安全“望樓”的黑科技

李勤

不知道你還記不記得“烽火戲諸侯”的故事，在古代，烽火臺會根據不同的敵情傳遞不同顏色、濃度等形式的狼煙，完成最原始的情報監(jiān)測和傳遞。到了《長安十二時辰》里，情報監(jiān)測和傳遞的黑科技玩得更溜了：長安城108坊，每300步設1望樓。遍布整個長安的瞭望塔，樓上的兵卒時刻俯視街面；如發(fā)現(xiàn)任何異常，立刻向臨近望樓傳遞信息，一樓接一樓，片刻即可傳回靖安司總部，呈于李必面前。有的觀眾不服氣了，這都是馬伯庸和編劇瞎編的：“望樓在唐代是有的，但它只是野戰(zhàn)時軍營里搭建的瞭望塔，一般是由木頭搭建的。電視劇里的情節(jié)應該是作者虛構的，它可以起到瞭望作用，但不叫望樓，也沒有那么復雜的信號系統(tǒng)。”好吧，雖然歷史上的“情報的監(jiān)測與傳遞”沒有電視劇這么酷炫，但“情報監(jiān)測”演化到現(xiàn)代企業(yè)的攻防對戰(zhàn)中，可要比電視劇華麗多了。13年前，有一家叫作網神的安全公司推出了國內最早的安全管理平臺（SOC），那會兒傳統(tǒng)SOC 經歷了“烽火臺”一般的初期發(fā)展，主要對企業(yè)的安全日志進行分析，然后促進一下合規(guī)管理。 “烽火臺”——傳統(tǒng) SOC 慢慢發(fā)展，10年后，2016 年奇安信（網神母公司）推出了其中一個“迭代版”——新一代態(tài)勢感知與安全運營平臺（NGSOC）。NGSOC 終于達到了比“劇版望樓”更黑的黑科技成就：應用大數(shù)據、威脅情報、流量分析和機器學習等多項新技術，對海量日志實現(xiàn)存儲計算、高級威脅檢測及響應處置閉環(huán)。而且，它是能動手就絕不嗶嗶的實干派。奇安信集團大數(shù)據與安全運營公司總經理馬江波稱，NGSOC 更重要的是支撐實戰(zhàn)化的安全運營工作，經過了200多家企業(yè)實際使用的蓋章認定。在一次實戰(zhàn)化攻防演練的過程中，NGSOC 作為部分政企機構的安全攻防作戰(zhàn)平臺，發(fā)現(xiàn)了數(shù)百起攻擊行為。至此，你可以把它理解為，這次“劇版望樓”終于運用到了現(xiàn)實生活中。

放羊的孩子也很難

這要從企業(yè)資產中數(shù)據越來越值錢開始說起。自打黑客和內鬼紛紛認識到了數(shù)據的重要性，他們的黑手就伸過來了。里外都有黑手盯著自家寶貴的數(shù)據，企業(yè)也很頭疼，一旦重要數(shù)據因為網絡攻擊或是意外事件而泄露，將會導致組織的數(shù)據資產和聲譽遭受嚴重損失。這是第一個需求。第二，外部攻擊越來越厲害了。厲害到什么程度？以前，可能只是小毛賊黑客單兵作戰(zhàn)，現(xiàn)在他們的攻擊越來越組織化——黑客組團出擊，分工明確，目標長遠，現(xiàn)在在網絡上已形成了制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺銷贓、洗錢這一分工明確的網上黑色產業(yè)鏈。企業(yè)已經不能夠再像以前一樣防御這種武器和黑客的進攻，單純地被動防守已經扛不住了。監(jiān)測、防御、響應和預警得一條龍跟上來，主動地發(fā)現(xiàn)自家的薄弱之處，實現(xiàn)主動防御。而第三個不得不面臨的大環(huán)境是，新的法律法規(guī)明確提出了安全監(jiān)測預警的要求。不是嚇你，捅了婁子就要被警察叔叔抓進去，就問你擔心不擔心？企業(yè)可能面臨這種終極困擾的人生哲學：你說得都對，但是到底什么是主動防御，什么是監(jiān)測、防御、響應和預警形成閉環(huán)？我們以兩類處置方法進行對比：第一種，聽到了狼的叫聲，狼好像朝這邊過來了，放羊的小孩自己干不過狼，他想直接去叫村里的防衛(wèi)隊過來，但沒有權限，人家說一個小孩懂什么，萬一不是狼你聽錯了怎么辦？當然是要聽村長的命令。小孩只能去找村長，誰想到村長正在開會，誰也不能打擾，等到村長開完會找人處置時，羊圈已經被掃得一干二凈。第二種，狼來了，村里安置了報警器和各種自動的陷阱，狼一踏進來就被捉了?！斑^去攻擊來了，判斷后你要找一個安全研究員，把防火墻再加強，這個周期非常長，現(xiàn)在檢測出攻擊以后，第一反應就是阻斷，一鍵響應，自動給防火墻下指令，阻斷這個報警，這就是一種主動防御的能力?！瘪R江波說。另一層主動防御是，小孩長大了，具備了自己分析判斷的能力，可以自己進行不太復雜的判斷，減輕村長判斷的負擔，只有在情況比較復雜時才需要村長出馬?！癗GSOC把調查的上下文為安全分析的人準備好，比如相關的流量，甚至終端日志的多維度關聯(lián)，讓安全分析員的效率有很大的提升，這是一種主動。”馬江波說，在這錯綜復雜的分析中，一部分是自動處置，其他依靠人工，但這已經大大減輕了安全分析員的工作量，但在本質上，要建立以人為中心的安全監(jiān)測預警體系。

