RSAC 2020正如火如荼地召開,作為每年安全圈最津津樂道的話題之一,今年大會的主題是“Human Element”,你可以翻譯成人為因素或者以人為本。有意思的是,早在2017年,奇安信也提出了一個觀點“人是安全的尺度”,同樣強調人在網絡安全中的重要作用。
從2017到2020,這中間跨越了近三年時間。
因谷歌Beyond Corp而大火的零信任身份安全
2017年,身份安全發生了兩件大事情。其一,RSAC2017上,UnifyID一舉奪得創新沙盒的的冠軍。UnifyID可以從IoT設備中收集傳感器數據,依賴100多個同步的因素,並結合機器學習,為用戶構建“絕對身份”,準確率可達99.999%。UnifyID在向外界傳達一個信號,任何靜態的、單一維度的認證因子,都無法保證用戶身份的合法性,必須結合多維度數據,對用戶身份展開持續的驗證。
其二,谷歌宣佈基於零信任理念構建的新一代網絡安全架構-BeyondCorp成功完成,大部分應用已經成功遷移至該架構上。自此,零信任大熱了起來。
到2018年的時候,零信任就已經非常火了,網絡巨頭思科不惜斥資23.8億元收購身份安全廠商DUO。並且那一年,奇安信又提出了“安全從0開始”,把國內零信任的這股風也吹了起來。結合國內的政企客戶實踐,奇安信零賦予了零信任架構四大關鍵能力:以身份為基石、業務安全訪問、持續信任評估和動態訪問控制,最終在訪問主體和訪問客體之間建立一種動態的信任關係,並基於信任關係賦予動態的訪問權限。
再到2019年,RSAC上主打零信任的廠商就逐漸開始增多,大致有39家。而到了今年,RSAC上打著零信任標籤的廠商就已經有91家之多,是去年的兩倍以上,零信任也因此成為了RSAC2020熱度增長最快的熱詞之一。
一句話來總結,零信任的根本就是要解決信任問題。這個信任不是靜態的,而是動態持續的信任評估。可以這麼簡單理解,系統會持續不斷的驗證你的身份,並且根據信任評級來不斷給予對應的權限,給人的感覺就是系統一直不相信你的身份,所以稱之為零信任。
那麼系統到底要驗證誰的身份?這裡面應該包括三大主要因素,即人、網絡和設備(包括各種終端、應用、API接口等)。不過,這裡面不管包括多少因素,在我看來系統最終驗證的都是人的身份。終端也好、網絡也好、應用也好,站在它後面的都是人。
所以有人說,人是最不可靠的,不管系統存在多少漏洞,人都是最大的漏洞,所謂的利用社會工程學的方法實施APT攻擊,無非就是利用人性自身的漏洞。不過我覺得信任是最大的漏洞這種說法更加貼切,你不信任他,總是驗證他的身份,不給他那麼多權限,他也做不了那麼多事情(想想微盟刪庫的那小子)。
用一句不太貼切的話形容零信任體系:用人要疑,疑人要用。
因為沒有人可以阻止雲計算、移動互聯、物聯網這些技術的快速應用,人、設備和網絡都會在傳統意義上外網的環境下訪問敏感資源。比如今年疫情期間的遠程辦公問題,這個時候“因噎廢食”是不可取的,而零信任能做的就是驗證再驗證,確保那些遠程辦公的人是安全的,這些人所使用的設備和網絡也是安全的。
以“人+機器”為核心的威脅檢測與響應
在RSAC 2016上,大會主席阿米特·約倫(Amit Yoran)在“沉睡者醒來”的主題演講中指出,安全防禦是個失敗的戰略,未來業界應該增加在安全檢測技術上的投資。
這句話其實就是想要強調一個觀點:沒有任何防禦策略可以抵擋住所有入侵行為,應當基於系統已經被滲透這樣一個假設,開展持續的檢測,抓出潛在的安全隱患和威脅。檢測出了威脅,自然也少不了響應動作。
說到這,FireEye一直以來都是全球網絡安全檢測和響應技術的佼佼者。熟悉FireEye這家公司的都清楚,它的核心檢測能力是在通過構建虛擬環境(即沙箱,sandbox),並在此環境下執行未知樣本,找出樣本中的惡意行為,從而發現惡意腳本並阻斷攻擊。隨著APT攻擊行為越來越猖獗,FireEye在2012-2014幾年時間內獲得快速成長,並在2015年被Deloitte評為北美成長最快的網絡安全公司。
在2013年年底2014年年初的時候,FireEye完成了一筆非常重要的收購,斥資10億美元收購了以響應能力出名的網絡安全公司Mandiant。至此,FireEye就構建了一套完整的高級威脅檢測與響應的體系。
隨著機器學習、人工智能技術的快速發展,這些技術很快被用於網絡安全檢測。一時間,威脅情報技術、基於終端的檢測技術(EDR)和基於流量的檢測技術(NDR)以及安全自動化(SOAR)等技術不斷湧現,人們對這些技術寄予厚望,希望利用這些技術把該死的威脅找出來。
這些技術的確發揮了非常重要的作用,使得檢測能力大幅度提升。從2017年開始,FireEye將其定位為情報引領的公司,並圍繞這個核心開始設計其產品。FireEye將其威脅分析平臺放在雲端進行數據關聯、分析和威脅識別用戶可以上傳數據,並通過訪問雲端平臺獲得威脅分析的結果,同時也可以將情報同步到本地用於提升檢測能力。
