這方面進(jìn)行了一些實(shí)踐。比如威脅情報(bào)在與防火墻結(jié)合落地的時(shí)候���,中小企業(yè)根本就不關(guān)注什么是APT���,而更關(guān)注于勒索軟件、泄密行為或者病毒��、木馬等普通的威脅�,但是政府機(jī)構(gòu)會(huì)很關(guān)注APT,所以360會(huì)針對(duì)中小企業(yè)用戶的防火墻和政府機(jī)構(gòu)的防火墻推送不同的威脅情報(bào)�����。
圖:Fireeye報(bào)告中對(duì)SOC的好壞進(jìn)行了評(píng)定的曲線
Fireye在RSA上發(fā)了一個(gè)報(bào)告�,對(duì)于SOC平臺(tái)的好壞進(jìn)行了評(píng)定,他在批判不好的SOC平臺(tái)的同時(shí)�,也提出了什么叫成熟的SOC平臺(tái)。Fireye給出了一條曲線���,在這條曲線越低級(jí)的時(shí)候��,出現(xiàn)的誤報(bào)會(huì)越多�����,用戶就會(huì)疲于應(yīng)對(duì)誤報(bào)問(wèn)題��,不能發(fā)現(xiàn)一些真正有效的攻擊�����。Fireye認(rèn)為�,越是成熟的SOC平臺(tái),越是成熟的安全運(yùn)營(yíng)團(tuán)隊(duì)�,就會(huì)更關(guān)注于威脅情報(bào),也會(huì)關(guān)注于威脅分析��。通過(guò)威脅情報(bào)去精準(zhǔn)地產(chǎn)生一些有效的線索�,幫助用戶去進(jìn)一步做擴(kuò)散,通過(guò)威脅分析去進(jìn)一步擴(kuò)散出來(lái)�����。
360去年推出了NGSOC(下一代SOC)�����,相對(duì)于傳統(tǒng)SOC最大的不同可以幫助企業(yè)回溯歷史���,因?yàn)閷?duì)于企業(yè)來(lái)說(shuō)回溯歷史的成本是最高的�����。所有的事情只會(huì)發(fā)生一次����,如果沒(méi)有把數(shù)據(jù)記錄下來(lái)���,不對(duì)歷史數(shù)據(jù)去做回滾分析���,就無(wú)法做出評(píng)定。如果有了這些歷史數(shù)據(jù)再去評(píng)定威脅情報(bào)就容易很多��,直接通過(guò)歷史數(shù)據(jù)回放就可以看到��,知道當(dāng)時(shí)發(fā)生了哪些攻擊事件�����、通過(guò)威脅情報(bào)能夠曝出多少�����,這可能也是最佳的威脅情報(bào)的評(píng)定方式���,實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)�。
