从2017年开始,网络安全行业积极响应习总书记4.19讲话提出的“感知”方向,建设网络安全领域的态势感知平台,从起步的数据集中管理模型,逐渐发展成为能够帮助企业有效控制安全风险的关键安全措施。在近几年的网络安全攻防演练活动中,各类态势感知产品逐渐成为企业和安全服务人员广泛使用的产品之一。关于态势感知产品的发展和应用方向,梳理一些思考内容:
关于“感知”,
能够为企业带来什么利好?
引用道哥在《AI不能动,都是白搭》中的分析理解,
“随着我对技术理解的深入,我终于想明白了,AI不能动,都是白搭。
我说的AI是指通过机器模拟人的大脑,与我们常谈的大数据、云计算概念需要有区分,以后可以再聊聊其中的区别。
如果AI是要通过机器模拟人的大脑,则当前巨头们的AI平台、独角兽们都还停留在对大脑感知能力模拟的阶段,比如视觉、语音、自然语言理解等。这是为什么AI在当前只在安防领域验证了商业模式。
但只模拟感知能力,对劳动力的释放是极其有限的。从产业的角度AI要获得经济效益,必须进一步释放劳动力,因此只有从感知做到行动才能完成这个闭环。我在两年前的文章《世界需要什么样的智能系统》较完整的阐述了这个想法,在探索了两年后的今天,则更加坚定这个想法。
由此可推论,最终AI只有完成了对机器人、机械臂、自动驾驶、无人机等能动的产品的赋能,才能最终释放经济效能和社会效能。在此之前,都是漫漫长夜,只做单点技术的都是烧钱的概念型公司。”
其中提到的AI智能系统,和网络安全领域的态势感知产品,有着相似的目标和系统组织架构——希望通过对原始数据的处理、有效的数据分析方法(学习、预测、策略等),指导人类活动或自动化的感知与处置,帮助企业解决众多难题、节省人力开销。
引用“SEI Blog”关于《Situational Awareness for Cybersecurity》的分析内容,——
Situational Awareness——
(1)Know what should be.
(2)Track what is.
(3)Infer when should be and is do not match.
(4)Do something about the differences.
网络安全态势感知,在传统网络安全防御体系与数据综合管理模式有序落地的大背景下,正在逐步征服市场。“态势感知”产品能够替代传统安全产品,得益于其为了实现最终目标而应当具备的安全属性,(1)能够归一化各类(非统一标准化的)日志数据、流量数据;(2)能够针对归一化数据,通过大数据分析、AI等算法形成事件分类、分级、关联、分析、预测、告警;(3)能够契合企业业务规律,有效发现“异常”,并在一定程度上控制误报、漏报;(4)能够结合各类网络设备、安全设备形成有效联动。
将人类的安全知识和安全处置策略,赋予机器进行自动化感知,不仅仅是希望机器能够帮助人类发现安全问题,更重要的是阻塞甚至提早屏蔽安全隐患。因此,感知,不能停留在事件发现、事件告警,应当结合有效的资产梳理、合理的联动处置策略,形成针对安全事件的 <精准> “感知-处置”的行为闭环。
关于0day,
态势感知覆盖范围如何?
0day,通常指未公开漏洞细节、无相应补丁的安全漏洞。说到0day,人们总会闻风丧胆,尤其是在攻防演练的关键时期。但是0day真的有这么可怕吗?
引用《今天,我们正经说一下0day漏洞》中的分析内容
“没有任何一款单独的安全产品,可以针对所有威胁向量提供保护。面对0day漏洞,传统的单点防护手段已无法胜任,我们需要不断拓展防护层次,并且在对抗中不断提升检测精度,并综合利用内部多种日志和流量信息,进行关联分析,让攻击者“进不来”、“拿不走”、“跑不掉”,不断增加攻击者0day漏洞的攻击成本。”
0day,在我的理解,分为两大类,(1)已有漏洞类型,未知存在漏洞的组件或接口;(2)未知漏洞类型。
对于(2)未知漏洞类型,如在已知sql注入(未知xss漏洞)的情况下,大家将IPS/WAF的检测规则设定为“select、union、order、information_schema、user()、@@version”等条件、机器学习仅仅训练合法与非法sql语句拼接数据包。此时,如果xss漏洞类型刚刚被发现,js标签<script>、<img>不会被各类安全策略、安全规则拦截,就会造成大规模系统权限丢失、敏感数据泄露。对于态势感知来说,可以尝试从流量、异常参数value(机器学习)、频率等角度进行感知,但感知未知性比较大。此类0day,是可怕的。
对于(1)已有漏洞类型、未知存在漏洞的组件或接口。比如未知CMS系统的代码执行、未知upload上传点的webshell攻击,此类0day虽然影响范围较广、攻击后果严重,但对于流量检测设备(IPS、WAF、APT),甚至是态势感知产品(通用规则、机器学习、关联分析)来说,是应当具备一定的已有漏洞类型覆盖能力的,比如不同组件存在sql注入漏洞,都离不开盲注、字符型、数字型等方法及语句尝试。
关于安服的价值,
态势感知需要安全服务从业人员做哪些辅助动作?
传统安全服务,往往指渗透测试、应急响应、漏洞扫描、安全咨询等内容。在攻防演练活动高频举办的同时,针对安全服务人员的能力要求也在相应提升。态势感知的有效应用,不但需要态势感知产品具备全面的数据采集能力、数据分析能力、大数据分析能力,更离不开安服人员将态势感知产品与企业客户进行有效融合。
在suricata开源IDS/IPS项目中,规范了$HOME_NET和$EXTERNAL_NET的定义,其描述了企业内部网段、外部网段这两个变量的定义,明确了“可以遵从的安全区域划分原则”,对于流量监控设备、IPS、态势感知产品均有着极大的指导作用。
攻防演练前期的资产梳理,应包括详尽的(1)网络——企业内网网段、专线网段、互联网段、出口地址段、外部地址段;(2)业务——常用业务间的互联端口、uri路径、传参类型及组合、业务频率、业务周期、业务起止时间;(3)流量——明确采集到的流量数据包含哪条线路、哪个方向的数据通信,以及流量监控盲点。这将有效协助态势感知设备识别业务、区分攻击(内部、外部)、自动化定级分类、告警噪音数据清除。即,安服人员需要帮助企业、帮助态势感知设备,梳理常态与异常(when、who、what、match)、规范处置动作。
期待网络安全行业的态势感知能够实现终极目标,形成“感知-处置”的精准闭环!
