RSA:威胁情报追求精细化、人工智能走入产品化

2017-02-18 09:49:00 作者:ym 分类 : 比特网

  美国当地时间2月17日,被称为安全行业风向标的RSA Conference 2017在美国旧金山落幕,360企业安全集团天眼产品总监沈华林在回顾本次RSA时认为,在威胁分析、威胁情报、人工智能和机器学习等多个方面今年RSA都呈现了一些值得关注的新趋势和新方向。

说明: C:\Users\xuchuanchao\Downloads\沈华林2.jpg

  图:360天眼产品总监沈华林

  威胁分析越来越重要,结合全网数据成方向

  从RSA看,业界现在越来越关注威胁分析,并把威胁分析提升到了企业安全运营的一个很重要层面。

  结合全网数据的威胁分析:威胁分析已经成为大数据安全分析、高级威胁检测一个非常重要的点,结合全网数据的威胁分析成为一个方向,比如IBM的Waston in QRadar就是结合全网数据来做的,它会从互联网上博客、论坛等地方把专家意见拉过来,将这些专家的意见结合到事件分析中,结合全网的数据和一些专家意见,可以提高分析的深度和分析的相关性,把整体事件的全貌还原出来。

  重视场景分析:RSA有一个主题演讲关注基于人的行为的攻击链分析,这个演讲的关注点都在场景分析上,其基本意思是不光要知道这个威胁是怎么回事儿,还要非常清楚地知道整个的攻击场景是怎么回事儿,攻击链条是怎么一回事,它的来龙去脉是什么样的,分析的时候要把整个攻击的链条还原出来。

  微软的sysmon、初创公司SentinelOne的attack story都是基于场景的分析,重视场景化分析也是360天眼在产品化当中重点考虑的方面。攻击事件不再是一个孤零零的事件,它应该有一个全貌,把整个黑客的攻击链条还原出来。在威胁分析的全网数据结合方面,360已经通过云数据把全网数据都结合在了一起,在新版本的NGSOC中,最重要的一个能力就是场景分析,在其中定制了大量的业务场景分析的各种story在里面。

  人工智能和机器学习进入产品化

  在今年RSA上,人工智能和机器学习开始进入产品化,比如Splunk推出了Aktaion组件,就是做机器学习分析的,它通过机器学习处理业务数据,能逐渐去学习业务数据当中哪些业务出现异常,然后直接报出来。

  Splunk提到很典型的一个场景是如何检测勒索软件,勒索软件会有下载阶段、数控阶段、数据传输、感染等不同的阶段,不同的阶段,它的网络行为和本地行为的那些数据、日志是不一样的,通过机器学习,利用海量的正向样本和恶意样本的分类,就能够分出哪些是属于勒索软件的行为。就可以发现谁感染了勒索软件、哪些勒索软件可能已经要开始起作用了,提前感知到,然后去做一些判定。Splunk在机器学习和人工智能方面最关注的是误报率,通过对算法的调整,已经可以很好地对某些场景,比如勒索软件做到低于千分之一的误报率。

说明: C:\Users\XUCHUA~1\AppData\Local\Temp\WeChat Files\862235712532082528.jpg

  图:IBM的森从网上和本地数据中获取专家分析结果,应用到SIEM系统中

  另外一个典型的例子就是上面提到的IBM的沃森,之前沃森在医疗方面已经成功应用,在安全方面沃森可以学习所有安全专家的意见,收集安全专家在Twitter、博客等发表的意见,尤其是在一些新型攻击发生时安全专家的意见至关重要,把这些东西形成一些专家的报告,通过人工智能学习的方式把它给结合进来,就能够给本地的数据带来一定的帮助。安全运营平台的目的是把安全专家处理的步骤自动化,不仅仅是内部的安全专家,还有全网的安全专家都能够去结合起来为我提供服务。沃森的思路本身是很好的,但相对而言,沃森的产品化的效果还是有待观察。

  360的NGSOC组件里的流量探针也已经使用了机器学习技术,在检测基于服务器端的攻击,以及基于网络攻击这方面,通过机器学习去做相关的判定,相关的检出率和误判率都已经达到了比较满意的效果。

  威胁情报成为必需品后,开始追求精细化

  从RSA看,威胁情报已经成为一个必需品,不仅仅必须要有威胁情报,用威胁情报去连通整个环节,而且开始更多的关注怎样选择适合的威胁情报,订阅威胁情报时需要去评定它,需要知道自己的行业需要什么样的威胁情报,威胁情报的质量开始成为安全运营中关注的重点。

  现在的威胁情报很多,但是不同的行业用户需要的威胁情报是不一样的,比如说能源行业、教育行业关注和政府行业关注的威胁情报是完全不一样的。360已经在这方面进行了一些实践。比如威胁情报在与防火墙结合落地的时候,中小企业根本就不关注什么是APT,而更关注于勒索软件、泄密行为或者病毒木马等普通的威胁,但是政府机构会很关注APT,所以360会针对中小企业用户的防火墙和政府机构的防火墙推送不同的威胁情报。

说明: C:\Users\XUCHUA~1\AppData\Local\Temp\WeChat Files\55761698199865600.jpg

  图:Fireeye报告中对SOC的好坏进行了评定的曲线

  Fireye在RSA上发了一个报告,对于SOC平台的好坏进行了评定,他在批判不好的SOC平台的同时,也提出了什么叫成熟的SOC平台。Fireye给出了一条曲线,在这条曲线越低级的时候,出现的误报会越多,用户就会疲于应对误报问题,不能发现一些真正有效的攻击。Fireye认为,越是成熟的SOC平台,越是成熟的安全运营团队,就会更关注于威胁情报,也会关注于威胁分析。通过威胁情报去精准地产生一些有效的线索,帮助用户去进一步做扩散,通过威胁分析去进一步扩散出来。

  360去年推出了NGSOC(下一代SOC),相对于传统SOC最大的不同可以帮助企业回溯历史,因为对于企业来说回溯历史的成本是最高的。所有的事情只会发生一次,如果没有把数据记录下来,不对历史数据去做回滚分析,就无法做出评定。如果有了这些历史数据再去评定威胁情报就容易很多,直接通过历史数据回放就可以看到,知道当时发生了哪些攻击事件、通过威胁情报能够曝出多少,这可能也是最佳的威胁情报的评定方式,实践是检验真理的唯一标准。

最近更新
科普

科普图集
带着朋友和机器人上月亮散步

带着朋友和机器人上月亮散步>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。