2015年RSA號(hào)稱史上最大規(guī)模的一屆展會(huì),統(tǒng)計(jì)超過500家參展商和3萬名參會(huì)人員延都,作為全球安全廠家show节猿,rsa本身不會(huì)有非常技術(shù)性的深入探討,但觀察一些熱點(diǎn)的行業(yè)技術(shù)點(diǎn)仍然是非常上佳的機(jī)會(huì)吹零。 今年的絕對(duì)熱點(diǎn)應(yīng)該算的上是threat intelligence(威脅情報(bào))罩抗,展區(qū)各不同領(lǐng)域技術(shù)的廠家?guī)缀醵加型鵷hreat Intelligence概念上靠的代表,如splunk灿椅,直接宣傳自己是”“the threat intelligence company”澄暮,又比如老牌公司ibm名段,提出新口號(hào)”Intelligence?is the new defense”,展區(qū)內(nèi)泣懊,有錢任性做現(xiàn)場(chǎng)demo的廠商幾乎都在某種程度上強(qiáng)調(diào)和展示威脅情報(bào)相關(guān)的能力伸辟,相當(dāng)多的廠家還把這種能力轉(zhuǎn)換為2D或是3D的圖形的來吸引眼球。
業(yè)內(nèi)比較正式的Threat Intelligence解釋是由Gartner 2013年定義的馍刮,如下
“Evidence-based knowledge信夫,including context,mechanisms卡啰,indicators静稻,implications and actionable advice about an existing oremerging menace or hazard to assets that can be used to inform decisionsregarding the subject’s response to that menace or hazard.”
也許用簡(jiǎn)單的話可以概括為: Threat Intelligence是可用于有效應(yīng)對(duì)的基于深入感知的信息;
個(gè)人認(rèn)為匈辱,從攻防這個(gè)具體點(diǎn)看振湾,經(jīng)過這么多年的發(fā)展,安全已從嬰兒期逐漸開始成長(zhǎng)亡脸,而生態(tài)圈里的用戶和玩家早晚會(huì)意識(shí)到:
1:攻擊不會(huì)消亡押搪,新的攻擊點(diǎn)和攻擊方式會(huì)持續(xù)出現(xiàn),也許在廣義上和上線資源數(shù)量會(huì)維持在一個(gè)相對(duì)平衡和穩(wěn)定的比例水平浅碾。
2:防守方的各種軟硬件資源大州,如防火墻桩撮,ids等硬件盒子土榴,掃描器,siem等軟件產(chǎn)品作為一個(gè)個(gè)單點(diǎn)技術(shù)被攻破和繞過會(huì)是一種常態(tài)擎浴。此外很多(大部分滥朱?)時(shí)候防守方無法感知自己的安全手段是否已被攻破和繞過根暑。
在上述大前提下,無論具體用戶還是廠家在繼續(xù)強(qiáng)化一個(gè)個(gè)具體的頭疼醫(yī)頭腳疼醫(yī)腳單點(diǎn)防御技術(shù)點(diǎn)外徙邻,將目光也許會(huì)開始逐步轉(zhuǎn)向上層的“面”上购裙,比如是否具有“看到的能力”可能是未來的一個(gè)重要方向:具體軟硬設(shè)備是“點(diǎn)”,配置策略是“點(diǎn)”鹃栽,日志是“點(diǎn)”躏率, 一條條的具體告警也是“點(diǎn)”,能夠”connect the right dots”(注意不單是connect thedots)才是最終訴求民鼓。 舉個(gè)現(xiàn)實(shí)例子薇芝,去年爆出NSA入侵國(guó)內(nèi)某電信設(shè)備巨頭,NSA自己的文檔稱他們拿到了太多的數(shù)據(jù)都不知道該拿這些數(shù)據(jù)干嘛了(We currently have good accessand so much data that we don't know what to do with it)丰嘉。NSA這么干的訴求之一應(yīng)該是通過該巨頭看到它想要看到的東西(注意攻方追求的同樣也是看到的能力)夯到。從防守角度來說,該巨頭擁有專業(yè)的運(yùn)維隊(duì)伍和良好的安全資源饮亏,但是依然沒有發(fā)現(xiàn)被NSA入侵耍贾,也正是因?yàn)檎鎸?shí)的看到的能力的缺失阅爽。這也許是安全圈里面那句流行的“世界上只有兩種企業(yè),知道自己被黑的和不知道自己被黑的”的一個(gè)佐證吧荐开。
在上述大趨勢(shì)的情況下付翁,威脅情報(bào)作為看到的能力的一個(gè)具體體現(xiàn), 重要性自然逐步突顯出來晃听。
本次rsa百侧,不少廠家都宣稱自己是threat?intelligence這個(gè)領(lǐng)域的成功者,而且他們樂于給圍觀者一種感覺能扒,他們有個(gè)神奇的threat?intelligence魔力盒子佣渴,輸入端丟給他們大量的數(shù)據(jù),通過機(jī)器學(xué)習(xí)也好初斑,關(guān)聯(lián)分析建模也好辛润,可視化也好,情報(bào)就自然會(huì)在另一端輸出產(chǎn)生了见秤,實(shí)際真的是這樣么?