但無論這些技術怎麼發展,有一個問題始終都沒有得到很好的解決:誤報率。頻繁的誤報帶來大量的告警,這些告警中是否隱藏著真正的威脅,還需要大量、專業的工程師去分析,人的因素始終非常關鍵。
對比一下國內。自奇安信提出“人是安全的尺度”這個理念之後,就非常重視人在其中的重要作用,並且推出了一個在很有特色的高級威脅檢測與響應解決方案:天眼+安服。
天眼新一代威脅感知系統是一套針對高級威脅進行發現、分析、響應、溯源、取證的一體化的解決方案。其檢測原理不僅包括了IDS特徵規則檢測,更包括威脅情報檢測、文件威脅鑑定檢測、網絡流量機器學習行為檢測;而且,網絡上視野範圍內的TCP會話記錄、郵件活動、DNS交互、URL訪問、文件下載都被以日誌的形式作為元數據記錄下來,用於APT的追蹤和威脅情報的生產。
為了加強人的影響,並對未知威脅做最終定性和跟蹤,奇安信組建了一支數百人的龐大安全分析團隊,該團隊技術能力覆蓋了操作系統、逆向、漏洞挖掘、滲透等安全的各個技術領域,幫助奇安信的檢測能力、響應能力以及威脅情報能力在客戶側落地。據奇安信發佈的《2019年網絡安全應急響應分析報告》顯示,2019年奇安信集團安全服務團隊共參與和處置了1029起全國範圍內的網絡安全急響應事件。
天眼+安服合在一起,就非常類似於國外的FireEye+Mandiant,並且更加強調“人+機器”的產品+服務能力。
面向實戰化的網絡安全人才培養和教育培訓
不過,網絡安全的人才總是缺乏的。目前網上流傳較多的數據是,目前全球網絡安全的人才缺口已達百萬,並且仍然在快速增長。這一方面反映了網絡安全需求的快速增長,另一方面也反映了網絡安全培訓體系和機制的缺失。
很多時候,學校並不能夠完全承擔起教育培訓的責任,成年人都知道從學生到實戰化攻防,這中間還有多少距離。從這個角度來說,實戰化的網絡安全人才培養和教育培訓應該是一個核心方向。
美國很早就開始實施了針對信息系統和信息基礎設施的的安全保障培訓計劃,並且已經建成了面向不同領域的培訓體系,主要包括國家培訓、政府部門培訓、企業廠商培訓、軍隊培訓以及高校培訓等等。
在2019年,在員工的安全意識培訓領域,國外有幾個非常有意思的企業獲得了融資。
其一,KnowBe4完成5000萬美元C輪融資和3億美元D輪融資,並因此步入了獨角獸的行列。KnowBe4是一個為企業員工提供安全意識培訓的平臺,教員工識別並遏阻潛在網絡釣魚攻擊和其他安全威脅。
其二,Immersive Labs獲投4000萬美元B輪融資。該公司主要通過使用真實的、最新的威脅情報(threat intelligence),幫助企業員工學習安全技能。
這兩家公司有著類似地方,即使用真實的場景和產品,這將有利於員工在面對真實的攻擊時,可以從容應對。
相比之下,國內的相關培訓和選拔機制則落後一些,不論是校園培訓還是社會培訓,還沒有形成一個完整的體系。不過,已經有不少單位做了一些積極嘗試,例如校企合作、CTF競賽選拔、人才基地培養等等。
在這個方面,奇安信倒是有一些做法值得分享,這中間主要包括三個模式:綿陽模式、DataCon模式和補天模式。
綿陽模式:2018年3月,奇安信在綿陽的人才培養基地正式宣告成立,重點培養安全運營方面的人才,同時也包括安全意識、保密意識等方面的培訓。安全設備的策略配置、告警的日常處理、日常巡檢維護以及威脅的應急處理,都離不開這些這些基層的運維人員。有統計表明,在上百萬的網絡安全人才缺口當中,基層的安全運維人才缺口是最大的。數據顯示,截至去年3月29日,基地已累計招生1200多人,成為了奇安信網絡安全人才的重要來源。與綿陽基地類似的,還有奇安信的青島保密基地。
補天模式:針對漏洞的攻防是實戰化網絡安全的必修課。2019年5月,補天漏洞響應平臺正式發佈“五星計劃”,全面覆蓋所有漏洞品類,並且希望通過白帽導師、白帽社區、線下白帽沙龍、白帽在線課堂、白帽榮譽激勵等手段,給予白帽子體系化的培訓和升級服務,全面提升白帽子本身的漏洞攻防能力,可主要輸送攻擊型的安全人才,從事挖洞、滲透測試等。
DataCon模式:DataCon是一場以大數據分析為核心的網絡安全競賽。與普通CTF奪旗賽不同的是,DataCon主要培訓選拔的是企業急需的分析型和防守型人才。並且,奇安信以真實的攻防演練和安全重保為背景,為所有參賽團隊提供了近乎真實的業務場景和數據。2019年DataCon的決賽現場,奇安信還組織了一場別開生面的雙選會,幫助政企機構招聘合適的人才。
從2017年到2020年這三年的時間裡,發生了太多的變化。有一點可以確定,人的因素被更加重視。相比“人是安全的尺度”,今年的Human Element更加包羅萬象,甚至在現場還首次出現了“Engagement Zone”,為人們私下的小範圍溝通預留場所。
RSAC2020,以人為本。
閱讀更多 奇安信 的文章
