从攻防理念转变看安全技术未来发展
作者:星期五, 七月 23, 20210

随着AI技术的广泛使用,衍生出了新的自动化攻击手段,企业的安全防护边界面临着更为严峻的考验,虽然敌明我暗,防守方一直处于被动状态,但攻击手段层出不穷、攻击技术“屡创新高”也成为了安全防护技术发展的催化剂。本期《牛人访谈》邀请到长亭科技联合创始人&首席安全研究员杨坤先生,针对企业在建立安全防护体系时应重点关注的层面、海量数据的处理应遵循的规则以及处于被动形式下的防守方应如何提升防护手段和应对高级攻击威胁等方面进行答疑解惑,对未来网络安全技术的发展进行了专业分享。

长亭科技联合创始人&首席安全研究员 杨坤

安全牛:攻防对抗是网络安全最典型的特征之一,您认为目前攻防技术的发展现状如何?以木马、蠕虫、勒索软件为代表的传统恶意软件类型,在目前的攻防对抗中体现出什么特点?

杨坤:不同的攻击类型对受害者所造成的影响不尽相同,但若想杜绝恶意软件,彻底防住攻击,无论哪种类型,防御方所面临的挑战都是相同的。

但是从发现识别的角度来说,木马是一种通过长期控制潜伏实现持续泄密的恶意软件,隐蔽性较强,是最难发现的;从解决难度上评估,勒索软件是最难处理的,它有可能对数据造成不可逆的破坏行为。因为攻击者会使用一些非对称性加密算法对受害者的数据进行加密,受害者在拿不到解密密匙的情况下是无法彻底恢复数据的。它不像木马、蠕虫等攻击类型只要杀掉清除即可。

针对包括上述类别在内的众多网络攻击,早期很多安全厂商都把做好边界防护放在第一位,投入了大量的精力资源去做边界防火墙、IPS和IDS研发等,但随着厂家对攻防技术的研究逐步加深,大家发现边界防护是无法做到万无一失的,所以防护理念和防护重心转移到了安全检测与响应上来,即如何在不可避免的攻击发生后,用最快的响应措施来将受害者的损失降到最低,因此诞生了很多像蜜罐、主机安全HIDS、全流量监控检测的技术产品,这些产品在攻防实战演练当中也多次被验证,能够在攻击检测与响应上发挥很大的作用。

安全牛:您认为目前企业网络安全工作面临的主要挑战是什么?主流安全厂商如何帮助企业来应对这样的挑战?

杨坤:企业网络安全工作更多是一个体系建设的工作,即怎样构建一套预防、加固、监测、响应、运营等等工作的体系,来抵御网络安全风险,这是一个系统性工程。涉及方方面面的人员组织、制度流程设计、技术工具构建等工作:不是说用了先进的技术和产品就能发挥作用;另外这个网络安全体系怎样和业务做好结合,不是说大家都照着一个规范、照葫芦画瓢就可以的;这里面的工作都是细节,面对的是找漏洞的黑客,这些工作都不能出纰漏。

所以大家都认为企业网络安全很难做,仿佛要做的事情太多,搞不清到底要做哪些,搞不清先做哪些,也搞不清做到什么程度算可以。

所以我们认为这个问题的根结在于缺乏一套科学的度量体系,即如何整体评估一个企业应对攻击的能力。如果有这套度量方法,就能够给企业网络安全工作指明方向,能够回答到底要做哪些、先做哪些、做到什么程度的问题。

所以长亭推出了一套企业攻防能力成熟度评估模型,来解决企业的防护能力度量问题。长亭通过这一模型把企业的防护能力总结为四大基础能力(攻击预防能力、防御加固能力、事件检查能力、事件响应能力)和三大能力中心(关联分析能力中心、安全运营能力中心和反制能力中心)。

然后又将这四大基础能力和三大能力中心进一步细化,拆解为39项基础能力单元。并针对每个基础能力单元从人员组织、流程机制以及技术工具三个纬度设计了详细的评估细则。根据评估结果来判定企业需要在人员、制度或技术工具三个层面上分别进行哪些改造建设。

安全牛:网络安全的本质在于攻防,您认为基于网络安全,未来攻防技术将会呈现怎样的发展特点?

