一年一度的rsa2017即将于美國時間2017年2月13日-17日開幕。在2016年rsa大會上,主席阿米特·約倫(amit
yoran)就在其
“沉睡者醒來”的主題演講中指出“安全防禦是個失敗的戰略,未來業界應該增加在安全檢測技術上的投資。作為提升安全檢測能力重要手段的威脅情報,其重要性自然更加凸顯“。
在過去的2016年,國内對威脅情報,态勢感覺的讨論也越來越火。2016年11月全國人大常委會通過的網絡安全法明确的更側重于企業安全,而與之呼應的是年内接連發生的企業資訊洩漏事件所引起的反響表明,公衆已經對資訊安全事件極其敏感。
其實檢測與響應這個理論價值對我們一點也不陌生,
我們一直提倡企業要有基礎的安全防禦能力和措施,如基本的防火牆等安全裝置。這是企業資訊安全的第一個要素,它實際上提升了被攻擊的門檻,不會輕易被攻擊。其次就是企業要有威脅檢測與響應的能力。如果被攻擊企業應該是第一個知道的。這樣才能及時有效的響應。但事實也證明了阿米特的觀點,大家都很重視如何防禦,如何築牆。但時間與事實證明僅僅依賴防禦的戰略是失敗的,防火牆産品也向ngfw更新。大家開始認識到了安全檢測技術的重要性,其中的代表就是以威脅情報驅動的威脅檢測與響應機制。而國内其實更多的還是在論證階段,還需要有很多問題需要明确。如:檢測與響應在企業資訊安全中的價值、如何量化、如何落地等。
檢測與響應到底能帶來什麼價值?實施又有什麼痛點呢?
我們到底有沒有被黑?攻擊者完成一次對企業的攻擊也是要經曆一套完整的流程,參見著名的網絡攻擊殺傷鍊。
洛克希德馬丁公司的cyber kill chain模型
一次進階的可持續攻擊大緻可以分為7個步驟。這也證明了每一次有效的攻擊過程中是有多個行為征兆與檢測名額的,就是取決于什麼時間被發現,被誰發現。以及是否能采取有效的安全措施。從圖中第三步開始,就是檢測與響應的發力點。從中可以發現正在發生,和即将發生的威脅。
那麼問題也來了,今天國内的大部分企業中,威脅檢測是基于各種安全傳感器的,其作用是試圖尋找異常行為或已知的惡意簽名活動。這些傳感器包括防火牆、入侵檢測系統(ids
/
ips),應用程式網關防病毒/反惡意軟體,終端防護等等。這些安全傳感器可以提供威脅相關的連續事件流。在企業中,這些連續的事件流和報警會對安全團隊産生大量噪音。安全人員在處理時不能确定真正重要的威脅。而這裡就是威脅情報的發力點,威脅情報的主要目标是提供正确的資訊,在正确的時間,用适當的上下文,可以顯著減少所花費的時間,從大量噪聲中發現正在發生和即将發生的重大網絡安全威脅。
檢測與響應的名額和績效如何量化?現狀是什麼?
作為企業的安全人員,特别是保障生産服務安全與it安全的團隊如何量化自己的團隊績效,以及投入産出也是困擾國内資訊安全行業多年的一個問題。其實兩個關鍵名額可以用來衡量一個企業安全能力的有效性。一個是平均威脅檢測時間(mttd)和平均響應時間(mttr)。mttd指是一個組織發現和識别那些可能會産生實際風險的威脅所需要的平均時間。mttr是指企業充分分析并采取有效手段減輕威脅風險所需要的平均時間。
mttd/mttr實效與安全威脅程度的關聯關系 by logrhythm
不幸的是,目前大部分企業的營運模式,mttd和mttr将以數周或數月來計算。安全公司trustwave在2014通過對全球691個資料洩漏的事件調查發現,企業安全事件平均檢測時(mttd)為87天,近3個月。在專業的應急響應團隊支援下,mttr也需要1周時間。而根據2015年mandiant公司釋出的報告,企業從被攻陷到發現的平均時間是146天。而我們國内企業的實際現狀呢?以2015年的xcodeghost事件為例,從2月26日攻擊者的遠端控制域名開始接收資訊,到9月18日被發現,其持續時間之長是超過了國際平均水準的。
如何落地?有什麼建議與方法?
安全情報能夠通過捕獲、關聯、可視化和分析資料,進而提供可以指導行動的資訊。幫助企業安全團隊降低和控制進階威脅風險,并建立一個更加積極主動防禦機制。使用威脅情報與現有的傳感器結合,會縮短他們的平均檢測時間和平均響應時間。擴充目前的安全工具的價值,并通過攻陷名額的機器分析發現前所未有的威脅。
理想的做法是,企業評估與分析安全檢測與響應所能帶來的價值,建立以檢測與響應為指導的資訊安全績效評估機制這就為情報驅動的安全體系建立了堅實的制度基礎。在部署與實施的過程中還需要解決相關傳感器對關鍵資訊的記錄與識别能力,這就是知己與知彼磨合的過程。這也是大家熱議的安全威脅情報如何落地的一種方式。
rsa conference 2017即将開幕,本次以“power of
opportunity”寓意我們正處于一個安全盛世但也是一個安全亂世的時代,自古枭雄出亂世,擁抱瞬息多變的挑戰,把握機會,方能成為一代安全枭雄。而安全産業的團結與血統,正式孕育新機遇的土壤。期待本次盛會,或許又能帶來更多的啟發與新的思路。期待更多的安全創新!
作者:飛行鴕鳥
來源:51cto