RSA2019热点研讨会重点:安全大脑、威胁检测、DecSecOps

由中国计算机学会主办,中国计算机学会计算机安全专业委员会、360集团、绿盟科技承办的第十一届信息安全高级论坛美国RSA2019热点研讨会于4月16日在北京举行,对今年的RSA大会的一些热点议题进行了解读。安全牛记者到现场,对今年RSA热点的总结进行了了解。

8.jpg

从论坛的讨论内容中可以发现,在今年的RSA大会,有以下热词值得关注:

一、安全大脑布局
360AI安全研究院负责人李康从布局的角度,分享了关于国外大厂对安全大脑的方向。

李康表示,由于攻击者可以通过一条很长的攻击链进行攻击,从防御者的角度来看,如果能够获取多维度的数据,联系攻击上下文,就能够更清晰地追踪攻击,进行防护——这就是安全大脑的意义。

在会议上,李康分享了三个案例。第一个是就谷歌解决方案Chronicle Security产品的数据来源进行了分析。其中,谷歌的数据来源有三个方面:直接从新的方向获取、替换以及扩展。在这个案例中,李康认为谷歌利用了自身基础设施的强大能力,从而可以通过安全的上下文快速发现威胁。另一方面,谷歌的收费模式也是另一个吸引企业的特点——根据企业的规模进行收费,使得更多的小型企业能够负担得起起世界一流的安全能力。

第二个案例是微软的Microsoft Security Graph API。对于使用大量不同安全产品的企业,安全管理人员需要为不同产品编写API接口,而微软的Microsoft Security Graph API则提供了统一的编程语言解决这个问题,并且进行管理。

第三个案例则是思科对自身各类安全产品的连接点——思科的Talos团队。Talos将防火墙、EDR、IDS等不同安全能力结合到一起。而另一方面,思科从路由器起家的公司,可以从网络层获取大量的用户行为数据,在用户有安全需求的时候,进行分析与防护。

在这三个案例中,大厂商在安全大脑的布局都有一个特点:根据自身的能力建立生态,给潜在客户一个 “非我莫属” 的理由,然后利用自身的生态构建多维度数据。因此,安全大厂不能只是在单一产品上深挖,更需要对不同能力进行联动,才能构建完整的安全大脑布局。

9.jpg

360AI安全研究院负责人李康

评:安全大脑是一个体系化的建设,而非单一化的产品。大厂需要找到自身独特的巨大优势,在该优势下建立属于自己的安全生态体系。从这次的分享中可以发现:协同、联动、多维度、生态,是安全大脑的四个关键词。
二、数据驱动的威胁检测
阿里巴巴集团风险能力中台资深算法专家周泰分享了他在RSA的演讲内容——如何构建数据驱动的威胁检测体系。

在这个体系当中,首先对数据进行预处理,消除对于正常数据的干扰。在这一过程中,需要过滤占比最大的正常数据,获取真正的异常数据。以HIDS日志过滤为例,在输入HIDS系统日志后,输出内容为主机异常的行为记录。在这一过程中,根据不同的日志对象,有不同的考虑要素,然后根据相对应的指标进行量化。

第二步根据第一步中获得的黑数据与灰数据利用统计模型进行攻击行为检测。事实上,由于异常行为不等同于攻击行为,因此灰数据会给模型带来不精确性,在这一步中,需要进一步过滤灰数据,从异常行为中识别更像攻击行为的数据,从而更“纯”的黑数据。否则,如果灰数据也被归入统一建模,在使用中会产生大量的误报。

最后,利用事后关联提升检测能力。这一过程中,会在第二步的基础上构建基于图的攻击场景发现和告警优先级评估。由于异常行为产生的告警往往是单一类型的告警,并且无法与其他事件关联,因此构建关联图与告警优先级,可以从低准确率告警中过滤出高置信度事件,从而从孤立的告警事件中还原出完整的攻击场景。

评:机器学习和人工智能需要在不同的环境进行不同的落地。在阿里提出的威胁检测体系中,由于我们需要的是检测威胁行为,而不只是判断行为是否正常,因此需要的过滤的是正常数据,而不是异常数据。基于针对异常数据的建模,更有效地发现攻击行为,减少误报问题。
三、DevSecOps
在DevOps的开发流程中,安全越来越受到重视。因此,DevSecOps的需求越来越高。青藤云安全COO程度就DevSecOps的解决方案进行了分享。

在DevSecOps的解决方案中,当下比较核心的是AST应用安全测试。功能之一是对代码的检查,在开发流程就对加入对代码的安全检查,以确保代码安全。这包括在开发阶段通过不同的静态、动态与交互测试,发现风险薄弱点。而在生产环境的运维过程中,则是对攻击进行发现与阻止。

另一方面,由于开源软件越来越普及,软件供应链安全需要被注意。开源软件面临着漏洞以及证书两个问题。在DevSecOps过程中,针对开源软件安全的解决方案会在未来进一步发展。

程度同时提到,容器大大推进了DevOps的发展。相对的,DevSecOps也需要意识到容器安全的重要性。对于容器的安全,首先需要减少攻击面,因此,对容器的需求只要满足 “够用即可” 就行。第二,不仅要保证容器自身的安全,也需要保障容器镜像与配置的安全。另外,容器的安全需要做到更加颗粒度的管理——在微隔离的基础上,进一步做到微微隔离(Nano segmentation)。最后,对容器的要做到实时的安全监控。

评:安全并不是在业务上线以后才开始,而应该贯彻整个产品、业务的生命周期,即从开发开始就需要安全的防护。在DevSecOps的过程当中,需要结合多种技术,针对代码本身、容器、供应链,包括人员等多个维度进行保护。
在本届论坛上,绿盟、深信服、山石网科与安恒信息也分别就安全威胁模型看新技术的发展、人工智能、零信任与机器学习以及网络安全资产管理进行了分享。

安全牛评

在本届信息安全高级论坛上,演讲嘉宾为我们分享的不止是国外的最新趋势,同时还有大量自身的观察和感悟。在安全越来越重要的今天,我们需要更多的分享和交流:不仅仅是从技术角度,也需要从理念、方法、架构来看待。在会议上,嘉宾的内容不仅仅有从新的角度看“老热词”的分享(如“人工智能”),也有对未来趋势的解读(如“安全大脑”)——两类分享都为我们对安全有了更深入的理解。


QQ代刷网

发表评论 取消回复

电子邮件地址不会被公开。 必填项已用*标注