杨坤:网络安全的本质是攻防,这里的攻防指的是攻防两端不断对抗的一个过程。网络安全不是一件一蹴而就的事情,攻击技术的发展演进会推动防护能力的创新,不存在一劳永逸解决安全问题的方法。但攻防技术一定会朝着更加智能化、自动化的方向发展,这里的“自动化”不是指完全脱离人实现彻底的自动化,而是指安全运维的效率越来越高,需要人工参与的工作量会越来越少。

这一结论也是在长亭的实际发展经验中得来的。长亭早期做雷池(WAF)产品的时候,其采用的基于语法分析的攻击检测引擎,就是想通过更加智能的算法来代替传统需要厚重人力来运营的安全规则库。后来长亭对雷池进行了升级,增加了基于频率分析的智能检测算法,还引入了自动流量学习和参数建模的能力;

在扫描器产品洞鉴里面,长亭把检测算法进行了全面POC化,而不再是基于简单规则的匹配;

在主机安全产品牧云里面,长亭通过语义分析和动静态结合的技术来检测攻击类型。这些都是安全产品在朝着更加智能化和自动化方向发展的体现。

安全牛:大数据分析被行业普遍认为是防范未知威胁的有效手段之一,各种态势感知和安全分析管理平台近年来在企业中开始大量应用,您认为该类型产品能够为用户提供哪些网络安全防护?可以从哪些维度评价和选型安全运营分析类平台?

杨坤:长亭早期做的更多是像雷池这种WAF类别的单点安全产品,具有很大局限性。所以我们现在要做一个具有态势感知能力的综合分析平台,万象由此而生。

在前期的调研中,我们发现很多厂商会把企业多种安全设备中的日志、数据一股脑地全部接过来,然后再去进行分析。但很多日志本身就是原始流量经过安全设备分析后得出来的“二手数据”,客户通常没有精力和经验去维护它们,误报率很大,这直接导致安全厂商在做数据分析时候得到的效果非常差。长亭不仅是一个产品厂商,也是一个服务厂商,所以我们在前期帮助用户对一些安全设备进行了调优,保证了“二手数据”的可用性。比如长亭基于自身的攻防经验帮助客户确定应该具体分析哪些有效信息,建立了一套数据筛选模型。所以长亭的态势感知整体解决方案在数据前期的有效处理上具有很大的优势。

那么对于不同的能够对有效数据进行处理的态势感知平台,其差异主要体现在几个方面:

第一点是处理性能。长亭的万象产品基于阿里的公有云服务商的大数据处理框架。阿里云本身每年有应对“618”、“双11”这样大型购物节的丰富经验,对于流量或者日志的处理量级非常高,更经得起考验,同类产品的处理量级可能并不能达到这个水平,或者说他们缺少数据和日志大处理量级的实战经验。

第二点就是技术的落地能力。所有的态势感知平台基础框架都是类似的,比如都具备一些自动化编排、SOAR的能力。但是在技术的实际落地和对数据的处理能力上是不同的。这具体体现在两个方面:首先,平台需要具有高效的数据采集能力,来自不同厂商不同类别安全产品的数据类型和格式不同,所以平台要具备对各种类别数据流量的编码能力;其次,在完成数据采集后,对数据的分析处理能力取决于安全厂商的实际经验。基于多年来的攻防经验,长亭能够溯源潜在攻击的达成路径、会依赖哪些数据等能力,为企业提供更坚实的安全监测能力。

安全牛:随着AI技术的融入,新一代网络攻击变得更加隐蔽、狡猾和复杂,催生了全新自动化攻击,现阶段比较严重的自动化攻击有哪些?企业该如何提升自动化威胁防护能力呢?

