RSAC2018观察：整合与生态是大型安全运营的必由之路

编者按：随着网络安全的发展，效率已经成为了安全运营最重要的指标之一。为了提升效率以及其他相关能力，技术整合与生态合作成为了RSAC2018上各大厂商的重要筹码。作为SOC领域资深专家，360企业安全集团副总裁韩永刚分享了他对终安全运营以及SIEM领域趋势、方向的思考和判断。

2018的RSAC注定是不寻常的一届！

2007年以来，有太多过去从未发生过的安全事件类型。当以WannaCry为代表的勒索病毒席卷全球，让安全从业者措手不及：原来攻击者不再需要拿走你的数据，也能达到他们的目的。不过，从另一个角度来看，“乱世出英雄”，安全从业者可以大声说：“嘿，伙计！是时候让我表演真正的技术了。”

我们需要审视我们的安全体系建设，去建功立业。我想，这也是为何在RSA2018的keynotes上，微软也提出了“安全第一（Security First）”的理念。这与我国提出的“安全是发展的前提”如出一辙。

众所周知，今年的创新沙盒冠军得主是BigID，即便其技术并无特别的亮点。因为很大程度上，BigID是沾了热点赛道的光，毕竟GDPR和Facebook事件在全球都有着巨大的影响力。

反过来看创新沙盒的另一个入围者Awake Security，虽没能最终获奖，却颇受安全业内人士的关注。我想，这主要因为Awake试图去解决困扰众多安全从业者的难题，如何更高效的做好安全运营，把安全团队从大量的告警处理中解放出来。从技术角度上来说，应用流量的数据分析能力，人工智能介入分析决策，自动化（Automation）机制，正是一线安全人员所需要的。

所以在RSAC2018上，你会发现不论是老牌的SIEM系统的提供商，还是在UEBA、Incidence Response这类专业领域起家的新公司，都在向更完整的安全运营系统这个方向不断努力，很多一些前两年还是新兴概念的领域，正在不断的落地，成为标配，并形成“整合（Consolidation）”系统的组成。

我尝试用技术的角度来阐述安全运营与SIEM的发展：

1.安全分析中位能力成为核心。RSAC2018的Session专题演讲环节，就专门设置了“Analytics, Intelligence & Response”的板块。安全分析方法中，用户与实体行为分析（UEBA）这两年一直是热点领域，进一步发展成为SIEM系统的重要组成。在过去的一段时间里，SIEM领域的巨头，都通过收购与自研，不断增强UEBA能力。这主要是因为一方面基于非规则的行为分析，确实给了安全分析甚至未来的业务安全分析，注入新的活力。尽管人工智能算法虽然还不能作为普适性网络安全分析方法，但确实可以解决很多特定场景的问题。另一方面除了外部攻击问题的发现，内部威胁（Insider Threat）也成为企业日益关注的特点，UEBA正好是用武之地。但从各家落地来看，UEBA的应用场景对数据要求很高，如果不能通过身份认证管理系统，获取比较完整的身份相关数据，以及从流量及各类业务系统日志中提取出访问与行为操作类数据，想做出实际效果来，并非易事。

而为了进一步扩展安全分析能力，IBM甚至把Watson和i2都与Qradar做了标准的接口，从而将SIEM中的事件线索，作为Watson人工智能搜索，与i2可视化分析的输入，从而将更多的分析工具，提供给高阶分析员。

2.威胁情报由于其在攻击发现与扩展分析上的实效，已经成为安全运营与分析的标准高位能力组成，情报交换也成为很多SIEM系统的标准扩展应用。美国在各类的标准方面一向做的很到位。基于STIX情报标准，众多第三方情报源，以及安全产品提供商的情报，都可以作为安全运营体系“应用”市场中的标准组件。

