近年来,随着数字化和信息化的蓬勃发展,新技术和新应用的普及带来了无处不在的信息和数据流,同时也带来了复杂的网络安全风险。面对更加复杂的攻击手段,传统的被动安全防御手段已经不能满足企业的安全需求。如何以更加智能、主动的安全技术和产品,快速感知、主动捕获、预测、动态对抗安全威胁,已经成为当前企业的核心需求。
面对越来越多的网络安全威胁,SOAR技术应运而生,帮助企业更快速地应对安全事件。Gartner将SOAR的概念定义为安全编排、自动化和响应,即安全编排、自动化和响应。它以流程编排和自动化技术为核心,帮助安全团队加快紧急响应速度。
在安全运营领域,翱翔科技以其在安全自动化响应方面的独特优势,引起了业界的极大关注,但同时也听到了正反两方面的声音。有人认为网络安全和攻防对抗离不开“可持续安全运营”,腾飞是安全运营发展的必然方向。SOAR可以极大的缓解安全运维人员因误报带来的工作量,被视为解放安全运维人员的福音。但也有业内人士认为,虽然SOAR概念很火,但在国内处于炒作和试水阶段,安全厂商在落地层面拿不出好的实践案例。
为了探讨国内企业用户对安全运营的真实需求,以及SOAR技术在国内的发展和落地,《安全419》邀请了上海武智智能科技有限公司CTO傅奎分享自己对安全运营的理解,以及武智智能围绕SOAR技术所做的探索和实践。
关于雾旗情报:
迷雾智能成立于2019年。其核心成员主要来自唯品会、小米、千寻、华为等甲方公司非常重视网络安全。其业务方向主要集中在将人工智能与真实应用场景相结合,通过提高自动化水平帮助企业解放生产力。
由雾旗智能打造的HoneyGuide智能风险决策系统,是业内首个以AI+SOAR为核心的安全协同作战平台。通过虚拟作战室、AI机器人和可视化脚本布局,帮助安全团队加快威胁响应和处置速度,提升运营自动化,实现风险自适应治理。产品已广泛应用于政府、银行、证券、运营商、石油石化、电力、互联网等多个行业。
为什么说SOAR是打通安全运营最后一公里的关键技术?
傅奎告诉我们,在2019年决定加入武智智能团队创业之前的十几年,他一直在一线安全岗位,在运维工作中感受到了作为安全工程师一点一点成长的高负荷工作压力。
他和我们分享了一个他亲身经历的典型安全紧急情况:
临近午饭时间,大家刚要放下手中的工作去吃饭,公司的安全监控系统突然报警,显示服务器被黑了。发现攻击后,安全团队第一时间启动安全响应流程,开展应急响应工作。他说,当时保安队有6个人,事发当天只有4个人值班。最关键的一个关卡,负责主机安全的同事正好请假,一个人要兼顾多份工作。最终用了40分钟止血,用了4个小时复工,重组业务流程,才解决了这个攻击问题。
他说,在安全工程师的日常安全操作中,经常会出现这样的应急响应场景,每次应急响应的处理逻辑几乎都是一样的。但每次应对的技巧、方法和经验,由于涉及的人或状态不同,很难传承。“在甲方的安全建设工作中,最现实的一个问题是,安全人员的在职状态、安全专家的技术水平都是可变因素。很难保证企业遇到的每一次安全事件都会有同样经验和水平的专家来处理,也很难保证个人每次都发挥出高水平。这些都是不可控的。”
在当前网络安全形势下,企业网络边界不断扩大,企业用户面临的安全威胁日益复杂,攻击者的攻击手段更加自动化和智能化。在这种情况下,传统的基于安全专家的人工应急响应模式,在实际攻防作战中很难赢得时间窗口。
“另一方面,过去20年,企业用户的安全建设以安全增强和安全保障为主,从安全检测、加固和预防开始安全建设。所以,今天你可能可以很快找到一个安全事件,但是你要想在很短的时间内处置这个安全事件,还是面临很大的挑战。在我们发现攻击并触发大量警报后,我们不得不问自己:这些警报得到及时处理了吗?”