杨坤:总体来说,常见的自动化分析可以分为两大类,一类是以漏洞的自动挖掘和利用为目标的、模仿高级黑客行为的自动化攻击;另一类是伪装成正常的用户,以业务侧的规则漏洞去重复的执行一些自动化流程以获取奖励,比如“薅羊毛”。

第一类自动化攻击方式通过防火墙、堡垒机、IDS、IPS等发展较为成熟的防护技术多数可以解决。针对第二类自动化攻击手段的检测算法是目前安全厂商关注的一个重点。

长亭针对第二类攻击行为对雷池(下一代Web应用防火墙)产品进行了升级,通过以下四种技术进行安全防护:

第一是主动验证,即通过验证去识别攻击;

第二是动态令牌技术,即让每个正常请求都具有唯一性,机器人就无法重放已经发生过的流量;

第三是反静态分析技术,即对所有的Web页面的代码进行混淆和变形,虽然每次浏览页面时显示上没有变化,但是每次浏览请求都会发生变化,机器人很难去做解析与区分,进而达到防御目的;

第四是高级智能行为的分析能力,即对用户发起请求频率进行建模和分析,因为正常人和机器人相比在访问习惯和访问频率上都是不同的,以此来达到检测防护目的。

安全牛:企业遭到网络攻击后,应采取怎样的举措才能把“伤害”降到最低?所有已发生的攻击在二次来临前都能彻底被抵御吗?

杨坤:如果想把伤害降到最低,核心还是要企业要能够尽可能快速地检测到攻击行为,避免数据进一步被窃取利用,同时要及时地进行响应和处置。至于能否彻底抵抗住二次攻击,这取决于第一次攻击发生后,企业的应急响应和处置动作是否彻底。

所以为了避免这种伤害和二次攻击,企业需要加强对这种攻击事件的检测和响应能力,尽可能的避免盲区。要实现这一目的,就需要企业用多种手段去构建一套多维度的立体防护监测体系。比如说在网络边界上部署防火墙,在主机上部署相主机安全产品,在内网中也部署蜜罐等能够进行攻击事件检测和防护的产品等,如此这样,才能构建出一整套点线面全方位覆盖的“安全防护罩”。

同时安全运维人员的分析研判能力也要有所提升,能够迅速的对一些安全设备监测到的攻击日志和告警给予准确的处理方案。

安全牛:未来,网络安全攻防领域将呈现怎样的发展趋势?有哪些发展特点?要实现网络环境的长治久安,需要厂商和企业用户共同作出怎样的努力?

杨坤:从攻击角度来说,近年来国际局势紧张,很多黑客组织背后有国家的力量支持,这使得他们能够在充足的资源支持下,发展出愈发先进的攻击技术。但最顶尖的技术肯定是掌握在少数人手中的,可能只占所有攻击者的千分之一甚至万分之一。这种最顶尖的攻击也会随着时间的推移被公开出来,例如被APT组织使用,产生了重大社会影响后,被研究分析团队披露公开,或者由白帽研究人员主动发现,并发表研究成果。然后这些公开的新的技术会迅速被大量攻击者掌握,大大降低了攻击门槛,威胁到大量企业。过去几年里面,永恒之蓝、Java反序列化漏洞等几个实例,都证明了这样的攻击发展趋势和特点。

从防守的角度来说,技术发展会极大地被攻击技术的发展推动,它会在每次新的攻击技术披露后,呈现出一种阶段性的快速发展趋势,涌现出更多新的防护技术和方案,随后趋于稳定,直至下次攻击技术革新的到来。

作为防守方,企业用户应该积极响应国家号召,建立完善的安全防护边界和监测响应系统,在企业安全建设理念上一定要与时俱进,不要落后于当前的发展趋势;对于安全厂商来说,也要抓住上述的每一次防御技术迅速发展的关键时机,对安全防护技术进行提升和改进,紧跟行业发展浪潮,实现自我突破。

安全牛评

现阶段,安全数据集中管理、数据精准挖掘与分析以及安全自动响应逐步成为了各企业的安全建设目标。然而,安全风险实时感知和安全运营集中管理实现难度大,如何从大量异构的安全数据流中获取有用可信的风险告警,并实现高效的运营管理,对企业来说是个要求极高且需耗费巨大人力成本的过程。

长亭科技依靠多年功防实践经验,以及与阿里的合作,在数据方面依靠阿里大数据处理框架进行大数据的采集,数据分析方面使用内置实时流式分析、离线周期分析和离线手动分析等引擎进行分析,同时提出人+平台服务理念,依靠安服团队对产品及服务进行运营,针对上述问题,在一定程度上缓解了用户痛点。但是要全面解决上述问题,对未来的安全产品、安全服务、安全从业人员是一个不小的挑战,在这方面安全产业还有很长的一段路要走。


相关文章