下载安卓APP箭头
箭头给我发消息

客服QQ:3315713922

微步在线薛锋:希望未来TIM就是所有安全系统的管家

作者:课课家教育     来源: http://www.kokojia.com点击数:1102发布时间: 2017-12-13 11:00:56

标签: 安全网络安全大数据

软考,您想通过吗?一次通过才是硬道理

  近年来,国内外不论是安全厂商、甲方企业还是国家政府,都越来越重视威胁情报的发展。国内威胁情报公司微步在线创始人、CEO薛锋在近日举行的首届网络安全分析和威胁情报大会上表示,未来自动化、共享是威胁情报的发展方向。他希望未来TIM(威胁情报管理平台)就是所有安全系统的管家,成为安全智能化里人机交互的入口。

  微步在线是一家典型的威胁情报公司。2017年7月,Gartner发布《全球安全威胁情报产品及服务市场指南》,微步在线是唯一一家入选的中国公司。 9月,微步在线宣布完成1.2亿元的融资,由高瓴资本高瓴智成人工智能基金领投,如山资本和北极光跟投。

微步在线薛锋:希望未来TIM就是所有安全系统的管家_大数据_课课家

  微步在线创始人、CEO薛锋

  安全攻防不对等:敌众我寡,敌暗我明

  “安全攻防这件事实在是不够公平。”薛锋说。为什么这么说?他表示:

  首先,在时间上,攻守是一场攻击者与防御者之间的博弈,攻击者的时间往往比防御方的时间充裕,防御者从开始就处于时间上的不利位置。因为防御方十分忙碌,而攻击者却可以专注做坏事。另外从应急响应的角度来讲,类似于电影《拆弹部队》中的场景,往往你开始响应的时候,敌人的时间表已经开始响了。

  其次,在工具和资源上,攻击者的资源比防御者的更多。二十年前与现在的防御工具相比较,防御工具并没有很大的改善,但是攻击者的工具却一直在变化增长。原因在于:一方面是因为防御者去买工具时,企业高层会问投入产出比,这很难回答,因为我们是在防止损失。而攻击者就不一样,他买一个工具就可以抢银行,这个投入产出比非常容易计算。

  最后,从人数来看也不对等。企业中的安全团队规模一般很小,但是面临的攻击者却有很多。而且,有些防御方属于个人自扫门前雪,而攻击者是会流窜的,可以攻击多个目标。

  此外,攻击者的自动化程度非常高,而且数量非常多。往往很多时候企业不知道攻击者是谁,不知道攻击者的目标是什么,敌暗我明,非常不利。

  综上所述,安全攻防的对抗就是八个字:敌众我寡,敌暗我明。很显然,在整个对抗之中,其实防御方处在非常不利的地位。现在,随着企业安全防御意识的提高,作为防御方,在这种攻防不对等的情况下,人们都已经意识到了安全自动化、情报共享才是未来的大方向。

  未来:情报驱动安全智能化

  安全的问题归根结底是一个数据问题,而且很多时候是一个大数据的问题。那么大数据的问题要怎么解决?这个解决方法就是,用一个小数据来点亮你收集的大数据,而威胁情报就是点亮海量日志的那个小数据。在攻防中我们可以利用云计算大量采集流量,采集日志,做分析,最后发现攻击者的信息。

  所以,微步在线在2015年推出了最早的产品VirusBook,做对事件的分析、对黑客数据的分析、做关联的分析,这是就是微步在线起初想解决的问题和出发点。“因为我们发现大家在事件发生的时候没有地方去查到和事件相关的信息,大家需要一个专业的平台,所以这是我们开始的一个起点。”

  从2016年到今年,我们看到了威胁情报落地的多种不同形式,最显著的就是跟SOC的结合。但现在,SOC 出现了很多问题,因为大部分 SOC 都是输出导向而不是结果导向的。有人建了 SOC 之后,就疯狂收集成百上千种数据,结果发现根本没用。SOC 的正确利用方法其实是,在收集前先想一下为什么收集这些日志,收集完对自己有什么帮助,这样一来就省钱又省时间。其他的应用比如利用威胁情报监控整个网络安全状况,也有基于端的EDR监控,比如我在终端上装一个探针或者传感器,把主要行为收集完做关联分析。我们的两条产品线威胁情报平台(TIP)和威胁情报管理平台(TIM)就是为了解决只是给用户数据,用户用不了的问题,包括用户这边没有专业人员是不是就不能用的问题。

  在应急响应方面,很重要的环节就是跟各类安全设备的联动,包括Firewall也好、WAF也好,我们其实都和这些设备开通了各种各样的API,可以自动化调用,这是当前去年、今年,包括前半年可能大家主流的应用方向。2018年以及未来,在安全智能化上还有很长一段路可以走。

