SOC成为安全基础支撑:但需要大数据结合AI来辅助分析

大数据、智能机器和分析工具,都需要人来掌舵。

微信截图_20180906163647

随着高针对性网络攻击成为新常态,公司企业逐渐发现,以往没什么存在感的安全运营中心(SOC),真真切切成了公司的坚实依靠。

SOC以各种形态存在了数十年,最近几年才因企业地理分布和技术组成的日趋复杂对集中安全监视有需求,而蓬勃发展起来。

将专业技能集中到一个地方,或者跨区域虚拟化它们,可以很好地应对安全威胁的快速增长。但在已知安全威胁逐渐让位于全新未知威胁的世界里,使用传统工具和产品并不能取得曾经的辉煌战果。

尽管很多成功的安全突破案例是以相对简单的技术和常见漏洞实现的,但结合了这些常用技术与未知漏洞的新型攻击出现的概率也已大幅增加。

很难估测新攻击涌现的规模,但未知威胁可以是非预期内部人攻击,也可以是内部凭证滥用,或者是几个零日软件漏洞利用。从SOC的角度看,最近的例子就是2017年影响了多个行业数千家公司企业的WannaCry和NotPetya攻击了。

面对攻击,SOC的有效性以响应、缓解和清除来衡量。在几分钟甚或几秒内做出反应是有差别的,安全响应计划的质量也决定着SOC的有用程度。检测不再是唯一的博弈;SOC需要快速响应,否则将陷入长期应付各种混乱的泥潭,难以脱身。

AI应用正当时

现实如此艰难,我们毫不意外顶着AI名头的各种技术好像救世主一样带着不甚明朗的种种承诺渐次降临。

传统SOC依靠各层安全传感器及系统,所有这些传感器和系统都会产生日志和事件之类的信息。多年来对这些信息的处理,都是尽可能地导入安全信息及事件管理(SIEM)之类系统所用的存储库中。随着事件和日志数据的增长,分析与决策的复杂度也在上升,进而导致威胁检测与响应时间上的挑战。

但如今响应时间就是一切,因为公司企业必须接受自己终会被攻破的事实。这就让公司企业在可产生过多误报的过度检测与导致漏报的检测不足之间坐立难安了。而且,检测、分类、响应和必要时升级威胁事件的人才需求,还在进一步恶化本就极度短缺的安全人才供应现状。

AI,更确切的说,机器学习和大数据分析,被认为是走出这一泥沼的通途——因为AI可以做到人们用SIEM难以做到的事,也就是自动化快速关联并识别异常。问题在于,AI不是一种标准化技术,而是一组概念和算法,人们很难区分市面上主打AI牌的产品到底是不是概念炒作。

如果非要给AI重新定义一下,或许叫“增强智能”更合适。人工智能这个概念太容易被误解了。

真正与SOC相关的部分,是大数据结合AI来辅助分析。

除了响应,AI的另一个重要好处,是可以学得更快(或者说,是可以学习)——说回到我们上面提及的未知威胁问题上了。网络攻击一直在进化,运用各种不同方法找寻并利用漏洞,但这种进化终归是渐进式的。如果可以用AI分析器来理解这些微小改变中蕴含的深层模式,防御者就能发现跟上攻击进化脚步的方法。

异常响应

究其核心,SOC安全有赖于异常识别——发现不正常或非预期的孤立数据点。工具、过程、人力响应等等全基于此。但异常不仅仅各网络、各设备、各系统不同,还是不可避免的。个别用户的大部分异常行为,或其产生的网络流量,往往都是完全无辜的。反而正常流量中也可隐藏有攻击者滥用被盗特权凭证所制造的异常流量。传统边界安全方法非常难以发现这种异常,因为此类顶着特权凭证保护伞的异常流量看起来完全合法。

想要在SOC中有效使用AI,需要建立起综合考虑各种因素的基线以识别异常。理论上,有必要基于多个数据点而非单一用户或资源来建立基线。AI的强大之处在于,可用于定义基线和偏离值的数据点在理论上是没有任何限制的。

AI引入的是学习的能力,也就是随时间进程不断调整这些参数的能力。AI将能分辨出这些异常是否是安全团队需要关注的。但如果安全人员突然发现有异常是误报,那AI系统就应反馈给分析系统,告诉分析系统此类异常是预期行为,不用报告。

这其中不可替代的一个角色,是人类决策者,包括从检测、响应、缓解到高级取证的各层人才。AI可以向他们报告问题,但还不能告诉他们该怎么做。

AI不是神,搞不出机器全权接管网络防御工作的神奇转变。它就是个工具,人类才是那个永恒的决策者,利用机器智能提供的分析来做出更快更好的决策。

AI本身不是安全问题的答案。人类应该用学习系统反馈进推理引擎和分析器。概念上而言,数据分析器和AI能提升数据分析的速度。是否启动网络响应计划的最终决策权,在SOC经理手上。

SOC新世界

所有这些都没真正阐述清楚AI到底怎么搞定SIEM难以解决的问题——简单添加传感器和安全层可能导致更多警报,增加SOC的评估和响应负担。如果没有一定的参考点,安全经理如何判断哪些警报需要跟进而哪些直接无视就好?

而这,正是用户行为分析(UBA)和更新的用户及实体行为分析(UEBA)的长项所在。对UEBA而言,最重要的不单单是基线的概念——所谓的可供识别异常的“正常”,而在于这是建立在与网络用户及账号相关联的行为基础之上。

用户监视可不是什么新概念,早已存在多年,但近年来兴起的机器学习赋予了它各种可能性,增强了用户监视对于SOC的效用。与基于规则的系统不同,UEBA利用机器学习的基线建立过程,可随用户的行为变化调整对用户行为的整体认知,更深入地理解用户行为。如果需要的话,这一原则还可延伸到应用程序和设备上。

这简直就是为机器学习量身打造的工作:这种应用场景里,安全分析就是简单地将各种算法应用到另一种大数据难题上而已。而机器学习,正好是大数据沃土里成长的树苗。不过,虽然概念听起来都很明智合理,此类系统却还只是出于发展初期阶段,它们的有效性还需经由处理现实世界安全事件来体现。

SOC防御者有时间来完善UEBA,但鉴于时代的变迁和威胁的升级,留给他们的时间或许不像有些人想象的那么多。

上一篇:七大IoT漏洞

下一篇:IPv6、AI、AST:看看山石网科一口气推出的三款安全新防具