於所有的安全人員來說,每天都要面臨兩個終極難題:到底誰在黑我?為什麼要黑我?
為了避免被黑,他們往往配置了“裡三層、外三層”的防護手段和安全產品。
這樣造成的結果是:在發現異常情況時會有N條告警時,時間一長,人也逐漸麻木,他們不知道在眾多的告警中,哪些才是真正危急和需要馬上去處理的。
真要出了事,安全廠商也不會背鍋---你看,不是我們沒預警,是你們沒有重視起來啊!
最終被劈的還得是苦逼的安全人員。
正所謂“不怕賊偷,就怕賊惦記”,令安全人員更加擔心的是,有些黑客在入侵的過程中,採用的是“潤物細無聲”的招式,他們潛伏已久,早已對你進行了長期和有計劃的摸底,知道你最關鍵的東西放在哪裡,哪裡有破綻,他們等的只不過是一個合適的時機,引爆那些早已佈置好的“炸彈”,而你卻對此一無所知。
今天的故事,宅客頻道先從一個名為“Dragonfly”的黑客團伙講起。
“Dragonfly”背後的故事
2017年,一個名為“Dragonfly”的黑客團伙被賽門鐵克曝光,此前,這夥黑客是讓能源行業談之色變的“隱形人”,自 2011 年開始,能源行業就備受其騷擾,但“敵人”究竟能力有多強?武器如何?盯上了哪些國家的哪些設施?一直是個迷。
雖然安全人員此前對這夥人都早有耳聞,但在曝光之際,該團伙所具備的能力還是讓業內人跌破了眼鏡。
他們可以對超過84個國家的數千座發電站進行遠程訪問,並能針對數十家能源公司同時發動攻擊,不僅能入侵能源公司的運營網絡,還能操控美國本土的配電網絡,這是我們第一次意識到攻擊者居然能夠操控如此大規模的電力系統運營。
告訴我這串數字的,是賽門鐵克華東及華南區售前經理王景普。
王透露,針對能源等關鍵設施進行攻擊的,都是有備而來的黑客,即“針對性攻擊組織”,他們目標明確,而且在真正動手前往往都已經用“魚叉”“水坑”等攻擊招式掌握了攻擊目標的關鍵信息,比如用釣魚郵件知道了某些關鍵員工的郵箱用戶名、密碼,獲取到核心數據,用“水坑”式攻擊瞭解企業員工平時都會訪問什麼類型的網站,將企業經常訪問並信任的網站作為攻擊目標……
但與此同時,安全人員卻對這些黑客不瞭解,尤其是每天收到 N 條告警時,他們更加分不清誰是誰,這就好比打仗時,一直處於敵暗我明的不利態勢,敵方早就刺探出你的排兵佈陣,而你卻渾然不知對方的情況。
根據王景普多年的“戰鬥”經驗,要想把這夥黑客揪出來,得有兩個殺手鐧。首先要掌握足夠多的作案數據,第二就是你要能在這麼多數據中根據共性,分析出這夥黑客的特點,再順藤摸瓜的鎖定他們。
要做到這兩點,並不容易,第一要有充足數據,第二要有先進的算法,只有這兩項都具備,才能有跟黑客叫板的資格。
揪出 Dragonfly 的功臣--“AI偵探”
對於神出鬼沒的黑客,只有廣撒網,才能尋覓到一些蛛絲馬跡。就像一位出色的偵探往往都會在前期做大量縝密的線索蒐集工作。
▲圖片來源:偵探遊戲“9條線索2病房”
所以對於安全人員來說,擺在面前第一件事是
儘可能收集到黑客團伙充足的數據。據王景普透露,目前賽門鐵克在全球覆蓋了 1.75 億個終端和 9500 萬傳感器,所以可以針對端點流量、電子郵件甚至是誘餌郵箱收集廣泛的數據,形成了最終大數據分析的數據來源。由於覆蓋了龐大的終端和傳感器,我們能對全球 157 個國家和地區的多個攻擊團體進行持續跟蹤,在此基礎上,我們也積累了相對龐大的漏洞數據庫。從二十多年前開始,該數據庫至今已經記錄了超過將近9萬個漏洞。
有了數據倉庫後,接下來最關鍵的就是如何分析這些數據,最終揪出黑客團伙。
王透露,最終的分析結果其實得益於於近幾年開始使用的機器學習技術,工程師團隊要做的,就是在海量的數據中,把有共性的攻擊行為挑出來進行分析,從而鎖定背後的黑客團伙。這要求這個團隊既有機器學習的知識積累,還有網絡安全的專業知識,王把這項“偵探”技術稱為 TAA (針對性攻擊分析),雷鋒網編輯覺得,這更像是一個“AI偵探”的角色。
TAA 技術由攻擊調查團隊和安全數據科學家共同研發。
王透露,這個具有多元背景的團隊正是他們得以揪出 Dragonfly 的幕後功臣,它可以讓客戶無需更新產品,通過定期的重新訓練和更新分析來檢測新型攻擊手段。
那這跟之前的高級威脅分析有何不同?