3.事件响应（Incidence Response）、自动化编排（Automation & Orchestration） 逐步落地，让事件的相应与处置工作流形成讨论，并提供丰富的知识体系，成为指导一线安全运营人员方法、流程的关键工具。在过去几年中，我们也可以看到自动化响应、编排这些技理念，从2016年创业公司Phantom成为创新沙盒的冠军而广泛被关注，到今天成为安全运营环节的组成。当年的Phantom，也已经被Splunk所收购。而大家可能没有注意到，在2016年的时候，另外一家此类新兴公司没有进入创新沙盒角逐的原因，就是被Fireeye收购了。事件响应与自动化编排在提升安全运营人员的处理工作效率，以及与多系统的协作方面，都提供了极高的价值。

4.在安全运营的数据来源中，除了流量，终端检测与响应（EDR）成为越来越关键的组成。在未来很多业务流量都加密的情况下，终端是最能够抓取安全异常行为的地方。虽然IBM自身已经进行了终端安全系统的开发，但仍然与Carbon Black这样的EDR优秀厂商进行了紧密的配合，在其安全运营体系中的Qradar（SIEM）、Resilient（Incidence Response）、Bigfix（Active Remediation）、X-force（MSS）环节都做了对应的方案，将CB的发现、响应、防护都整合进了几个环节中。

5. 人与服务的重要性。平台与工具，依然无法缺失人的参与，可管理安全服务（MSS）成为在安全运营中串起这些环节的关键因素。如IBM的 X-force，以及Fireeye的Mandiant，都将人的能力运用于平台与工具基础之上。当我和IBM展位上的工作人员沟通时，说到你们有了几乎所有环节所需的工具，他们依然认为，系统间的整合，总是不能做到完美，只有人、知识体系与工作方法，才是有机将数据与平台工具衔接运转的关键。

而从安全运营市场发展趋势看，传统的强势SIEM提供商，都在试图扩充自己的拼图，给客户提供一站式的整合安全运营服务。这其中包括IBM, Splunk, McAfee甚至Fireeye。新兴的安全行为分析厂商，也试图扩展自身的能力，到下一代SIEM，如LogRhythm、Securonix、Exabeam。而一些从安全专项领域发展起来的厂商，也试图基于自身的安全产品体系，扩展安全运营中心，如Fireeye、Fortinet与Trustwave。优秀的终端厂商，除了终端防护之外，EDR也成为了安全运营与分析体系中不可或缺的关键组成。如Carbon Black、Cylance。而强势体系提供商，也在补强终端这个真相之源，如IBM、Fireeye。由此可见，安全运营强调体系的完整，数据源的丰富，基于知识体系的流程，从而各个巨头逐渐殊途同归，扩展自己的拼图，而专项厂商，也都能在这个体系中找到适合自己的位置。

大家不再是单打独斗，生态与可落地的协作，成为主流。这其中的代表者是IBM，以Qradar系统作为安全分析的核心平台，通过App方式，可衔接几十家的第三方安全厂商的发现，防护与情报能力。其X-force MSS团队，更可以将Resilient作为事件响应与自动化编排工具，结合专家赋予X-force的高位威胁情报能力，提升安全事件的响应与处置效率。

从这样的安全运营体系中可以看出，中位的分析能力与自动化编排响应能力，越来越成为提升安全运营效率的核心。而作为发现与数据支撑的低位能力，流量与终端成为关键可信的数据来源。而威胁情报与安全运营服务，自然成为真正落地的衔接力量。这样的高中低位的结合，越来越在优秀的安全运营提供商的架构体系中，成为落地的良方。这也是360企业安全在中国市场，努力为我们的大型客户所打造与提供的从安全体系咨询，到安全建设，以及安全运营的闭环。有机的闭环运转，才可能真正结合用户的业务，实际落地。在国内，安全市场也正处于一个企业级安全的爆发时期，数字化转型带来的云安全、态势感知、大数据安全、物联网安全都给了我们重新思考与定义新安全运营的机会。行业对安全的认知也在不断提升，360企业安全也希望在这个过程中，能够为扩大安全整体市场，为我们的大型客户，提供更多更好的安全体系设计，为建立可落地、可运营的安全体系而努力。

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。