過去1年半時(shí)間里,嚴(yán)重威脅到公司業(yè)務(wù)執(zhí)行能力的安全失敗和數(shù)據(jù)泄露日益增加,企業(yè)需要付出更多努力來阻止此類事件。客戶的敏感金融和個(gè)人信息需要被保護(hù)。
作為回應(yīng),很多公司現(xiàn)在意識(shí)到,需要從內(nèi)部支撐起對(duì)抗在自家網(wǎng)絡(luò)中搜尋目標(biāo)的攻擊者的工作。在過程中,攻擊的數(shù)量和種類之多,讓人們意識(shí)到:單獨(dú)一家公司的IT部門,是不可能從大量潛在問題和可能的攻擊通告中篩出真正的威脅的。即便公司企業(yè)在部署下一代防火墻、終端檢測(cè)和響應(yīng)產(chǎn)品,從病毒簽名遷移到宣稱可以填補(bǔ)檢測(cè)和駐留時(shí)間空白的感染指標(biāo)(IOC),警報(bào)疲勞也持續(xù)困擾諸多的IT安全團(tuán)隊(duì)。
為提升競爭力,公司企業(yè)一直在應(yīng)用安全分析技術(shù)。此類技術(shù)的前景在于,可以做到IT部門員工做不到的事——審查無窮無盡的數(shù)據(jù),標(biāo)記出你應(yīng)該關(guān)注的真正威脅。
然而,不是所有安全分析解決方案都是生而平等的。有5個(gè)關(guān)鍵特性,對(duì)確保安全分析的有效性和阻擋當(dāng)下高級(jí)威脅的能力非常重要。
一、對(duì)任務(wù)和數(shù)據(jù)的極端靈活性
安全分析必須時(shí)刻準(zhǔn)備好處理任何提交上來的問題。強(qiáng)有力的安全分析必須承擔(dān)起比僅檢測(cè)簡單入侵的安全軟件更多的責(zé)任。它要能適用于任一數(shù)據(jù)源——無論是網(wǎng)絡(luò)、設(shè)備、服務(wù)器,還是用戶日志等等。可以參考數(shù)量龐大種類繁多的用例。
然而,僅僅能夠與這些信息來源接駁尚不足夠。安全分析需要處理數(shù)據(jù)的多種不同特性——從響應(yīng)時(shí)間或次數(shù)這種指標(biāo),到來自用戶、主機(jī)和代理的信息。還需要足夠智能,要能夠檢測(cè)像“信標(biāo)”這樣的模式,以及通信數(shù)據(jù)包中的高信息含量內(nèi)容,然后,還得能夠得出分析結(jié)論并形成對(duì)實(shí)際正在發(fā)生的事件及發(fā)生范圍的洞見。
換句話說,想要成功,安全分析需要能夠使用每種數(shù)據(jù)源、數(shù)據(jù)特性和擺在面前的潛在問題,來檢測(cè)與高級(jí)攻擊相關(guān)聯(lián)的非常規(guī)行為;然后分析這些行為,向用戶呈現(xiàn)分析結(jié)果。
二、快速、準(zhǔn)確、實(shí)時(shí)分析
如果實(shí)現(xiàn)了真正的安全分析,分析結(jié)果的出爐應(yīng)該很快——近實(shí)時(shí)地給出結(jié)論,讓用戶感覺這一切幾乎是自動(dòng)發(fā)生的。涉及安全問題的時(shí)候,數(shù)據(jù)處理速度非常重要——因?yàn)榘l(fā)現(xiàn)問題過程中的任何延遲都能對(duì)公司造成巨大損失,尤其是數(shù)據(jù)泄露正在進(jìn)行中的時(shí)候。
同時(shí),雖然處理速度非常重要,它前面還有一個(gè)安全分析過程中最重要的元素:理解所偵獲內(nèi)容的含義,向終端用戶輸出應(yīng)關(guān)注的重點(diǎn)結(jié)論。
隨著要憂心的網(wǎng)絡(luò)攻擊數(shù)量逐年增加,很容易看出IT經(jīng)理被標(biāo)記潛在數(shù)據(jù)泄露的警報(bào),或其他需要注意的問題折磨得不堪重負(fù)。這些問題中很多都不是數(shù)據(jù)泄露或者需要立即投以關(guān)注的;但在大多數(shù)基于簽名或定義有誤的IOC的安全軟件看來,每個(gè)問題都需要標(biāo)記,這樣才不會(huì)遺漏。這種做法明顯是對(duì)利用環(huán)境噪音隱匿蹤跡的攻擊者有利。隨著警報(bào)疲勞越來越嚴(yán)重,分析師們也越來越難以在高級(jí)檢測(cè)產(chǎn)品吐出的一堆堆警報(bào)中篩選出真正有價(jià)值的了。
三、前事不忘后事之師
