从论坛的讨论内容中可以发现,在今年的RSA大会,有以下热词值得关注:
李康表示,由于攻击者可以通过一条很长的攻击链进行攻击,从防御者的角度来看,如果能够获取多维度的数据,联系攻击上下文,就能够更清晰地追踪攻击,进行防护——这就是安全大脑的意义。
在会议上,李康分享了三个案例。第一个是就谷歌解决方案Chronicle Security产品的数据来源进行了分析。其中,谷歌的数据来源有三个方面:直接从新的方向获取、替换以及扩展。在这个案例中,李康认为谷歌利用了自身基础设施的强大能力,从而可以通过安全的上下文快速发现威胁。另一方面,谷歌的收费模式也是另一个吸引企业的特点——根据企业的规模进行收费,使得更多的小型企业能够负担得起起世界一流的安全能力。
第二个案例是微软的Microsoft Security Graph API。对于使用大量不同安全产品的企业,安全管理人员需要为不同产品编写API接口,而微软的Microsoft Security Graph API则提供了统一的编程语言解决这个问题,并且进行管理。
第三个案例则是思科对自身各类安全产品的连接点——思科的Talos团队。Talos将防火墙、EDR、IDS等不同安全能力结合到一起。而另一方面,思科从路由器起家的公司,可以从网络层获取大量的用户行为数据,在用户有安全需求的时候,进行分析与防护。
在这三个案例中,大厂商在安全大脑的布局都有一个特点:根据自身的能力建立生态,给潜在客户一个 “非我莫属” 的理由,然后利用自身的生态构建多维度数据。因此,安全大厂不能只是在单一产品上深挖,更需要对不同能力进行联动,才能构建完整的安全大脑布局。
360AI安全研究院负责人李康
在这个体系当中,首先对数据进行预处理,消除对于正常数据的干扰。在这一过程中,需要过滤占比最大的正常数据,获取真正的异常数据。以HIDS日志过滤为例,在输入HIDS系统日志后,输出内容为主机异常的行为记录。在这一过程中,根据不同的日志对象,有不同的考虑要素,然后根据相对应的指标进行量化。
第二步根据第一步中获得的黑数据与灰数据利用统计模型进行攻击行为检测。事实上,由于异常行为不等同于攻击行为,因此灰数据会给模型带来不精确性,在这一步中,需要进一步过滤灰数据,从异常行为中识别更像攻击行为的数据,从而更“纯”的黑数据。否则,如果灰数据也被归入统一建模,在使用中会产生大量的误报。
最后,利用事后关联提升检测能力。这一过程中,会在第二步的基础上构建基于图的攻击场景发现和告警优先级评估。由于异常行为产生的告警往往是单一类型的告警,并且无法与其他事件关联,因此构建关联图与告警优先级,可以从低准确率告警中过滤出高置信度事件,从而从孤立的告警事件中还原出完整的攻击场景。
在DevSecOps的解决方案中,当下比较核心的是AST应用安全测试。功能之一是对代码的检查,在开发流程就对加入对代码的安全检查,以确保代码安全。这包括在开发阶段通过不同的静态、动态与交互测试,发现风险薄弱点。而在生产环境的运维过程中,则是对攻击进行发现与阻止。
另一方面,由于开源软件越来越普及,软件供应链安全需要被注意。开源软件面临着漏洞以及证书两个问题。在DevSecOps过程中,针对开源软件安全的解决方案会在未来进一步发展。
程度同时提到,容器大大推进了DevOps的发展。相对的,DevSecOps也需要意识到容器安全的重要性。对于容器的安全,首先需要减少攻击面,因此,对容器的需求只要满足 “够用即可” 就行。第二,不仅要保证容器自身的安全,也需要保障容器镜像与配置的安全。另外,容器的安全需要做到更加颗粒度的管理——在微隔离的基础上,进一步做到微微隔离(Nano segmentation)。最后,对容器的要做到实时的安全监控。
安全牛评