  基于威胁情报的安全智能化

  安全的场景要更为复杂,每个企业里面都有十几个甚至几十个厂家的几百台设备,比如有20台A厂商的防火墙,20台B厂商的防火墙,如果要做操作,需要在每一个操作界面上做修改配置,这其实是一个非常烦琐冗余的过程,这一点肯定会改变。如果我们有需求,做产品的厂商一定会想办法满足大家的愿望,因为这是一个大势所趋。

  薛锋举例说,智能音箱过去只是个播放器,而现在则成了人机交互的界面,可以用于控制台灯、空调等各种设备,大大提升用户体验。在以前,这些设备都是一个个遥控器控制的,不仅麻烦,人机交互体验也很不好。类似的,安全场景也很乱,且安全状况更糟糕。在这个家庭场景下,这种情报来源于人类需求和我们的大脑,我想到了要开灯,这就是一条情报。

  在一个理想环境下,我们可以简化成三步,我们在客户端部署了相应的设备或者安全分析平台或者其他情报平台之后,客户这边看见报警以后,能够自动在情报平台里客户点击发起服务传到情报厂商平台,这边这个平台可以自动调用WAF的接口或者防火墙的接口,整个过程可能在一个小时之内或者30分钟之内就可以完成,一是实现了自动化,二是对原来企业购买设备的利用率和使用效果都起到了很强的提升作用,威胁情报不是来替代你现在买的防火墙、SOC或者其他产品,而是提升它们的效率。

  情报在企业中的使用和生产

  据薛锋介绍,在情报的具体使用中,可以用到三种工具:主动防御模型、情报积累、钻石模型。

  主动防御讲的是一个企业怎么用情报主动发现一些对我们造成危害的攻击。过程就是,获取情报、理解情报,把情报用在安全监控的措施里,比如说网络流量的监控、日志的监控、终端的监控,通过这些流量的分析和情报应用过程。这里面包括了简单的IOC,包括了基于异常行为关联分析各种各样的结果。在发现问题之后就触发了第三个阶段叫应急响应,在处理过程中情报应该给你提供一些比较有价值的信息,不应该只是告诉你这是一个黑名单,或者说这台机器有问题,而是应该告诉客户有什么问题。这样的话客户确认这个事情他要不要去处理。最后一个阶段就是系统加固和调整的阶段,有一些是木马清掉就好了,但是还是有很大攻击不是木马的问题,有可能是系统有漏洞或者是配置问题,所以根据情报从应用情报、消化情报、响应,到最后调整这个系统,其实是一个很好的主动去发现企业的被攻击的状况,然后调整的极一个机会。

  情报积累,除了买第三方安全公司的情报,或者其他单位的情报之外,大家应该非常关注跟自身直接相关的情报,因为这些情报跟我们相关性最强可能也最有价值。有一些模型可以实现从扫描侦查做武器、投递武器到最后数据窃取。

  钻石模型,是指在每一次攻击里面其实都可以分析敌人是谁,然后敌人有什么能力,敌人手里有什么基础设施和工具。通过钻石模型可以发现有木马攻击你了、发现黑客制作恶意文档、在运营的解析日志里面、IP 里面会发现你曾经访问过黑客的服务器、或者企业里面其他的笔记本服务器其实连过这个黑客,然后通过黑客的域名看到别人发送的信息。当然这是一个非常简化的理想的模型,但是这个钻石模型能够帮助我们去梳理发起攻击的敌人是什么、敌人有什么能力、敌人想干什么,这些都非常重要。如果你只是简单把它当一个病毒或者木马,那么这次分析对的价值就不明显了。

  利用威胁情报,发现自己被黑反而是个机会。敌人能打进来一定是发现你的缺陷或者是漏洞,如果你能快速的响应别人不仅没有偷走你的信息,你能够快速堵上这个门,而且还有机会了解这个敌人是谁,他想干什么?可能很多企业到今天为止并不一定非常了解那几个或者几十个想攻你的人到底都是什么人?到底都想干什么事情?他在哪里?他是什么组织?我们大部分时间并没有机会跟他们过手。

  当然这个过程中其实也带来一些挑战,比如你怎么管理你想积累的情报,这些情报我们会积累在什么地方。另外与黑客交手之后,能够发现他的一些工具、IP、木马、身份,但是这些都会不断地变化,会有新的工具、新的IP、新的木马、新的身份,所以长期跟踪就变得非常重要,也有其他手段来实现跟踪。

  最后,薛锋表示:“我们认为威胁情报整个应用其实才刚刚开始,虽然在国外可能有四五年,在国内也有两年多的时间,但是这其实刚刚只是一个开端。所以,我们要走的路还有很长。我们希望微步在线能够和大家一起,不断地优化推进,一起推动威胁情报在国内的发展。”