這種情況下,機(jī)器學(xué)習(xí)技術(shù)便常出現(xiàn)在人們的談?wù)撝辛恕鹘y(tǒng)安全工具和人類終端用戶始終能力有限。每天能夠用來審查警報(bào)的時(shí)間就那么多,一旦陷入自己篩選重要警報(bào)或通知的境地,就已經(jīng)增加了錯(cuò)過關(guān)鍵通報(bào)的可能性。此外,盡管很多公司在SIEM中部署了規(guī)則集以輔助過濾高相關(guān)度的事件,這也不過是對(duì)“什么東西有問題”的靜態(tài)理解,與能夠基于檢測(cè)出的基線模式識(shí)別出異常情況的機(jī)制相比,在動(dòng)態(tài)性上完全不具備可比性。
機(jī)器學(xué)習(xí)能將對(duì)潛在問題的分析,推進(jìn)到不僅僅是看出什么東西和得出某些結(jié)論的程度。引入機(jī)器學(xué)習(xí)技術(shù)之后,安全分析就能看出問題,關(guān)聯(lián)其嚴(yán)重性,然后確保基于數(shù)據(jù)的概率得分,只分揀出最重要的條目。
機(jī)器學(xué)習(xí)是大多數(shù)安全分析中的關(guān)鍵部分——它能識(shí)別并理解模式、數(shù)據(jù)的周期性和數(shù)據(jù)中的異常,從每個(gè)實(shí)例中學(xué)會(huì)什么是正常行為,異常值都分布在哪兒。這有助于讓IT經(jīng)理基于分析得分相關(guān)性,知曉該對(duì)收到的每個(gè)警報(bào)做出什么反應(yīng),而不是寄希望于他/她選出正確的警報(bào)。
四、擴(kuò)展能力
安全分析應(yīng)該具備隨公司成長而擴(kuò)展的能力。隨著公司聲名漸蜚,業(yè)務(wù)拓展,產(chǎn)生的數(shù)據(jù)、擁有的客戶和公司業(yè)務(wù)規(guī)模都會(huì)一起增長。這意味著被網(wǎng)絡(luò)罪犯或黑客盯上的可能性也增加了。但是,也不總是最大的客戶被最先襲擊或被襲擊最多次,是那些對(duì)防止和檢測(cè)攻擊者準(zhǔn)備最不足的公司才會(huì)淪為網(wǎng)絡(luò)攻擊的最先最頻繁受害者。
安全分析需要能夠處理所有這些實(shí)例,并按需求擴(kuò)展。數(shù)據(jù)量的增加不應(yīng)該影響到安全分析解決方案的效能。相反,更多的數(shù)據(jù)應(yīng)該為攻擊添加上下文環(huán)境,產(chǎn)出對(duì)攻擊者技術(shù)的恰當(dāng)識(shí)別。
五、易于部署和理解結(jié)果
最后一條可被分割成兩項(xiàng),但其實(shí)是一體兩面的東西。市面上基于安全分析的產(chǎn)品越來越多,很多新入者都來自于結(jié)合了分析的臨近安全空間(很多情況下都產(chǎn)生了太多數(shù)據(jù)而導(dǎo)致噪音太大)。部署和理解結(jié)果的容易度,歸結(jié)于從分析中獲取到價(jià)值。
將預(yù)先制備并定義好的入侵檢測(cè)“配方”作為安全分析的一部分部署下去,正成為越來越重要的一項(xiàng)能力。這有點(diǎn)像“調(diào)諧”客戶數(shù)據(jù)類型的迭代循環(huán),但成功的解決方案應(yīng)該是最靈活且最有助于調(diào)諧過程的那種。
為應(yīng)用安全分析,產(chǎn)生的結(jié)果需要包含像攻擊進(jìn)展和威脅分類之類的符合用戶本地環(huán)境的東西。這一部分通常都缺失了,或者留給客戶自己去顯示到自身面板上。很多廠商的假設(shè)是:每個(gè)客戶都養(yǎng)著一支數(shù)據(jù)科學(xué)家軍隊(duì),可以利用結(jié)果向安全分析師“描述清楚情況”。顯然,事實(shí)沒那么簡單。你得縮短評(píng)估和部署智能的、高度可調(diào)的適應(yīng)自身安全團(tuán)隊(duì)風(fēng)格的安全分析的時(shí)間。
結(jié)論
安全分析的重要性再怎么強(qiáng)調(diào)也不為過,尤其是在數(shù)據(jù)泄露事件繼續(xù)頻登頭條,攻擊者漸用針對(duì)性新方法規(guī)避防御技術(shù)的當(dāng)下。這也是為什么,想要成功,你先得理解安全分析關(guān)鍵要素的原因——為確保你的實(shí)現(xiàn)會(huì)査訖所有該査訖的條目,而你不會(huì)想破腦袋都不知道為什么你的分析解決方案沒能找出所有該找出的異常。通過實(shí)現(xiàn)與以上5個(gè)要素緊密掛鉤的安全分析解決方案,你就能在挫敗針對(duì)你公司的下一次攻擊中占據(jù)有利位置。