构建组织第一重“安全感”——零信任,未来第一基础防控框架


政企组织做到了最基本的管控隔离,搭建了基础的安全防控框架——零信任框架,还只能做到“防君子不防小人”。

在具体的物理空间中,对信任和不信任的部分做最基本的隔离管控,可以在各部分装上门和锁。不过,如果遇到专业的“小偷”,锁和门可能会被撬开。面对狡猾的“小偷”,只靠隔离,还防不住。这个时候,业主或者房主往往会想到再加上一层防护,通过安装摄像头和警报器,做到检测和响应。有了摄像头,但不加以管理,那就是个摆设,所以就需要有面向这个物理空间的“威胁治理框架”。

对应到数字世界,我们称之为智能高级威胁治理框架,也就是面向狡猾的网络攻击,去构建组织的第二重“安全感”。

 

“小偷”的专业化和泛化

蠕虫病毒是一种常见的计算机病毒,是无须计算机使用者干预即可运行的独立程序,它通过不停的获得网络中存在漏洞的计算机上的部分或全部控制权来进行传播。

现在,勒索病毒和挖矿病毒,通过对某些工具包的简单修改利用,与蠕虫结合,便可达到蠕虫式传播病毒的目的。这就好比做了一个自动化的程序,可以自动对全网做探测,只要发现某个系统存在一个漏洞,就能进行控制,再入侵威胁。

以往,大部分网络攻击效率是比较低的。比如通过邮件给受害者发送一个木马文件,这类型的攻击,依赖对方打开邮件,才能种木马来控制终端。而勒索、挖矿和蠕虫一结合,攻击就变得特别高效,可以针对全网无差别进行攻击。

所以,我们可以看到,网络攻击的演进也已经到了下一个时代。早些年,以CIH、熊猫烧香、冲击波等为主的攻击,主要是破坏操作系统稳定性;后来到以APT攻击为代表的精准攻击,主要是窃取重要信息或破坏重要系统,是一种定向攻击;到如今,以勒索、挖矿为代表,与蠕虫结合,全网撸羊毛,网络攻击已经进入到了轻松又高效的泛网络攻击时代

信息资产数量和价值的持续倍增,也推动着网络空间进入泛网络攻击时代。网络攻击是为了获利,当个人终端的信息资产也变的重要时,攻击就会增多。勒索,从一开始的邮件附件传播,到后来利用高危漏洞,与蠕虫结合,对黑客来说,已经变成一种极其高效的获利方式。当前,泛网络攻击在暗网上有完整的产业链支撑,入门门槛低,从病毒的获取,加壳变形,病毒投放,获利的收取等都有完整的服务链条,只要几千美金就可以开张起步,并可以在短时间内收回成本并获利。

攻击和威胁层出不穷的变化,让网络世界的安全变得更加复杂,防护难度也不断被提高。

 

威胁治理框架,以智能为核心要义
何谓第二重“安全感”?

从攻防的角度来看,网络攻击的方式不断演变,威胁类型也不断变化,那治理威胁的方式也必须迭代。

目前主流的威胁检测技术从原理上分为特征匹配和异常行为两大类,特征匹配由于检测结果误报率低,解释性好,检出问题有明确的处置建议,因此一直是网安产品的主流检测技术。但面对漏洞越来越多、攻击数量多、易变种的局面,仅有特征匹配检测已难以应对。

但异常行为也有它的弊端。根据行为异常去做判断,比如通过摄像头拍到某人鬼鬼祟祟,就认为该行为有问题,注定会有一些误报。因为行为维度相对比较单一。所以需要相应的安全人员,关注到异常,并做进一步的判断。


在以快、广、狠为主要特点的泛网络攻击时代,基于特征匹配的传统检测技术已难以应对新的网络攻击挑战。新形势下智能威胁治理框架需要重新构建,且该框架应该具备多维检测、精准分析、联动响应、情报赋能四个基本要点,协同两大检测技术,共同应对威胁,逐步向智能化安全进行演进。

多维检测:威胁治理的基础,是在一些重要的控制点,去做对应的检测。所谓多维,一方面指威胁检测点覆盖要全,比如在终端上、网关上,或者通过镜像流量旁路检测。另一方面指检测技术要全,比如终端侧的传统EPP是基于特征匹配检测,EDR是基于异常行为检测;网络侧传统的IDPS是基于特征匹配检测,NTA主要是异常行为检测。

检测之后,由于检测点比较多,数据多,集中收起来,去做关联分析。很多时候,单点的攻击行为并不代表它就是这个攻击行为能代表这个后,不代表会造成攻陷、造成影响。

精准分析:是在多维检测的基础上,产生大量的检测数据,靠人工是处理不过来的。所以要把数据集中起来,统一做关联分析。安全业务、系统产生的海量异构数据无法通过人工方式进行有效分析,需要引入大数据技术,通过智能分析引擎、机器学习算法等方式从海量信息中发现异常,并溯源定位,完整攻击链还原,实现攻击生命周期可见。

联动响应:传统手动处置响应流程会降低响应速度,而全自动化的威胁响应在某些场景下又存在一定风险。因此,在相对宽松的场景中,可以让XDR做自动化处置闭环,而在策略从严的网络、业务环境中,让XDR推荐一项或多项的的更改,让安全管理人员能够验证并执行,是一个较好的过渡步骤。

情报赋能:情报是威胁治理框架的重要组成部分,通过对情报体系的运营,为组织自身提供情报预警和风险闭环跟踪能力。基于对情报运营数据的分析结果,帮助安全管理者有效完成决策与行动指挥。通过制定安全策略与方法以应对潜在安全威胁对业务产生的风险,激发组织安全运营机制的弹性。

智能威胁治理架构的合理实践,在解决安全问题的基础上,通过全面收集网络环境中各资产、设备的威胁信息,然后基于最新的情报防御策略自动配置到每个产品中,从而实现智能联动的安全强化,从而逐步达成智能化网络安全的目标。

 

威胁治理的B面——安全托管服务
安全运营视域下的威胁治理

采用了更高的技术,对应的管理要求也需要提高。管理要站在整个安全运营的视角来看,人、制度流程、和工具(框架)的有机结合,人在其中始终的关键。安全体系建设需要人来做,制度流程也要人来监管。工具虽然智能,但没有智能到可以脱离人,只是提高了效率。

一个经常看到的场景是,很多大型组织虽然有设立安全管理团队,团队支撑日常的安全运营还好,如若真遇到一些突发事件,可能还得找专业的安全公司去做网络攻击溯源处置。中小组织就更不用说了。对于大部分中小组织,招一个安全专家,成本相对较高,但是不招,如果设备出了问题,难以第一时间解决问题,就更不用提利用好设备,提高安全运营和安全防御效率的事了。

在攻击泛化的趋势下,防御应对措施也有新的方向。攻防的本质始终是基于成本的对抗,SaaS化是智能XDR+SOAR系统的未来趋势。不管如何演进,攻防的本质始终不变,是基于成本的对抗。像密码学的设计原则并不是永远破解不了最好,而是破解的成本高于被保护的信息价值即可。攻击方是黑客利用工具,防守方仅仅部署产品是不够的,需要有专业的安全管理人员。

对于中小组织,面对越来越广泛并且专业的攻击,通过本地部署安全控制点,将安全数据上报到安全SaaS平台,安全管理托管于专业厂家的专业人员,可以有效的降低成本。对于大型组织,安全管理投入也是有限的,参照安全成熟度高的欧美地区,自有安全管理人员+专业安全运营托管的趋势也非常明显。