SOC成為安全基礎支撐:但需要大數據結合AI來輔助分析
責編:gltian |2018-09-07 15:54:02大數據、智能機器和分析工具,都需要人來掌舵。
隨著高針對性網絡攻擊成為新常態,公司企業逐漸發現,以往沒什么存在感的安全運營中心(SOC),真真切切成了公司的堅實依靠。
SOC以各種形態存在了數十年,最近幾年才因企業地理分布和技術組成的日趨復雜對集中安全監視有需求,而蓬勃發展起來。
將專業技能集中到一個地方,或者跨區域虛擬化它們,可以很好地應對安全威脅的快速增長。但在已知安全威脅逐漸讓位于全新未知威脅的世界里,使用傳統工具和產品并不能取得曾經的輝煌戰果。
盡管很多成功的安全突破案例是以相對簡單的技術和常見漏洞實現的,但結合了這些常用技術與未知漏洞的新型攻擊出現的概率也已大幅增加。
很難估測新攻擊涌現的規模,但未知威脅可以是非預期內部人攻擊,也可以是內部憑證濫用,或者是幾個零日軟件漏洞利用。從SOC的角度看,最近的例子就是2017年影響了多個行業數千家公司企業的WannaCry和NotPetya攻擊了。
面對攻擊,SOC的有效性以響應、緩解和清除來衡量。在幾分鐘甚或幾秒內做出反應是有差別的,安全響應計劃的質量也決定著SOC的有用程度。檢測不再是唯一的博弈;SOC需要快速響應,否則將陷入長期應付各種混亂的泥潭,難以脫身。
AI應用正當時
現實如此艱難,我們毫不意外頂著AI名頭的各種技術好像救世主一樣帶著不甚明朗的種種承諾漸次降臨。
傳統SOC依靠各層安全傳感器及系統,所有這些傳感器和系統都會產生日志和事件之類的信息。多年來對這些信息的處理,都是盡可能地導入安全信息及事件管理(SIEM)之類系統所用的存儲庫中。隨著事件和日志數據的增長,分析與決策的復雜度也在上升,進而導致威脅檢測與響應時間上的挑戰。
但如今響應時間就是一切,因為公司企業必須接受自己終會被攻破的事實。這就讓公司企業在可產生過多誤報的過度檢測與導致漏報的檢測不足之間坐立難安了。而且,檢測、分類、響應和必要時升級威脅事件的人才需求,還在進一步惡化本就極度短缺的安全人才供應現狀。
AI,更確切的說,機器學習和大數據分析,被認為是走出這一泥沼的通途——因為AI可以做到人們用SIEM難以做到的事,也就是自動化快速關聯并識別異常。問題在于,AI不是一種標準化技術,而是一組概念和算法,人們很難區分市面上主打AI牌的產品到底是不是概念炒作。
如果非要給AI重新定義一下,或許叫“增強智能”更合適。人工智能這個概念太容易被誤解了。
真正與SOC相關的部分,是大數據結合AI來輔助分析。
除了響應,AI的另一個重要好處,是可以學得更快(或者說,是可以學習)——說回到我們上面提及的未知威脅問題上了。網絡攻擊一直在進化,運用各種不同方法找尋并利用漏洞,但這種進化終歸是漸進式的。如果可以用AI分析器來理解這些微小改變中蘊含的深層模式,防御者就能發現跟上攻擊進化腳步的方法。
異常響應
究其核心,SOC安全有賴于異常識別——發現不正常或非預期的孤立數據點。工具、過程、人力響應等等全基于此。但異常不僅僅各網絡、各設備、各系統不同,還是不可避免的。個別用戶的大部分異常行為,或其產生的網絡流量,往往都是完全無辜的。反而正常流量中也可隱藏有攻擊者濫用被盜特權憑證所制造的異常流量。傳統邊界安全方法非常難以發現這種異常,因為此類頂著特權憑證保護傘的異常流量看起來完全合法。
想要在SOC中有效使用AI,需要建立起綜合考慮各種因素的基線以識別異常。理論上,有必要基于多個數據點而非單一用戶或資源來建立基線。AI的強大之處在于,可用于定義基線和偏離值的數據點在理論上是沒有任何限制的。
AI引入的是學習的能力,也就是隨時間進程不斷調整這些參數的能力。AI將能分辨出這些異常是否是安全團隊需要關注的。但如果安全人員突然發現有異常是誤報,那AI系統就應反饋給分析系統,告訴分析系統此類異常是預期行為,不用報告。
這其中不可替代的一個角色,是人類決策者,包括從檢測、響應、緩解到高級取證的各層人才。AI可以向他們報告問題,但還不能告訴他們該怎么做。
AI不是神,搞不出機器全權接管網絡防御工作的神奇轉變。它就是個工具,人類才是那個永恒的決策者,利用機器智能提供的分析來做出更快更好的決策。
AI本身不是安全問題的答案。人類應該用學習系統反饋進推理引擎和分析器。概念上而言,數據分析器和AI能提升數據分析的速度。是否啟動網絡響應計劃的最終決策權,在SOC經理手上。
SOC新世界
所有這些都沒真正闡述清楚AI到底怎么搞定SIEM難以解決的問題——簡單添加傳感器和安全層可能導致更多警報,增加SOC的評估和響應負擔。如果沒有一定的參考點,安全經理如何判斷哪些警報需要跟進而哪些直接無視就好?
而這,正是用戶行為分析(UBA)和更新的用戶及實體行為分析(UEBA)的長項所在。對UEBA而言,最重要的不單單是基線的概念——所謂的可供識別異常的“正常”,而在于這是建立在與網絡用戶及賬號相關聯的行為基礎之上。
用戶監視可不是什么新概念,早已存在多年,但近年來興起的機器學習賦予了它各種可能性,增強了用戶監視對于SOC的效用。與基于規則的系統不同,UEBA利用機器學習的基線建立過程,可隨用戶的行為變化調整對用戶行為的整體認知,更深入地理解用戶行為。如果需要的話,這一原則還可延伸到應用程序和設備上。
這簡直就是為機器學習量身打造的工作:這種應用場景里,安全分析就是簡單地將各種算法應用到另一種大數據難題上而已。而機器學習,正好是大數據沃土里成長的樹苗。不過,雖然概念聽起來都很明智合理,此類系統卻還只是出于發展初期階段,它們的有效性還需經由處理現實世界安全事件來體現。
SOC防御者有時間來完善UEBA,但鑒于時代的變遷和威脅的升級,留給他們的時間或許不像有些人想象的那么多。