编者按:随着网络安全的发展,效率已经成为了安全运营最重要的指标之一。为了提升效率以及其他相关能力,技术整合与生态合作成为了RSAC2018上各大厂商的重要筹码。作为SOC领域资深专家,360企业安全集团副总裁韩永刚分享了他对终安全运营以及SIEM领域趋势、方向的思考和判断。

2018的RSAC注定是不寻常的一届!

2007年以来,有太多过去从未发生过的安全事件类型。当以WannaCry为代表的勒索病毒席卷全球,让安全从业者措手不及:原来攻击者不再需要拿走你的数据,也能达到他们的目的。不过,从另一个角度来看,“乱世出英雄”,安全从业者可以大声说:“嘿,伙计!是时候让我表演真正的技术了。”

我们需要审视我们的安全体系建设,去建功立业。我想,这也是为何在RSA2018的keynotes上,微软也提出了“安全第一(Security First)”的理念。这与我国提出的“安全是发展的前提”如出一辙。

众所周知,今年的创新沙盒冠军得主是BigID,即便其技术并无特别的亮点。因为很大程度上,BigID是沾了热点赛道的光,毕竟GDPR和Facebook事件在全球都有着巨大的影响力。

反过来看创新沙盒的另一个入围者Awake Security,虽没能最终获奖,却颇受安全业内人士的关注。我想,这主要因为Awake试图去解决困扰众多安全从业者的难题,如何更高效的做好安全运营,把安全团队从大量的告警处理中解放出来。从技术角度上来说,应用流量的数据分析能力,人工智能介入分析决策,自动化(Automation)机制,正是一线安全人员所需要的。

所以在RSAC2018上,你会发现不论是老牌的SIEM系统的提供商,还是在UEBA、Incidence Response这类专业领域起家的新公司,都在向更完整的安全运营系统这个方向不断努力,很多一些前两年还是新兴概念的领域,正在不断的落地,成为标配,并形成“整合(Consolidation)”系统的组成。

我尝试用技术的角度来阐述安全运营与SIEM的发展:

1. 安全分析中位能力成为核心。RSAC2018的Session专题演讲环节,就专门设置了“Analytics, Intelligence & Response”的板块。安全分析方法中,用户与实体行为分析(UEBA)这两年一直是热点领域,进一步发展成为SIEM系统的重要组成。在过去的一段时间里,SIEM领域的巨头,都通过收购与自研,不断增强UEBA能力。这主要是因为一方面基于非规则的行为分析,确实给了安全分析甚至未来的业务安全分析,注入新的活力。尽管人工智能算法虽然还不能作为普适性网络安全分析方法,但确实可以解决很多特定场景的问题。另一方面除了外部攻击问题的发现,内部威胁(Insider Threat)也成为企业日益关注的特点,UEBA正好是用武之地。但从各家落地来看,UEBA的应用场景对数据要求很高,如果不能通过身份认证管理系统,获取比较完整的身份相关数据,以及从流量及各类业务系统日志中提取出访问与行为操作类数据,想做出实际效果来,并非易事。

而为了进一步扩展安全分析能力,IBM甚至把Watson和i2都与Qradar做了标准的接口,从而将SIEM中的事件线索,作为Watson人工智能搜索,与i2可视化分析的输入,从而将更多的分析工具,提供给高阶分析员。

2. 威胁情报由于其在攻击发现与扩展分析上的实效,已经成为安全运营与分析的标准高位能力组成,情报交换也成为很多SIEM系统的标准扩展应用。美国在各类的标准方面一向做的很到位。基于STIX情报标准,众多第三方情报源,以及安全产品提供商的情报,都可以作为安全运营体系“应用”市场中的标准组件。

