中新網4月25日電 4月25日,第七屆運營商和網際網路行業網絡安全年會在合肥舉行,360企業安全集團副總裁左英男受邀在年會主論壇上做了題為「新形勢、新挑戰和新對策」的主題演講,在演講中,左英男提出了態勢感知能力落地的三個要素:數據是基礎、處置是關鍵、人員是保障。
新形勢:「沒有攻不破的網絡和系統」
最近幾年,網絡空間安全形勢發生了顯著的變化,左英男分析其背後有兩個方面的原因:首先,IT基礎設施正在發生深刻的變化:虛擬化技術、軟體定義網絡、移動辦公技術逐漸從概念走向實際應用。雲計算的興起、BYOD的普及,改變了傳統的數據中心架構,改變了辦公方式,使得傳統的網絡邊界變得模糊,甚至消失,這給傳統的、以安全邊界為核心的防護思想和安全產品帶來了巨大的挑戰。
其次,安全威脅的形勢也在發生深刻的變化:網絡攻擊的實施者不再是個人,而是具有明確的政治、經濟利益目的的黑產組織、國家機構;攻擊的手段和工具也日新月異,零日漏洞已經成為網絡空間地下黑市的搶手貨,甚至可以稱之為「軍火」。正如洛克希德馬丁公司的殺傷鏈模型所描述的那樣,網絡空間威脅已經呈現集團化、工具化、流程化運作的趨勢。隱藏多年的APT攻擊逐漸為人所知。這一切,都給傳統的、以特徵檢測為核心的防禦手段帶來了巨大的挑戰。
左英男表示,人們逐漸接受了「沒有攻不破的網絡和系統」這一現實,」世界上只有兩種組織,一種是已經被攻陷,一種是還不知道已經被攻陷」。同時也逐漸意識到,傳統的中世紀城堡式的被動防護戰略思維已經不能適應如今的網絡空間安全態勢,需要採用更加積極的對抗措施來應對這種變化。以持續檢測和響應為核心的自適應安全架構和對抗思想被人們所接受,成為應對網絡空間安全新挑戰的新對策。
新挑戰:用態勢感知解決安全問題
按照美國SANS研究所提出的網絡安全能力滑動窗口模型,過去20多年組織安全能力的建設主要在被動防禦層面開展,建立縱深防禦體系成為流行的做法,強調不依賴人的參與,依靠傳統的安全設備自動執行預先設定好的安全策略,目的是縮小攻擊面,消耗攻擊者的資源,降低攻擊者的自由度。
而積極防禦,強調人的參與,通過持續的檢測,主動消費威脅情報,獲取當前的安全態勢,從而採取行動,對抗攻擊者。所以如今「態勢感知」已經成為網絡空間安全領域聚焦的熱點,也成為網絡安全技術、產品、方案不斷創新、發展、演進的匯集體現,更代表了當前網絡安全攻防對抗的最新趨勢。
隨著《網絡安全法》和《國家網絡安全戰略》的相繼出臺,在我國,態勢感知被提升到了戰略高度,眾多大行業、大型企業都開始倡導、建設和積極應用態勢感知系統,以應對網絡空間安全嚴峻挑戰。
安全態勢感知應該是一種基於環境的、動態、整體地洞悉安全風險的能力,是以安全大數據為基礎,從全局視角提升對安全威脅的發現識別、理解分析、響應處置能力的一種方式,最終是為了決策與行動,是安全能力的落地。
態勢感知經歷了一個曲線發展過程,經歷了萌芽、熱潮、低谷、恢復和成熟等多個階段:
1、SOC/SIEM這類產品和技術已經發展了很多年,受限於數據的處理和安全分析能力,始終停留在大量微觀的安全事件告警的處理層面。大數據技術的出現,讓建立在SOC/SIEM之上,基於大數據的安全分析技術成為現實,這可以看作是態勢感知的萌芽。
2、安全行業很快興起了對態勢感知的炒作熱潮,認為這種技術代表了威脅對抗技術的先進生產力,能夠解決大多數安全問題。客戶也對這種新技術滿懷期望。
3、最初的態勢感知產品上市後,所呈現的能力讓大家比較失望,人們發現態勢感知真正能解決的問題是非常有限的,並不像大家開始預期的那樣,於是對新技術的心理預期降到谷底。
4、安全廠商和客戶堅定不移地繼續發展態勢感知產品和技術,能夠解決的問題越來越多,技術成熟度也越來越高,逐漸實現了安全能力的落地。
左英男認為,態勢感知發展的初期,受限於對態勢感知的理解偏差、數據和安全分析能力,態勢感知很多都淪為了展示匯報的「地圖炮」,用戶在使用的過程中,發現這些系統的能力與期望還是有很大的差距,而沒有真正解決安全問題。