因此,面对企业的这一实际问题,SOAR布局和自动化技术的价值得到了极大的凸显。它可以使安全人员通过可视化的安排,将知识、经验和专家能力快速沉淀到一个可视化的脚本中。当下一次事件发生时,这个脚本可以自动应对突发事件,并可以根据企业自身的发展情况及时调整、整理和复制重用脚本。因此,在他看来,翱翔科技将是打通安全运营最后一公里的关键技术。
他说,“从甲方的安全建设来看,之所以很难提高自身的安全能力,是因为过去甲方的安全过于依赖个人专家的能力和水平,而个人的安全经验很难传承。当这些专家离开后,几乎相当于从零开始重建安全响应流程。但是,如果有一个可视化的脚本来帮助沉淀这些经验,让每个安全专家团队不断优化响应脚本,那么安全事件响应的级别就可以一直保持在较高的水平,并有所降低。
说到安全运维,报警和误报是安全运维中不可回避的话题。众所周知,处理海量报警信息已经成为一线安全运维人员在日常工作中面临的最大挑战。高误报率给很多安全运营团队带来了说不尽的麻烦,安全运营人员淹没在海量的工单中,花费大量的时间和精力在验证报警的真实性上,大大降低了安全运维的效率。
傅奎表示,大部分安全产品都是基于某个特定的环节来解决问题,在单个节点上只能准确检测到一个异常行为,但在单个点上是注定无法看到安全事件的全貌的。“当IDS检测到攻击时,并不一定真的意味着黑客已经成功实施了攻击,或者即使攻击真的发生了,也有可能被攻击的目标设备并不存在攻击利用的漏洞,属于无效攻击。在一个安全事件中,有很多种上下文信息需要安全运维人员结合更全面的信息和整体业务逻辑进行判断,以验证该报警信息是否为虚警。”
在他看来,早期SIEM产品的出发点是收集多个安全产品基于事件的报警信息,进行关联分析。但是在后期的开发过程中,今天很多做SIEM、SOC、态势感知的厂商,都把重心转移到了单个异常行为的检测能力上,并没有真正做到企业业务场景下各种安全事件的有效关联分析。究其背后原因。第一,过去业内没有这方面的意识。二是安全厂商相互隔离,下游安全产品没有对外开放API接口,导致SIEM产品无法从其他安全产品获取数据。上游安全系统发布的日志缺乏统一标准,导致关联分析困难重重,最终难以发挥其价值。
傅奎表示,调度自动化技术的出现,正是为了有效解决这一困扰安全运维人员的难题。“调度自动化技术的原理是,当上游报警信息出现时,SOAR产品可以通过调度的方式帮助安全人员自动联动下游产品,包括入侵检测、情报系统、杀毒软件等安全产品,以及资产管理系统和内部HR系统。通过收集各种信息,可以帮助安防人员判断报警信息是否准确,通过这种方式提高报警的准确性,降低安防运维的噪音,减轻大量工单覆盖的压力。”
企业数字化安全运营三部曲——从消防到量化风险计算
采访中,傅奎分享了雾签智能提出的一个安全运营理念。他说,武智智能把企业的安全发展分为三个阶段:快速止血灭火,清家富量化风险,最终走向数字化、指数化的安全运营。
傅奎给我们打了个形象的比方:“比如一个交通事故受了重伤的人来医院,医生不能说你平时要多锻炼,出门骑车要戴护膝和头盔,注意路况等等。这个时候说这些是不合适的,所以首先要解决的是救命止血的问题。止血成功后,医生会立即送病人做CT和全身检查,确定病人身体的所有指标,测量器官的健康状况,包括红细胞和白细胞,甚至需要实时监测病人,看心跳、血压等指标,然后继续给出下一步的治疗方案。网络安全运营也是如此。”
在快速灭火止血阶段,CSO和企业的安全团队首先要做的是利用不同的产品、方法和技术,快速解决已经发生或即将发生的安全问题,首先解决灭火工作。
