自从2015年,中国互联网安全大会首次提出“数据驱动安全”的技术理念后,在过去的两三年中,越来越多的网络安全从业者倾向于乐观的认为,大数据安全技术辅以人工智能技术,可以大大减轻人的繁重工作,实现威胁发现与响应的自动化,甚至有可能逐步取代人类的安全工程师岗位,或者是大大降低安全从业者的技术门槛。由于今年的人工智能热,这种想法显得更为普遍。
在本届ISC2017的大数据与威胁分析论坛上,与会嘉宾们纷纷表示:人,才是大数据安全技术应用过程中,最为核心的要素,大数据安全技术只有与人工分析相结合,才有可能在实践中发挥真正有效的作用。
北京大学信息科学中心副主任袁晓如老师在介绍可视化技术在威胁分析中的作用时指出:可视化技术的关键就是讨论人如何在其中发挥更重要的作用。袁晓如举了一个例子,近期一次可视化大赛中,其中一道赛题为:一个自然保护区中鸟类的数量变少了,根据过去一年中保护区内车辆行使的记录,让参赛者找出鸟类较少的原因。
袁晓如介绍说,通过对车辆行使数据的可视化呈现,以及层层剥丝抽茧的人工分析,最后,发现,原来是有工业区的卡车定期向保护区的湖水中倾倒违禁化学品导致了鸟类减少。袁晓如在分析这个案例时说:有一些问题,靠机器是分辨不出来的,只能靠人的分析。比如,车辆为什么会这样行使,为何会在这个时间行使,这些规律和异常的发现,都需要依赖于人的经验与知识积累,而不太可能一开始就全部教会机器。
安全牛主编李少鹏在介绍新一代SOC的技术趋势时,也提到了人的重要性。他介绍了某家安全厂商的一个实际案例:该厂商在给客户部署新型SOC时,就直接把一个安全工程师部署在了客户现场,因为厂商的工作人员发现,甲方在采购新的SOC时,其实已经有了一套旧的SOC。但是,由于甲方严重缺乏安全人员的,也没有安全分析人员,所以放在那儿的一套新SOC和一套旧SOC都用不起来,所以效果也不好。
阿鲁巴网络高级工程师、大数据分析师杨超,在介绍UEBA技术的最新发展成果时,分析了大数据安全分析人才的短缺问题。他介绍说:有统计显示,现在网络安全人才缺口约六十万;但对于UEBA技术而言,单单只是安全人才是远远不够,还需要是大数据方面的人才,机器学习的人才等等;即便在硅谷这样的IT人员的圣地,这样的聚合型人才也是少之又少。
360观星实验室高级研究员李中文在会上介绍了两个因未能正确使用大数据分析系统和威胁情报而险些造成严重误判的案例。前一个案例中,企业的安全管理人员判定自己遭到的是一场单独的撞库攻击,结果深入调查后却发现是一个黑产团伙仿冒了该企业的官网;后一个案例说的是企业以为自己遭到了DDoS攻击,结果深入调查才发现,是黑产制作了短信轰炸机从而给该企业的网站带来了莫名的注册量。这两个案例说的都是企业的安全管理人员因单凭经验主义而产生了安全盲区,最终形成了误判。这也从反面说明了人在网络安全活动中的重要地位。
除了人的重要性外,本届大数据与威胁分析论坛还重点研讨了纵深防御、态势感知、威胁情报和UEBA等议题。
思睿嘉得创始人董靖指出:纵深防御有很多被扭曲的设计,其结果往往是单纯的增加了边界的厚度而已。但随着技术的发展,纵深防御现在看来是非常有效的体系,在现在这种新的技术环境下,纵深防御已经打开了很多的门,有很多的可能,不管是从检测,还是响应等各个方面,都会有很多可以做的事情。此外,董靖还认为:真正的新的检测技术本质上都是数据分析的技术。
360威胁情报中心高级研究员韩志立在会上介绍了态势感知领域的研究前沿。韩志立认为:有些人往往会把态势感知当作一种产品,或者说一种平台的建设,而其实态势感知更倾向于是一种安全能力的建设,可能并不是由你买了某一个产品,或者说你引进了某一个安全技术,你就可以获得这种态势感觉能力了。态势感知能力的建设,可能是需要通过一系列的安全体系的建设,以及你在安全运营上进一步完善。
中国科学院信息工程研究所的姜政伟和李强介绍了一套威胁情报的质量评估体系。以往威胁情报的质量没有评估,这就给厂商、用户和运维管理人员都带来了很大的困惑。而姜政伟等设计的威胁情报质量评估方法,则是在用户的视角下,从:价格,功能、性质和数据特性,信誉和资质,服务,以及其他特性等方面对威胁情报的质量进行评估。同时,姜政伟也指出了当前做威胁情报的质量评估有三个难点:
第一个是指标的选取和量化有困难;
第二个叫屁股决定脑袋,你的视角也影响你选取的维度;
第三种是业务主管,可能他们所看重的维度都不太一样。