舉例來說:
我們看到有將大量的日志告警以可視化方式展現(xiàn)的廠家砂竖, 并宣稱這就是threat intelligence。這個(gè)是業(yè)內(nèi)目前流行的做法之一秦叛,而且國(guó)內(nèi)跟進(jìn)的很快晦溪。仔細(xì)推敲:當(dāng)廠商對(duì)大量的日志告警無法理解瀑粥,絕大多數(shù)都是垃圾消息的時(shí)候挣跋, 以圖形展示并不會(huì)消減任何具體告警,垃圾消息還是垃圾消息狞换,只不過以可視化的形式展示了而已避咆。更加重要的是,在具體的告警日志中往往不可能有真正需要的“那一條”修噪, 對(duì)此可視化不能提供任何幫助查库。
又如近期業(yè)內(nèi)某風(fēng)頭強(qiáng)勁的新興threat intelligence公司,主要的數(shù)據(jù)來源是蜜罐采集到的掃描主機(jī)等信息黄琼。由于采集信息方式的先天工作原理和局限性樊销,從而決定了能提供的intelligence有限同時(shí)淺層。對(duì)用戶來說脏款,使用場(chǎng)景基本上局限在有限防控存在大規(guī)模掃描行為的主機(jī)系統(tǒng)等围苫,而對(duì)稍微深入的攻擊行為難以提供缺失的數(shù)據(jù)支撐。 APT等天然的lowprofile的攻擊這里就更不用提了撤师。
又如剂府, 有將大量公開和非公開黑數(shù)據(jù)源進(jìn)行收集,整理后統(tǒng)一格式提供情報(bào)的企業(yè)剃盾, 也給自己打個(gè)標(biāo)簽是threat intelligence提供商腺占, 這種做法的問題更多淤袜, 除了完全依賴第三方數(shù)據(jù)的弊病外,數(shù)據(jù)的準(zhǔn)確性衰伯,有效性和及時(shí)性是大問題铡羡。今年2月M3AAWG內(nèi)部會(huì)議UAB和Malcovery聯(lián)合出品的垃圾郵件報(bào)告提到,他們6天監(jiān)控期間收到的55萬個(gè)惡意垃圾郵件域名中60%的域名生存期小于1天(內(nèi)部資料無法共享link)嚎研。2014年blackhat一個(gè)報(bào)告蓖墅,對(duì)三家知名黑數(shù)據(jù)提供商的審核顯示3家數(shù)據(jù)僅有1%的重合(https://www.blackhat.com/us-14/speakers/Ryan-Trost.html)。2014年針對(duì)短域名服務(wù)提供商bit.ly提供短域名服務(wù)分析的研究paper研究顯示絕大多數(shù)惡意域名(超過83%)在5個(gè)月內(nèi)就會(huì)失效(http://arxiv.org/abs/1406.3687)临扮。根據(jù)我們自己的觀察论矾,很多惡意域名和ip的生存周期存活時(shí)間其實(shí)可以以小時(shí)計(jì),此外從實(shí)際數(shù)據(jù)看杆勇,如果無條件信任外面的數(shù)據(jù)源贪壳,一定會(huì)有大的“驚喜“,比如直接封堵8.8.8.8蚜退,google闰靴,baidu,sohu钻注,youku蚂且,ppstream,alipay幅恋,360杏死,qq等很多所有的互聯(lián)網(wǎng)流行大站。
再比如捆交,一些傳統(tǒng)的設(shè)備廠家淑翼,由于設(shè)備的全本地工作機(jī)制,視角狹窄品追,同時(shí)幾乎無法有效整合數(shù)據(jù)玄括,intelligence也自然成為無源之水。本次rsa上傳統(tǒng)的防火墻公司fortigate等開始大肆的砸物理盒子肉瓦,也許顯示了傳統(tǒng)手法決裂的決心遭京?
