RSAC 2020正如火如荼地召开,作为每年安全圈最津津乐道的话题之一,今年大会的主题是“Human Element”,你可以翻译成人为因素或者以人为本。有意思的是,早在2017年,奇安信也提出了一个观点“人是安全的尺度”,同样强调人在网络安全中的重要作用。
从2017到2020,这中间跨越了近三年时间。
因谷歌Beyond Corp而大火的零信任身份安全
2017年,身份安全发生了两件大事情。其一,RSAC2017上,UnifyID一举夺得创新沙盒的的冠军。UnifyID可以从IoT设备中收集传感器数据,依赖100多个同步的因素,并结合机器学习,为用户构建“绝对身份”,准确率可达99.999%。UnifyID在向外界传达一个信号,任何静态的、单一维度的认证因子,都无法保证用户身份的合法性,必须结合多维度数据,对用户身份展开持续的验证。
其二,谷歌宣布基于零信任理念构建的新一代网络安全架构-BeyondCorp成功完成,大部分应用已经成功迁移至该架构上。自此,零信任大热了起来。
到2018年的时候,零信任就已经非常火了,网络巨头思科不惜斥资23.8亿元收购身份安全厂商DUO。并且那一年,奇安信又提出了“安全从0开始”,把国内零信任的这股风也吹了起来。结合国内的政企客户实践,奇安信零赋予了零信任架构四大关键能力:以身份为基石、业务安全访问、持续信任评估和动态访问控制,最终在访问主体和访问客体之间建立一种动态的信任关系,并基于信任关系赋予动态的访问权限。
再到2019年,RSAC上主打零信任的厂商就逐渐开始增多,大致有39家。而到了今年,RSAC上打着零信任标签的厂商就已经有91家之多,是去年的两倍以上,零信任也因此成为了RSAC2020热度增长最快的热词之一。
一句话来总结,零信任的根本就是要解决信任问题。这个信任不是静态的,而是动态持续的信任评估。可以这么简单理解,系统会持续不断的验证你的身份,并且根据信任评级来不断给予对应的权限,给人的感觉就是系统一直不相信你的身份,所以称之为零信任。
那么系统到底要验证谁的身份?这里面应该包括三大主要因素,即人、网络和设备(包括各种终端、应用、API接口等)。不过,这里面不管包括多少因素,在我看来系统最终验证的都是人的身份。终端也好、网络也好、应用也好,站在它后面的都是人。
所以有人说,人是最不可靠的,不管系统存在多少漏洞,人都是最大的漏洞,所谓的利用社会工程学的方法实施APT攻击,无非就是利用人性自身的漏洞。不过我觉得信任是最大的漏洞这种说法更加贴切,你不信任他,总是验证他的身份,不给他那么多权限,他也做不了那么多事情(想想微盟删库的那小子)。
用一句不太贴切的话形容零信任体系:用人要疑,疑人要用。
因为没有人可以阻止云计算、移动互联、物联网这些技术的快速应用,人、设备和网络都会在传统意义上外网的环境下访问敏感资源。比如今年疫情期间的远程办公问题,这个时候“因噎废食”是不可取的,而零信任能做的就是验证再验证,确保那些远程办公的人是安全的,这些人所使用的设备和网络也是安全的。
以“人+机器”为核心的威胁检测与响应
在RSAC 2016上,大会主席阿米特·约伦(Amit Yoran)在“沉睡者醒来”的主题演讲中指出,安全防御是个失败的战略,未来业界应该增加在安全检测技术上的投资。
这句话其实就是想要强调一个观点:没有任何防御策略可以抵挡住所有入侵行为,应当基于系统已经被渗透这样一个假设,开展持续的检测,抓出潜在的安全隐患和威胁。检测出了威胁,自然也少不了响应动作。
说到这,FireEye一直以来都是全球网络安全检测和响应技术的佼佼者。熟悉FireEye这家公司的都清楚,它的核心检测能力是在通过构建虚拟环境(即沙箱,sandbox),并在此环境下执行未知样本,找出样本中的恶意行为,从而发现恶意脚本并阻断攻击。随着APT攻击行为越来越猖獗,FireEye在2012-2014几年时间内获得快速成长,并在2015年被Deloitte评为北美成长最快的网络安全公司。
在2013年年底2014年年初的时候,FireEye完成了一笔非常重要的收购,斥资10亿美元收购了以响应能力出名的网络安全公司Mandiant。至此,FireEye就构建了一套完整的高级威胁检测与响应的体系。
随着机器学习、人工智能技术的快速发展,这些技术很快被用于网络安全检测。一时间,威胁情报技术、基于终端的检测技术(EDR)和基于流量的检测技术(NDR)以及安全自动化(SOAR)等技术不断涌现,人们对这些技术寄予厚望,希望利用这些技术把该死的威胁找出来。
这些技术的确发挥了非常重要的作用,使得检测能力大幅度提升。从2017年开始,FireEye将其定位为情报引领的公司,并围绕这个核心开始设计其产品。FireEye将其威胁分析平台放在云端进行数据关联、分析和威胁识别用户可以上传数据,并通过访问云端平台获得威胁分析的结果,同时也可以将情报同步到本地用于提升检测能力。