火灾扑灭后,安保团队立即需要尽快清理家庭财产,实时清理企业网络中的各类信息和资产,构建全息实时资产动态图。只有在评估下一次安全事件爆发时哪些资产会受到影响,哪些资产受到影响后会受到关联性影响的基础上,才能进行安全运营。
傅奎说,“做完止血和清理家庭这两个步骤后,无论是安全团队还是安全运营官,都会马上遇到新的问题。如何考核安全工程师的效率?他们是否尽到了第一时间处理所有安全事故的职责?如何说服CEO在汇报报告时认可过去安全工作的价值?对于任何一个组织来说,组织的一切活动都是围绕业务来进行的。如果业务不存在,那么安全性将毫无价值。因此,安全运营最终要服务于企业的业务运营,安全运营要通过可量化的指标与业务相关联,体现安全运营的价值。”因此,雾智能认为,数字安全运营的最后一部分应该侧重于帮助企业量化风险的计算。
他表示,在安全这个维度上,企业CEO往往更关注整体信息安全的风险系数,以及一个安全事件会给业务造成多大的损失,从ROI的角度来评估安全价值。因此,在给用户的安全运营和建设方案中,雾签智能会显示当前内部的安全检测能力、应对安全事件的耗时、平均处置时间等。以监控视图的形式,从而帮助企业管理者衡量自身安全团队的安全能力指标。同时,在量化风险决策方面,通过货币财产的损失来呈现安全风险,告知企业管理者当前可能面临的安全风险,以及你下一次安全损失的概率,让企业管理者更加直白清晰地认识到安全的价值。
”武陟认为,这是企业安全建设必须经历的三个阶段。在完成快速止血灭火、实时清理家庭财产、量化风险这三项基本能力后,企业才能真正进入安全运营状态。安全是一个永无止境的东西,安全的最终归宿是保持动态平衡,持续的安全运行必须是组织安全建设的最终方向。”
据他介绍,对应企业数字安全运营三部曲的不同阶段,武智智能分别打造了AI+SOAR产品HoneyGuide、智能资产管理系统AssetWise和即将发布的量化风险计算产品,分别解决安全事件快速响应和智能资产数据管理及风险量化的痛点和需求。
站在甲方的角度——打造一线安防人员普遍呼吁的好产品。
谈及自己在翱翔科技的优势和独到之处,傅奎认为主要体现在三个方面:甲方互联网公司的创始团队、AI技术能力的落地、领先行业水平的工程能力。
正如我们之前在介绍雾智能时提到的,雾智能的创始团队都来自Fair、小米、千寻、华为等公司傅奎认为,甲方企业多年的一线就业背景,以及让雾旗智能团队更贴近客户安全运营的视角,把自己放在思考一线安全人员所思所想的位置,用最接地气的实践经验解决一线每个人面临的困境和问题。
在AI技术能力的落地层面,雾签智能利用AI机器学习中的迁移学习方法,打造了业内首个具备NLP自然语言处理、OCR图像处理和ASR语音识别能力的NLP机器人,极大提升了SOAR产品HoneyGuide。在傅奎的演示中,安保人员可以直接与智能机器人雾宝宝互动。该机器人可以像“天猫精灵”一样进行语音交流和对话,识别安保人员发出的语音指令,进行相关安保操作,协助安保人员快速开展应急处置工作。
他介绍,除了协同作战的场景,雾旗智能的AI能力在剧本自动编排的场景上也得到了很好的落地。当安全事件发生时,HoneyGuide产品会根据安全人员的操作历史,主动推荐脚本安排或动作,并根据过去的上下文、事件、处置场景等情况,对脚本相关动作进行关联分析,使基于脚本的安全应急响应更加顺畅便捷。