又比如,一些手里有大量數(shù)據(jù)的公司泞莉, 雖然有數(shù)據(jù)哪雕,但是找不到竅門,不會(huì)選戒财,不會(huì)用手里的數(shù)據(jù)热监,往往把自己淹沒在數(shù)據(jù)的海洋里,陷入細(xì)節(jié)中無法自拔饮寞,這個(gè)時(shí)候海量的數(shù)據(jù)反而成為自己的負(fù)擔(dān)孝扛。值得注意的這個(gè)是很多試圖轉(zhuǎn)型threat intelligence公司會(huì)遇到的問題(國(guó)內(nèi)比如全流量無差別收集和分析)列吼。
最后又如,一些沒有實(shí)操經(jīng)驗(yàn)的公司苦始,喜歡把threat intelligence和一些高大上的詞組綁定寞钥,如“海量的數(shù)據(jù)通過機(jī)器學(xué)習(xí)實(shí)時(shí)產(chǎn)出嶄新而又精準(zhǔn)的高級(jí)威脅新數(shù)據(jù)”,這個(gè)外行聽了覺得高大上陌选,但實(shí)操過的一聽就知道是胡扯理郑。此外,安全和傳統(tǒng)的成熟機(jī)器學(xué)習(xí)領(lǐng)域有細(xì)微不同咨油,推薦系統(tǒng)有點(diǎn)偏差沒關(guān)系您炉,但是安全相關(guān)的偏差容忍度很低(根據(jù)機(jī)器學(xué)習(xí)的結(jié)果,這個(gè)新的google子站是黑的役电,封堵了它如何赚爵?:) )
個(gè)人認(rèn)為,threat?intelligence這個(gè)領(lǐng)域剛剛開始法瑟,大家都在摸索階段冀膝,所以當(dāng)面對(duì)號(hào)稱已完全精準(zhǔn)實(shí)現(xiàn)threat intelligence的廠家還是要留心。其次霎挟,threat intelligence無論是現(xiàn)在還是未來窝剖,恐怕都不會(huì)像廠家宣傳的那樣神奇,成為所謂的silver bullet酥夭。但另一方面赐纱,對(duì)會(huì)用和用對(duì)的用戶來說,它的確是防守方武器庫里的一個(gè)新的武器采郎,可以成為一個(gè)很有用的新維度千所。
中短期內(nèi)狂魔, 如下兩個(gè)分支可能會(huì)產(chǎn)生比較有意思的應(yīng)用:
1:基于大量已有數(shù)據(jù)加機(jī)器學(xué)習(xí)之上的大規(guī)模分析和預(yù)測(cè)蒜埋,目標(biāo)是快速實(shí)時(shí)的收割所謂lowhanging fruit的確定性數(shù)據(jù),為用戶提供淺層但是實(shí)時(shí)的數(shù)據(jù)最楷。
2:基于大量數(shù)據(jù)加專家團(tuán)隊(duì)的深層次情報(bào)分析應(yīng)用整份,這里面threat intelligence可能起到的作用更多的是提供有限但是關(guān)鍵的線索,然后依靠專家團(tuán)隊(duì)來拼出完整的故事籽孙。
最后烈评,我們以15年rsa大會(huì)rsa現(xiàn)任主席Amit Yoran大會(huì)開場(chǎng)keynote專門制造的幾乎40秒全場(chǎng)漆黑的場(chǎng)景下說的第一段話來結(jié)束本文,
Since the beginning of time犯建,humanity has been afraid of the dark. And with good reason. We fear the darkbecause evolution has hard-wired us to be suspicious of it讲冠,or more specifically,suspicious of the potentialthreats that may await us in the darkness. We can hear noises and see shadows适瓦,but without being able to see our?surroundings竿开,we don’t know if those sounds and shadows represent danger or not谱仪,let alone how to respond.
beingable to see our surroundings,threat intelligence只是第一步否彩。