但无论这些技术怎么发展,有一个问题始终都没有得到很好的解决:误报率。频繁的误报带来大量的告警,这些告警中是否隐藏着真正的威胁,还需要大量、专业的工程师去分析,人的因素始终非常关键。
对比一下国内。自奇安信提出“人是安全的尺度”这个理念之后,就非常重视人在其中的重要作用,并且推出了一个在很有特色的高级威胁检测与响应解决方案:天眼+安服。
天眼新一代威胁感知系统是一套针对高级威胁进行发现、分析、响应、溯源、取证的一体化的解决方案。其检测原理不仅包括了IDS特征规则检测,更包括威胁情报检测、文件威胁鉴定检测、网络流量机器学习行为检测;而且,网络上视野范围内的TCP会话记录、邮件活动、DNS交互、URL访问、文件下载都被以日志的形式作为元数据记录下来,用于APT的追踪和威胁情报的生产。
为了加强人的影响,并对未知威胁做最终定性和跟踪,奇安信组建了一支数百人的庞大安全分析团队,该团队技术能力覆盖了操作系统、逆向、漏洞挖掘、渗透等安全的各个技术领域,帮助奇安信的检测能力、响应能力以及威胁情报能力在客户侧落地。据奇安信发布的《2019年网络安全应急响应分析报告》显示,2019年奇安信集团安全服务团队共参与和处置了1029起全国范围内的网络安全急响应事件。
天眼+安服合在一起,就非常类似于国外的FireEye+Mandiant,并且更加强调“人+机器”的产品+服务能力。
面向实战化的网络安全人才培养和教育培训
不过,网络安全的人才总是缺乏的。目前网上流传较多的数据是,目前全球网络安全的人才缺口已达百万,并且仍然在快速增长。这一方面反映了网络安全需求的快速增长,另一方面也反映了网络安全培训体系和机制的缺失。
很多时候,学校并不能够完全承担起教育培训的责任,成年人都知道从学生到实战化攻防,这中间还有多少距离。从这个角度来说,实战化的网络安全人才培养和教育培训应该是一个核心方向。
美国很早就开始实施了针对信息系统和信息基础设施的的安全保障培训计划,并且已经建成了面向不同领域的培训体系,主要包括国家培训、政府部门培训、企业厂商培训、军队培训以及高校培训等等。
在2019年,在员工的安全意识培训领域,国外有几个非常有意思的企业获得了融资。
其一,KnowBe4完成5000万美元C轮融资和3亿美元D轮融资,并因此步入了独角兽的行列。KnowBe4是一个为企业员工提供安全意识培训的平台,教员工识别并遏阻潜在网络钓鱼攻击和其他安全威胁。
其二,Immersive Labs获投4000万美元B轮融资。该公司主要通过使用真实的、最新的威胁情报(threat intelligence),帮助企业员工学习安全技能。
这两家公司有着类似地方,即使用真实的场景和产品,这将有利于员工在面对真实的攻击时,可以从容应对。
相比之下,国内的相关培训和选拔机制则落后一些,不论是校园培训还是社会培训,还没有形成一个完整的体系。不过,已经有不少单位做了一些积极尝试,例如校企合作、CTF竞赛选拔、人才基地培养等等。
在这个方面,奇安信倒是有一些做法值得分享,这中间主要包括三个模式:绵阳模式、DataCon模式和补天模式。
绵阳模式:2018年3月,奇安信在绵阳的人才培养基地正式宣告成立,重点培养安全运营方面的人才,同时也包括安全意识、保密意识等方面的培训。安全设备的策略配置、告警的日常处理、日常巡检维护以及威胁的应急处理,都离不开这些这些基层的运维人员。有统计表明,在上百万的网络安全人才缺口当中,基层的安全运维人才缺口是最大的。数据显示,截至去年3月29日,基地已累计招生1200多人,成为了奇安信网络安全人才的重要来源。与绵阳基地类似的,还有奇安信的青岛保密基地。
补天模式:针对漏洞的攻防是实战化网络安全的必修课。2019年5月,补天漏洞响应平台正式发布“五星计划”,全面覆盖所有漏洞品类,并且希望通过白帽导师、白帽社区、线下白帽沙龙、白帽在线课堂、白帽荣誉激励等手段,给予白帽子体系化的培训和升级服务,全面提升白帽子本身的漏洞攻防能力,可主要输送攻击型的安全人才,从事挖洞、渗透测试等。
DataCon模式:DataCon是一场以大数据分析为核心的网络安全竞赛。与普通CTF夺旗赛不同的是,DataCon主要培训选拔的是企业急需的分析型和防守型人才。并且,奇安信以真实的攻防演练和安全重保为背景,为所有参赛团队提供了近乎真实的业务场景和数据。2019年DataCon的决赛现场,奇安信还组织了一场别开生面的双选会,帮助政企机构招聘合适的人才。
从2017年到2020年这三年的时间里,发生了太多的变化。有一点可以确定,人的因素被更加重视。相比“人是安全的尺度”,今年的Human Element更加包罗万象,甚至在现场还首次出现了“Engagement Zone”,为人们私下的小范围沟通预留场所。
RSAC2020,以人为本。
閱讀更多 奇安信 的文章
