12月初,我接受了《中国信息化周报》的一个书面采访。针对记者提出的几个问题,谈及了对于目前大数据安全分析的一些观点。记者将采访的内容提炼后连同其他采访作为一期专题已经刊发。现将书面采访的部分原始问题和回答公布如下,供大家参详,欢迎指正。
书面采访中我回答的内容功能更加详细,可以作为对那个报道中我的观点的补充说明。
1、 目前大数据安全分析存在的瓶颈是什么?需要怎样做才能尽快突破?
答:随着大数据技术生态的逐步成型,大数据技术逐渐成为了一种货架技术。基于这些技术,目前大数据安全分析过程中的数据采集和存储技术已经被先进企业所掌握,可视化水平也突飞猛进,存在的瓶颈是主要是应用场景、安全分析场景方面。大数据技术是一种基础技术,其兴起和发展最初都来源于互联网企业。互联网企业为解决其实际问题,发展了大数据技术。而将大数据技术应用在安全分析领域,属于在安全分析领域的革新和进步,但如何应用,需要找到安全痛点,数据创造价值,仍然要结合安全业务场景,通过大数据技术解决传统技术无法解决或解决起来非常困难的问题。尽快突破的办法就是结合安全业务场景,以场景驱动安全分析,以数据带动技术进步。与此同时,安全分析师、业务分析师、领域工程师等技术人员的匮乏也是制约大数据安全分析应用发展的重大瓶颈。大数据分析情境之下,对分析师的人员和技能要求更高。
2、 在安全数据收集、整理、分析、可视化过程中,如何帮助客户实现安全数据可视化,并最终走向数据驱动的安全?
答:数据驱动的安全是指途径和手段,而非目标。安全的目标从来也没有改变过。并且,数据驱动的安全也仅仅是众多安全方法论中的一种。
在目前,网络攻防双方的能力已经不对等,攻击占据上风,攻击耗时远远低于防守耗时。攻防的对抗其实就是数据的对抗、知识的对抗和人的对抗,数据驱动的安全一定程度上是在弥补这个防守耗时,以求尽快识别攻击并进行响应、阻断和反制。
在这个过程中,数据的摄取、整理、分析和呈现都很有讲究,每个环节都很重要,并且环环相扣。可视化是一种呈现方式,主要面向两类角色。一类是分析师,帮助其更高效地进行交互式分析,即所谓威胁捕猎(Threat Hunting)。另一类是管理层和决策者,帮助他们了解网络的整体安全态势,及时掌握安全的我情、敌情和战情,以求做出清晰、有效的决策。
只要角色定位清楚了,给谁做可视化的问题就明确了,安全数据可视化的目标和实现途径就好设计了。我们可以根据不同的角色,定义不同的场景,并设定为一组目标,然后就可以自顶向下地梳理所需的信息和模型,以及这些信息所依赖的数据,再就是如何摄取这些数据。
在进行数据可视化的时候,不能一味追求酷炫的展示效果,更要注重内容的表达,即数据安全分析得到的那些洞见的展现。从这个意义上来说,帮助客户实现对安全的可见性(Visibility)比实现对安全的可视化(Visualization)更重要。我们经常说看见威胁,看见安全,更多是指洞察、洞悉。
3、在帮助客户建立以数据驱动为核心的机制,让客户“看见”威胁,从而建立纵深防护体系方面,您们的企业有哪些创新?目前有较成功的案例吗,能具体介绍一下吗?