3. 事件响应(Incidence Response)、自动化编排(Automation & Orchestration) 逐步落地,让事件的相应与处置工作流形成讨论,并提供丰富的知识体系,成为指导一线安全运营人员方法、流程的关键工具。在过去几年中,我们也可以看到自动化响应、编排这些技理念,从2016年创业公司Phantom成为创新沙盒的冠军而广泛被关注,到今天成为安全运营环节的组成。当年的Phantom,也已经被Splunk所收购。而大家可能没有注意到,在2016年的时候,另外一家此类新兴公司没有进入创新沙盒角逐的原因,就是被Fireeye收购了。事件响应与自动化编排在提升安全运营人员的处理工作效率,以及与多系统的协作方面,都提供了极高的价值。

4. 在安全运营的数据来源中,除了流量,终端检测与响应(EDR)成为越来越关键的组成。在未来很多业务流量都加密的情况下,终端是最能够抓取安全异常行为的地方。虽然IBM自身已经进行了终端安全系统的开发,但仍然与Carbon Black这样的EDR优秀厂商进行了紧密的配合,在其安全运营体系中的Qradar(SIEM)、Resilient(Incidence Response)、Bigfix(Active Remediation)、X-force(MSS)环节都做了对应的方案,将CB的发现、响应、防护都整合进了几个环节中。

5. 人与服务的重要性。平台与工具,依然无法缺失人的参与,可管理安全服务(MSS)成为在安全运营中串起这些环节的关键因素。如IBM的 X-force,以及Fireeye的Mandiant,都将人的能力运用于平台与工具基础之上。当我和IBM展位上的工作人员沟通时,说到你们有了几乎所有环节所需的工具,他们依然认为,系统间的整合,总是不能做到完美,只有人、知识体系与工作方法,才是有机将数据与平台工具衔接运转的关键。

而从安全运营市场发展趋势看,传统的强势SIEM提供商,都在试图扩充自己的拼图,给客户提供一站式的整合安全运营服务。这其中包括IBM, Splunk, McAfee甚至Fireeye。新兴的安全行为分析厂商,也试图扩展自身的能力,到下一代SIEM,如LogRhythm、Securonix、Exabeam。而一些从安全专项领域发展起来的厂商,也试图基于自身的安全产品体系,扩展安全运营中心,如Fireeye、Fortinet与Trustwave。优秀的终端厂商,除了终端防护之外,EDR也成为了安全运营与分析体系中不可或缺的关键组成。如Carbon Black、Cylance。而强势体系提供商,也在补强终端这个真相之源,如IBM、Fireeye。由此可见,安全运营强调体系的完整,数据源的丰富,基于知识体系的流程,从而各个巨头逐渐殊途同归,扩展自己的拼图,而专项厂商,也都能在这个体系中找到适合自己的位置。

大家不再是单打独斗,生态与可落地的协作,成为主流。这其中的代表者是IBM,以Qradar系统作为安全分析的核心平台,通过App方式,可衔接几十家的第三方安全厂商的发现,防护与情报能力。其X-force MSS团队,更可以将Resilient作为事件响应与自动化编排工具,结合专家赋予X-force的高位威胁情报能力,提升安全事件的响应与处置效率。

从这样的安全运营体系中可以看出,中位的分析能力与自动化编排响应能力,越来越成为提升安全运营效率的核心。而作为发现与数据支撑的低位能力,流量与终端成为关键可信的数据来源。而威胁情报与安全运营服务,自然成为真正落地的衔接力量。这样的高中低位的结合,越来越在优秀的安全运营提供商的架构体系中,成为落地的良方。这也是360企业安全在中国市场,努力为我们的大型客户所打造与提供的从安全体系咨询,到安全建设,以及安全运营的闭环。有机的闭环运转,才可能真正结合用户的业务,实际落地。在国内,安全市场也正处于一个企业级安全的爆发时期,数字化转型带来的云安全、态势感知、大数据安全、物联网安全都给了我们重新思考与定义新安全运营的机会。行业对安全的认知也在不断提升,360企业安全也希望在这个过程中,能够为扩大安全整体市场,为我们的大型客户,提供更多更好的安全体系设计,为建立可落地、可运营的安全体系而努力。

 

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。