新對策:態勢感知能力落地的三要素
進入去年下半年,經過行業和企業用戶和網絡安全企業的共同努力,用戶逐漸的對態勢感知在安全運營上的能力落地有了一些共同的認識,以態勢感知為基礎的這類系統和體系開始逐漸的走向實用了。
「360已經幫助公安、網信等監管機構,稅務、交通、能源、金融、教育等多個行業和大型企業成功建設並運營態勢感知和安全運營系統,切實幫助客戶提升了安全能力,解決了安全問題」,左英男表示,「基於在幫助這些機構、行業和企業成功實施態勢感知項目建設的實踐,我們認為必須具備以下三個要素,才能實現態勢感知能力落地」。
數據是基礎:「未知攻,焉知防」,威脅情報是研究「敵情」,刻劃的是攻擊者的面貌。知道誰實施的攻擊,攻擊目標、攻擊目的、攻擊手段是什麼,攻擊程度、攻擊現象、攻擊後果如何,如何補救。要想獲得高質量的威脅情報,離不開對漏洞利用、惡意代碼兩大類攻擊工具的研究和分析,360的安全衛士和天擎終端安全管理,360的補天漏洞平臺,是收集這兩類攻擊武器的最好的工具。威脅情報的質量,外部數據的質量和價值對整個態勢感知能力落地變得非常關鍵,360多年來積累了大量的安全大數據、安全大數據的理解和處理能力,是態勢感知能力落地的基礎。
對威脅檢測和追蹤溯源來說,僅僅採集資產信息和設備日誌是遠遠不夠的,終端的行為日誌,網絡的流量數據,是非常有價值的要素數據,能不能收集到更多的全要素數據對於安全態勢感知的能力落地極其關鍵的,這個也給我們安全企業帶來很大挑戰,如何在收集終端和網絡數據的同時又不能夠影響終端和網絡的可用性。
處置是關鍵:應用態勢感知和安全運營的目標是降低MTTD/MTTR(平均檢測時間/平均響應時間),安全運維人員始終在和攻擊者賽跑:在攻擊者針對你發動攻擊之前,完成防禦策略的調整,阻斷或者遲滯其攻擊;在已經潛入內部的攻擊者盜取數據、造成破壞之前,揪出他來,並且立刻評估可能的損失範圍和程度,及時響應和處置,避免造成真正的損失。及時、高效的處置動作完成,才算完成閉環,才算真正解決了安全問題。所以處置是態勢感知能力落地的關鍵,這對態勢感知系統的自動化響應處置能力提出了很高的要求。
人員是保障:除了給客戶數據和平臺工具,還要幫助客戶構建安全能力,訓練安全人才,客戶的安全能力才是完整的,態勢感知和安全運營離不開安全人員的參與,安全運維人員和安全分析人員匱乏。數據有了,平臺搭建起來,沒有合格的安全人才,平臺和工具用不起來,不能真正做到能力落地,無法獲得安全的投資回報。那怎麼解決安全人才的問題?
左英男稱,360的使命是幫助客戶有效解決安全問題,完整構建安全能力,安全人員也是態勢感知和安全運營能力落地的重要保障,沒有安全人員的參與,安全能力是缺失的。所以我們為客戶提供了相應的產品和服務,幫助客戶培養和訓練安全人才。360企業安全集團推出了「網絡安全攻防實訓基地」,包含安全態勢感知、安全進階、攻防體驗、安全實訓系統、安全競賽系統等內容,旨在通過搭建基於網絡對抗的仿真模擬演練平臺,設計逼真的網絡攻防環境,組織網絡安全技能攻防對抗賽等形式,快速掌握網絡安全相關知識,提升自身實戰水平。
除了攻防實訓平臺, 360企業安全還具備國內首個以檢測並提升防禦體系有效性為目的的網絡安全演習解決方案——360對抗式演習。通過紅藍紫三方的真實對抗演習,從安全技術、管理和運營等多個維度著手,發現企業安全防禦能力的問題和缺陷,幫助企業不斷完善安全體系的建設,提升對抗新興威脅的能力。
紅藍紫三方分別代表著不同的角色,其中紅軍為企業內部安全人員,負責內部防護。藍軍為企業外部安全人員(白帽子),負責外部攻擊。紫軍為企業外部教練(360人員),負責演習導調、監控進程、全程指導、應急處置、活動總結等技術諮詢工作。通過平臺實訓和對抗演示,讓安全人員在真實的對抗環境下積累實戰經驗,迅速成長,同時也能夠檢驗態勢感知和安全運營的能力是否真正落地。
左英男認為,對於CISO和CSO來說,只有在中觀層面真正具備了態勢感知能力落地的三要素,或許才」敢」把宏觀層面的「大屏」呈現給領導。