答【仅摘录部分回答】:在当前网络攻防对抗的形势下,企业和组织传统的安全防护体系和思路必须进行改变。我们必须认定我们的网络已经遭受入侵,必须从消极防护转变为主动防护和智能防护、甚至是可适应性防护,要从单纯的防御转向积极对抗,要从独立防御向协同防御体系买进,安全需要知己,还需要知彼。也就是说,我们要从全新的视角去看“建立纵深防护体系”这个理念,要建立一种“高维度的纵深防护体系”。这种高维度是指不仅要考虑攻击路径上的纵深,还要考虑防范攻击的时间纵深、管理纵深、物理纵深。因为我们的对手总是试图发起高维攻击,我们必须建立高维纵深。
在应对新型威胁和新安全挑战方面,Gartner在2014年提出了自适应安全架构的概念。Gartner认为攻击已然不可避免,建议企业和组织必须将更多的精力从原来的防范攻击转向检测、响应和预测,通过对全安全要素的持续监测和持续响应来持续改善现有的防范机制。而这种监测就建立在以安全数据仓库为基础的安全分析(Security Analytics)基础之上。
安全分析,就是数据驱动的安全分析,强调将高级分析技术作用在数据之上,产生比以往更有价值的安全洞见、知识和情报。高级分析技术是指不同于以往基于特征和规则的分析技术,高级分析技术更多地采用了高级统计、机器学习等基于行为分析的技术。
面对当前网络安全的挑战,结合新技术的发展情况,大潘提出的全新的安全分析方法论——全范式安全分析体系——我很赞同。所谓“全范式安全分析”体系,就是强调要综合利用四种安全分析范式来构建一个完备的安全分析体系。这四种范式分别是:
1) 安全分析第一范式:尝试、实验,即以经验为主的分析,譬如渗透测试;
2) 安全分析第二范式:模型、特征,也就是经典的特征检测、攻击建模,等等;
3) 安全分析第三范式:模拟、仿真,譬如沙箱、虚拟执行;
4) 安全分析第四范式:大数据安全分析。
面对当前的网络威胁,只有综合上述四种安全分析方法,才能构建一个相对完备的安全防护体系。而大数据安全分析又在其中起到了提纲挈领的作用。
4、以数据为基础的安全技术在安全防御中的价值是什么?未来在基于数据的安全技术上的趋势和方向是怎样的?
答:安全分析的最关键价值就在于尽快识别出漏洞、威胁和攻击,并进一步帮助我们评估风险、进行应急响应和处置,指导企业和组织改进防御控制机制、增强合规符合度,并向管理层传递安全态势和防御效果,最终提升整个攻防对抗的效益。
就在11月份,SANS发布了最新一期的《安全分析与智能调研报告》。报告显示,安全分析的价值排名靠前的五个分别是:更准确地评估风险、检测外部的基于恶意代码的威胁(譬如0day攻击)、获得网络和终端行为的可视性(Visibility)、建立行为基线识别行为异常、合规监测与管理。
结合国际上安全分析的发展趋势、Gartner的分析报告,以及我们对国内客户的差异性分析和具体实践,我认为,未来几年数据驱动的安全分析技术的发展动向将是:智能化、情报化、交互化、协作化。
智能化:这是数据驱动的安全分析的核心,强调不依赖于既有特征和规则的分析。未来这方面将进一步增强,更多高级统计、机器学习、情境感知的技术将引入安全分析。
情报化:安全分析将更加依赖安全情报,情报驱动的安全分析将盛行。借助情报,可以提升分析的效率,并更快地适应对抗环境的变化。同时,安全分析的结果也更多地以情报的方式进行输出。这里的安全情报可以分为战略层的、操作层的和执行层的,从技术上可以分为漏洞情报、威胁情报、攻击情报等,从来源可以分为内部情报、外部情报。
交互化:鉴于安全智能中期内还无法成熟,安全分析、尤其是高级安全分析和威胁狩猎(Threat Hunting),将更多地依赖人机交互。系统更多地是尽可能地为人提供一套便捷高效的分析工具,安全分析将更多是一个人机促进系统,或者叫Human-augmented System。
协作化:这里的协作既包括人机协作、内外部情报协作,更包括由于国内现实情况而产生的人人协作。所谓人人协作,就是指在当前企业和组织自身的安全分析能力、资源和分析师技能短缺的情况下,通过外部人才/力量来弥补的情形。这可以是安全分析设施和服务的整体或部分外包,也可以是人员外包、知识外包、人才培养等。企业和组织要找到安全分析的合作伙伴,而安全分析的厂商也要构建起一个生态系统。
本文转自d1net(转载)