在工程能力上,武智智能团队核心技术人员的互联网职业背景和各大电商平台的技术开发基因,决定了其整体RD能力和工程架构能力领先于行业水平。“作为一名正式的RD军,我们非常熟悉最新的技术架构和RD概念,自然有能力了解各种主流的开发流程和技术架构。所以像业内大家关心的高可用、高并发、容器化部署、支持国产新创设备等要求,武智智能做出来的产品都能轻松实现,这是武智这样专业的技术团队的优势和自信。”
在具体产品层面,傅奎表示,在打造HoneyGuide产品之初,雾智能就特别关注和强调AI增强的人机协作和自动化协作能力,并将其投入到剧本布局中。相比业内一些厂商改造电子流系统、采用开源流程系统的做法,雾旗自主研发的自动编排引擎显然具有更强的扩展性和编排能力,可以实现画布编排、后台调度、动作执行、AI处置等场景的安全编排自动化技术。
在解释产品命名时,傅奎解释说“蜜导”源于自然界中一种鸟的命名。非洲草原上生活着这样一种鸟。经过几十万年的进化,它们已经和人类达成了非常默契的合作关系。当人们听它的声音时,他们可以找到一个大蜂巢。找到蜂巢后,会给它们一些蜂蜜。这只鸟很乐意与人保持这种合作关系。
所以,雾签智能也希望这款产品能像“蜜导”一样,在未来成为IT、运营、安全相关人员的智能队友,与他们一起工作。
解决底层协议隔离和API不开放的问题是SOAR技术的下一个突破口。
最后,回到SOAR科技未来在中国发展趋势的话题,傅奎也分享了自己的一些看法。他表示,相比国内安全市场,国外SOAR技术落地更快,主要是因为国外安全厂商本身提供了规范的接口和文档,为新技术的落地提供了更成熟的环境。
而在国内市场,没有可调用的API接口,没有规范的标准文档,底层协议不互通,成为历史遗留问题。阻碍了SOAR产品与上下游安全产品的衔接,导致产品在具体落地过程中面临诸多挑战,实现跨厂商、跨产品交互需要耗费大量精力。
在他看来,开放意识和生态的缺失是当前国内安防行业面临的重要发展瓶颈。“作为这个生态中的安全厂商,我们应该在构建产品之初就考虑开放和协作的问题。任何产品未来都会涉及到与其他系统的交互,所以我们需要考虑我下游需要什么能力,上游需要什么能力,我要向别人开放什么API?只有提高行业的开放意识,建立更加开放的生态,提供更加开放、规范的通信方式和协议,中国的网络安全市场才能迎来更好的发展。”
但同时他也表示,国内安防市场已经出现了良好的发展趋势。一方面,从外部驱动力来看,相关主管单位和行业协会正在积极推动互联互通和标准化的建立;另一方面,从企业发展的内生动力来看,新一代安全厂商正在抛弃传统游戏。如果传统的安全厂商继续固步自封,他们最终会在客户的环境中被取代和淘汰。在他看来,新一代安全厂商的加入将迫使潮流朝着正确的方向转变。
谈及未来的发展规划,傅奎表示,作为新兴的安防厂商,武智智能希望通过创新的技术手段,将AI和自动化技术精准地投入到真实的应用场景中,用更接地气的方式解决客户面临的需求和痛点。
“我们雾智能希望尽可能走一条创新的道路,用更前沿的方法和手段来解决传统安全无法解决的问题。人们常说,安全是一个非常依赖经验的行业,但在我们看来,经验是一把双刃剑。经验的确可以帮助你更快的处理和应对,但是经验之外的问题,传统思维很难解决。所以,雾签的做法就是引入一些新的人才进入行业,包括数学人才、数据分析人才、AI研究人才,用跨学科的能力解决传统安全看不见的问题,引领行业创新,摆脱传统安全思维的束缚,用新的方法打破顽疾,带领整个行业不断创新,做出更多新的尝试”,傅奎最后说道。
#网络安全#