王回應,針對性攻擊的分析工具其實在 2011 年已經有了,只是各方面還沒那麼成熟,以前賽門鐵克只把它放在情報網裡,相當於“試煉”,沒把它放在ATP設備裡,因此無法向客戶提供詳細報告和信息,而現在,是把它從幕後拉到前臺,讓用戶直接看到分析結果。
分析結果的體現方式是一份份詳細的分析報告,解決的正是文章開頭所遇到終極難題,你被哪些黑客組織盯上了、他們以前有哪些黑歷史、慣用套路是什麼、什麼時候盯上你的、對你的攻擊進行到哪步了、接下來你需要採取哪些措施……
這些工作成果,都來自這位“AI”偵探,而這項技術之所以能實現,數據上雲是一個關鍵點。
王景普解釋,由於原來的引擎一直在賽門鐵克自己的數據中心運行,所以計算能力有很大的侷限性。現在憑藉雲端龐大的計算能力和大數據分析平臺,人工智能和高級機器學習專家的想法才得以實現,之後再做成有效的機器學習模型,最終輸出正確的分析結果。
黑客本身既瞭解人工智能,又瞭解分析,如何跟上他們的步伐?
你以為用了“AI偵探”就能叫板黑客了?
NONONO,你用AI,黑客也用AI,說不定人家的裝備不比你差!
其實,賽門鐵克在去年就曾預測,黑客將會利用人工智能和高級機器學習等手段發動攻擊,而安全人員能不能佔上風,將取決於監測範圍和數據量的大小,以及對於數據的處理分析。
對於做安全產品的企業來說,監測範圍、數據量以及分析引擎都是縮短抓到黑客時間的關鍵,這也是為什麼我們要把整套系統從原來自己的數據中心全部遷移到雲上的原因,如果沒有云計算超大計算能力和大數據分析平臺的配合,我們也無法處理數據如此龐大的分析。
王景普告訴雷鋒網,為了使數據更加全面,質量更高,他們除了自研,近幾年也在不斷的收購新公司,比如針對IOT、移動終端和雲的安全,都收購了相關的產品和技術,黑客攻擊一個目標企業時可能利用到的傳統方式、通道和新的方式、通道都要覆蓋。
那麼,如此大規模的收集數據,是否對業務會產生影響?是否會侵犯客戶的隱私?
王回應,第一,不會對用戶的終端產生影響。對於企業的端點,在客戶明確允許的情況下,賽門鐵克會通過 SEP 收集來自企業端點的數據。由於ATP設備只接受從其他來源複製的流量,而不參與網絡中數據的交換,所以它不會對網絡本身的性能產生影響。
第二,在端點方面,賽門鐵克的軟件一旦打開某個事件,收集的只是日誌,量非常小,所以電腦運行速度不會因為記錄日誌而變慢。此外,由於收集這些數據不需要另外安裝客戶端軟件,所以不會導致它跟端點上的其他應用產生衝突或者導致操作系統崩潰。
第三,會確保匿名性。他們所收集的數據只是事件日誌,而不會記錄企業真正數據,所以不會涉及到企業機密相關信息的收集。針對企業端,在收集數據之前,客戶需要自行去配置功能,得到客戶明確允許後,才能進行數據收集,由客戶決定哪些數據可以被收集,並且不會收集客戶名字,也就是說,數據上傳後賽門鐵克也不知道這究竟是哪個客戶的數據,所以能夠確保匿名性。
閱讀更多 宅客 的文章
