“该工具可用于编写恶意代码、创建出一系列杀毒软件无法检测的恶意软件、检测网站漏洞、自动进行密码撞库等,目前已售卖超3000份”——这是一款近期在暗网上流通的AI工具FraudGPT,黑客在销售页上“极力揽客”。
据不完全统计,由ChatGPT聊天机器人创造出的“邪恶孪生”(evil twins)已有7种,黑客们早已在各种非法交易活动论坛上大肆宣扬“这就是未来网络攻击的雏形”。
然而长期以来,大多数企业面对0day、钓鱼等高级攻击手段都尚未找到突破之道,而日渐智能化、泛滥化的新型AI攻击,无疑是给本就无效的安全建设“雪上加霜”。
当前警钟已敲响:安全不能停留在建设阶段,更需要日常运营维护,赶超攻击者。但在现实中,安全运营可没那么好做,甩锅和背锅是常有的事。很多CIO/CSO内心也压着很多委屈,明明我那么努力,投入了这么多预算和人力进行安全建设,尽心尽力防护,一旦安全出现问题,责任全是我的?
更普遍的情况是,在长期疲于奔命的安全运营建设中,安全团队精气神逐渐不足,运营意识也逐渐涣散,最终半途而废。恰如开发商建房,开建之初,无一不是资金充裕、信心满满,但建造过程中,难免遭遇人力物力财力等种种难题,整个团队心气散乱、彼此推诿,最终致使不少楼盘建到一半停工,成了烂尾楼。
对于安全领域存在的这类问题,CIO/CSO也在思考,究竟是什么原因导致?是否存在切实有效的解决之法?为此,我们寻访了一些甲方企业客户,试图从他们遭遇的安全运营困境中寻出一些端倪。
企业机构安全运营都面临哪些困扰
实践出真知,问题往往都是在实践中发掘,凭空想象很难触及问题的本质。唯有了解客户真实遇到的难题,才能思索对应解决之法。
安全设备多,告警量大看不过来
客户一是国内某中型互联网企业,因为体量较大、财力丰厚,所以他们配备了数十种安全工具,比如防火墙、威胁情报、IPS/IDS、认证系统、漏扫工具、终端安全、云安全等,安全运营还兼管数据库审计、零信任认证、上网行为管理等,此外他们拥有自研的日志管理平台,可以对安全设备、各类服务器以及终端等告警日志进行统一采集和处置。
看似很完备的防护与运营体系,却并没有想象得那么简单。因为每天都会产生数以十万百万计的告警,各类攻击IP不计其数。如此庞大的告警数量,纵然安全团队经常加班加点处理,往往也很难将真实的恶意攻击行为从无数告警中提取出来。
也就是说,大量的误报和检测告警,让安全运营人员处于一种高度紧张且疲于奔命的状态。时间一长,安全团队某些人员便心存侥幸,将许多告警信息归类为误报,所以必然会存在漏网之鱼,给企业安全带来很大的潜在问题。
客户二是国内某大型金融机构,他们拥有数万台终端和服务器,在全国各地拥有多个分部和数据中心,采购配置了上百种网络安全设备和审计类产品,也配备了足够人手的安全团队进行日常运维。
可以看出,他们的安全基础建设相当扎实,理论上应该不存在什么安全大问题。但据透露,正是因为安全设备很多,所以每天接收的风险威胁告警就有数十万条,告警量极其庞大,久而久之已经超出了安全团队承受的极限。
目前,他们尽管付出了诸多努力,也只能处理全部告警的不到20%。更无奈的是,安全运维人员已经产生了告警疲劳,在检测告警的过程中,可能会遗漏某些真实威胁,给机构带来相当大的风险隐患。
从上述两家客户可以看出,他们的安全设备配置上并不存在大问题,该上的设备都已经上齐,导致每天产生大量告警,超出了安全团队的承受极限,因此根本无法查看所有告警,也没法研判哪些才是关键告警,进而导致告警疲劳,很多告警日志便慢慢不再去管。
缺乏应对高级威胁检测的手段和能力
客户三是国内某金融机构,整体安全信息化建设水平高,有专门的安全运营团队,配备市面上各类安全设备上百套,比如防火墙、威胁情报、终端安全、NDR、HIDS、RASP、邮件网关等,是最早一批落实基于SOC技术构建安全运营中心用户。