高階“望樓”也有難處

說了半天，還是需要高級分析人員的參與？是的，但我們先看看NGSOC還能為人做些什么。馬江波稱，NGSOC建立在大數(shù)據技術架構之上，運用 Hadoop、Spark、ES等大數(shù)據組件，解決海量數(shù)據的采集、存儲和計算的難題。傳統(tǒng)的數(shù)據庫只能處理億級數(shù)據且查詢速度在分鐘級，以前可能安全分析人員抽了根煙回來，平臺還沒算完，但現(xiàn)在NGSOC支持分布式大數(shù)據架構，可以處理百億級數(shù)據，查詢速度達到秒級，這是第一個技術創(chuàng)新點。第二個創(chuàng)新點是，將威脅情報和全流量分析技術引入安全運營平臺。第三個是搭載首個分布式事件關聯(lián)引擎，關聯(lián)引擎每秒可以處理高達10萬條安全事件，支持彈性業(yè)務擴展，也就是說將兩件看上去沒什么關系的事情挖個底朝天，結果發(fā)現(xiàn)了其中的勾連，就好比讓人的思維發(fā)散式延展，平臺自動幫你呈現(xiàn)其中的關系，建立精準的模型。馬江波提到，NGSOC是重服務的——以人為核心的安全運營服務，但是一般企業(yè)哪有那么多經驗豐富的高級分析人員？NGSOC的客戶屬于政企端，客戶將大數(shù)據嚴嚴實實地揣在懷里，要想通過第三方供應商運營分析數(shù)據，很多客戶猶豫了。但是，總體上高級運營分析人員數(shù)量有限，到底分配給誰？馬江波原來想的是，在每一個省建立一個一級運營中心，大概配備10人的高級分析團隊，在市級設立二級駐場分析人員，因為這些政企單位在省和市的內部通道可以打通，那么，二級的數(shù)據可以流向一級，一級的分析能力能流向二級，這樣的模式能從一定程度上打消客戶的顧慮。這種模式目前還在試行中。但是，NGSOC 運營服務的終極思路還是“云端運營”：實現(xiàn)30%—40%的云端運營，客戶有疑問時，派高級分析人員實地“上課”。面對謹慎的客戶，馬江波還想再勸說一下：“如果甲方慢慢認可這種模式，其實對他們的響應效率、能力的提升、成本的降低都有幫助的。真正運營起來需要的是人才，人才不足的情況下，企業(yè)也應該解決人才匱乏的問題，為什么我們不做呢？我覺得不光對乙方好，對甲方也好?！盢GSOC在為這種終極思路鋪路：奇安信在青島和綿陽的安全人才培訓基地招募了很多種子選手，計劃在2019年培養(yǎng)超過1500名安全服務工程師。“現(xiàn)在這些種子選手像學徒一樣進入中心和高級的人才在一起。如果能夠堅持下來，他們不就慢慢從初級變成中級了嘛?！痹谌瞬粔蚝图毙枞说拿芟?，NGSOC 的另一個目標是自動化響應。馬江波說，這事馬上就提上日程，2020年上半年，NGSOC計劃推出SOAR組件。除了人和工具，企業(yè)要想真的用好安全運營平臺，日常隨手拎出潛伏的妖魔鬼怪，還要靠自己。睿智的將軍看清了一切，做好了神勇的決策，但是調動不了士兵作戰(zhàn)，這是將軍的悲劇，也是大廈傾覆的前兆。