针对0day漏洞防御检测问题,客户在服务器区核心网络部署大量商网络探针,同时几万台服务器部署了主机安全软件,但每年攻防演练依然有0day攻击成功,高级威胁识别的压力较大。
针对办公网钓鱼,客户已部署5w+的终端安全软件,但还是频发主机被钓鱼入侵。不难发现,传统终端防护检测模式已经无法对抗高级威胁攻击。
难以统一治理碎片化的安全设备日志
客户四是某大型国企,他们耗资100万元购置了SOC平台,又花费60万元购买了厂商服务,驻场3个月结合现状写安全日志和关联分析规则。
但随着业务扩张带动网络变化,加之安全设备更替以及版本升级,不到半年,有些SIEM关联规则就开始失效。一年之后,就有接近50%的规则失效。客户无奈吐槽:“10 条告警里 8 条是误报,基本没法看。”随后又投入几十万买服务更新一遍规则,接着又是不断失效,不到两年时间,基本不再去看各类告警。
我们很容易看出这些客户的问题本质所在,即难以对碎片化的安全设备日志做统一治理,基本都需要人工去处理,不但技术要求高,而且工作量非常大。其次,随着业务发展、网络环境变化、设备更替和版本升级,规则很容易失效,企业要持续进行高成本的投入,且规则维持时间又难以长久,最终基本不再去用。
当前业内主要采取哪些解决方案
网络安全存在问题,安全厂商自然会致力于解决问题。因此,上述安全运营建设方面的问题,其实在业内一直在探索解法。虽然各大厂商的路线技术有所差异,但整个安全行业内,存在着通行解法的思路。
网络安全真正起航大约已有二三十年,崛起差不多是近十年。但实际上在近二十年前,就已经诞生了针对安全控制以及监测、审计和报告的安全平台,即安全信息和事件管理(SIEM)平台,也是曾经唯一可以帮助安全团队集检测、调查和响应为一体的解决方案。
但随着互联网的发展,SIEM也开始力不从心,具体表现在如下三个方面:
首先,SIEM基于安全产品的已有的安全告警结果,难以发现绕过攻击,即无法实现1+1大于2的效果;
其次,受限于数据治理框架的不足,SIEM难以真正打通网络维度和主机维度的安全数据,在攻击全链条还原和威胁实体定位方面,存在天然的技术短板;
最后,由于SIEM本身缺乏安全分析能力,需要人工编写关联分析规则,重度依赖人的安全知识和经验,导致运营维护成本也始终居高不下,即便业内部分产品内置了关联规则模板,对用户而言仍有着极高的技术门槛。
因此,最早于2018年开始,业内正在逐步转向扩展检测和响应,即XDR解决方案,以统一整个企业组织的威胁检测和响应。
可以说,XDR代表着新一代安全运营解决方案的核心技术。XDR更聚焦威胁本身,关注及时的威胁调查、隔离、遏制和对攻击的响应,且强调内置安全检测框架,围绕攻击链条自动化关联安全数据,能够有效满足用户对性能和效率的追求。
通过上述理论解析可以看出,针对告警量大、告警威胁难以定位处置、碎片化安全设备日志难以统一处理等安全运营建设问题,XDR解决方案可以提供较为完善的解决之道。
但问题来了,XDR是一个新兴解决方案,其提供了一个宏观的思路和途径,在具体操作实践落地层面,还需要更细致的技术和产品去落实。事实上,国内很多安全厂商已经涉足XDR领域,并探研出各自的解决方案来。
所以,亟待解决上述三类问题,我们还需要拿出具体一个产品,或者是一家安全厂商的理念,来针对性地回答和解决这些问题。
国内安全厂商的具体解法是什么
9月,深信服召开了两场发布会,通过观摩发布会,我们发现其提出了“安全运营新范式”,重磅发布了安全GPT 2.0升级能力,正是围绕着上述用户安全运营长期所面临的难解之题。
在“安全设备多告警量大看不过来”难题上,企业安全团队的人员数量和专业化水平差距是造成告警困境的根本原因,告警研判所需的专业知识面广、处置分析路径多样化,也造成仅有的安全人力研判困难、研判疲劳的巨大压力,无法从更高视角去纵览企业全局安全水位。
本质来说,这就是“运营效率”的问题。在提升运营效率上,深信服引入了汽车行业“辅助驾驶”和“智能驾驶”的理念,配合安全人员进行分层次的自动化运营落地,对齐企业安全人员水平的差异、扩大安全运营的“虚拟人力”规模。
其中,“辅助驾驶”模式提供对话式的网络安全态势分析、解读、建议等,通过连续对话提供场景化的安全处置指导,每个安全运营人员都可以自由地根据自己的业务水平获取额外知识、梳理合适的处置路径,快速实现闭环。
“智能驾驶”模式则将在安全运营人员的授权和审核下,全面接管安全运营的全生命周期(资产漏洞治理、威胁检测发现、告警事件闭环、处置调查、总结汇报)的关键工作,自动化进行告警研判、上报研判结果、提供研判证据链,以自动化的方式大幅度优化MTTD、MTTR,提升组织的安全能力,将日常安全运营所花费的时间减少95%。
以往安全建设模式高度依赖于人,人是效果的天花板,亦是组织的短板。所以深信服认为,安全运营应当如同智能汽车“智能驾驶”一般,用技术红利释放人的精力。
无论是“辅助驾驶”也好,“智能驾驶”也罢,最终掌握“方向盘”的还是人类,安全GPT可以将专业人员的精力从低效率的繁琐工作解放出来,转化为更高层次的安全决策和运营能力,帮助组织单位提升效率、降低成本。
在“缺乏应对高级威胁检测的手段和能力”问题上,由于安全运营工作涵盖范围很广,功能设计比较灵活,但最终效果的达成取决于内核能力的建设质量——即实战化的威胁对抗能力,安全运营应当以效果为核心、以闭环为目的,聚焦检测能力提升,实现精准高效的效果,若缺乏有效应对高级威胁的检测能力,最终不可避免地会导致半途而废。
显而易见,这是“检测效果”层面的问题。在此方面,深信服利用安全领域积累的高质量数据、算力、场景信息等优势,基于XDR的攻击故事线还原、多源数据融合分析能力,有效识别“0Day、钓鱼,凭证窃取,无文件攻击”等高级攻击手法,结合安全GPT的强大逻辑思维和自然语言处理能力,安全GPT持续赋能XDR,强化隐蔽和未知威胁的检测效果,支持对Webshell加密通信、加密漏洞(如Shiro)、Java反序列化等高危风险的检测,针对长周期、高混淆攻击的识别率提升80%以上。
在“难以统一治理碎片化的安全设备日志”难题上,深信服基于“开放平台+领先组件+云端服务”的安全理念进行落地,通过“聚合简化、云智赋能”的方式,以开放的XDR平台承载安全的核心能力,多样化的领先组件深入各类场景洞见风险、处置威胁,云端和本地服务最终保障效果落地,由此形成体系化、智能化的运转方式,帮助组织单位提升安全水位线,深信服称之为“安全运营新范式”。
安全建设不再半途而废
安全运营更省心有效
一直以来,安全与威胁始终是“道高一尺魔高一丈”的博弈,但谁高一尺谁高一丈,往往存在不确定性。但不可否认的是,众多安全厂商在这场道魔之争的拉锯战中,均投入了大量的资源与心血。
比如深信服,其理念在于用技术红利释放人的精力。例如,利用高级威胁检测,有效检出“0Day、钓鱼,凭证窃取,无文件攻击”等各类攻击;多源数据融合分析,针对三方数据进行二次误报校验,去除无效噪声;狙击威胁根因,可视化攻击故事线,快速开展威胁调查和溯源分析。
通俗来讲就是,通过XDR对E+N多源数据进行深度上下文的聚合分析,有效削减海量告警,进而转换为用户能够理解的高价值安全事件,并通过深度关联分析引擎,完整还原攻击故事线,易于举证和下一步研判。此外,安全GPT技术赋能XDR,强化检测能力,提升运营效率,助力安全运营工作迈向“智能驾驶”时代。
可以看出,解决安全运营建设半途而废的问题,是一项长期而艰巨的工程。任何一家探索此道的安全厂商,都值得尊敬和赞赏。
西汉刘安在《淮南子·兵略训》有言:“千人同心,则得千人之力”。安全,往小里说,是安全厂商之间的竞争;往大里说,是黑与白、正与邪的角力。安全行业同心同力,在各自细分领域一往无前迸发力量,将新的技术理念绚丽缤纷,安全才能气象万千,才能更好铲除“安全运营建设半途而废”,这个看似不大却影响深远的安全痼疾。
在此,观一深信服,可为同行参照尔。