隨著企業(yè)信息安全管理的不斷深入和成熟，我們發(fā)現(xiàn)在對企業(yè)的信息數(shù)據(jù)進行安全層面的防護和治理過程中，對數(shù)字資產(chǎn)進行抽絲剝繭式的分類處理以及構(gòu)建關聯(lián)分析模型讓企業(yè)發(fā)現(xiàn)了新的業(yè)務端口，這種新收益對企業(yè)用戶來說十分珍貴，而且安全數(shù)據(jù)的威脅建模技術和響應處置手段在這一過程中發(fā)揮了重大作用，但仍有不足，因為現(xiàn)階段大多數(shù)企業(yè)的安全數(shù)據(jù)處理能力并不能將資產(chǎn)的全部價值挖掘出來，所以企業(yè)在對威脅檢測和響應處置方面也面臨著許多挑戰(zhàn)，本期《牛人訪談》，我們邀請到了日志易安全產(chǎn)品技術總監(jiān)施澤寰先生，針對數(shù)據(jù)在采集、清洗、檢測、響應等方面的技術特點以及未來發(fā)展進行了深度的解析與專業(yè)分享。

　　日志易安全產(chǎn)品技術總監(jiān) 施澤寰

　　一、隨著企業(yè)業(yè)務數(shù)字化程度的不斷加深，企業(yè)數(shù)字資產(chǎn)也在成指數(shù)增長，數(shù)字資產(chǎn)的安全防護已經(jīng)變得越發(fā)重要，您認為現(xiàn)階段企業(yè)用戶在日志、數(shù)據(jù)的處理和安全檢測方面面臨哪些挑戰(zhàn)？

　　施澤寰：在實際工作中，企業(yè)一般會采購不同廠家的安全產(chǎn)品，構(gòu)建自身的安全防御體系，這也導致了需要采集的數(shù)據(jù)類型繁雜，所以一般我們前期需要根據(jù)規(guī)劃（比如根據(jù)網(wǎng)絡區(qū)域，安全風險，威脅場景等因素），對不同類型的數(shù)據(jù)（像安全設備、網(wǎng)絡設備、系統(tǒng)日志、應用日志以及流量等數(shù)據(jù)）進行采集，并在完成相關數(shù)據(jù)采集之后，再對數(shù)據(jù)進行范式化。而在范式化的過程中，如果沒有內(nèi)置的解析規(guī)則以及靈活的解析能力，就需要對相應的數(shù)據(jù)源逐個進行解析，這會耗費大量的實施時間，從而導致在上層應用場景的分析/交付上投入不足。

　　結(jié)合日志易實際經(jīng)驗，我認為日志處理和安全檢測是一個包含全數(shù)據(jù)采集、數(shù)據(jù)清洗、數(shù)據(jù)存儲查詢、數(shù)據(jù)分析、威脅建模等一系列環(huán)節(jié)在內(nèi)的威脅統(tǒng)一管理的全過程。其面臨的挑戰(zhàn)主要有三個：

　　一是（用戶環(huán)境中的）數(shù)據(jù)采集以及清洗等日志基礎處理能力的不足。這直接影響到安全威脅檢測模型的構(gòu)建。在很多環(huán)境下，我們看到在進行了日志統(tǒng)一管理之后，實際效果并不突出，可能最終只是淪為了一個日志存儲平臺。安全數(shù)據(jù)資產(chǎn)得不到真正有效的挖掘和利用，深層價值凸顯不出來，因此對于安全數(shù)據(jù)資產(chǎn)的深度管理和有效利用是目前日志統(tǒng)一管理所面臨的一個挑戰(zhàn)。

　　第二個是告警噪聲太多。隨著企業(yè)安全管理與防御體系的不斷發(fā)展，即使是一些中小企業(yè)，每天各類安全設備/系統(tǒng)產(chǎn)生的告警數(shù)據(jù)都是數(shù)以萬計的，在如此量級的數(shù)據(jù)下，難以通過人工的方式，逐一進行響應處置。同時，也需要從噪聲（安全設備所產(chǎn)生的誤報）中去提取真正的攻擊行為，所以通過基于聚合、統(tǒng)計、關聯(lián)分析以及安全場景等模式構(gòu)建威脅檢測模型，與外部數(shù)據(jù)（如情報數(shù)據(jù)，資產(chǎn)信息，漏洞信息等）進行匹配，提升告警精準度是解決這一挑戰(zhàn)的有效途徑。

　　第三個是安全人員缺乏。隨著企業(yè)安全管理與防御體系的不斷發(fā)展，絕大部分企業(yè)安全人員負責的工作內(nèi)容也不斷增加，除了各種設備的維護，日常的日報、周報以及月報等，安全合規(guī)管理，項目管理等已經(jīng)耗費大部分人力，更遑論進行常態(tài)化的安全運營（如威脅檢測、威脅分析以及威脅響應等）。所以這也是目前MDR市場逐步火熱的一個原因。當然，自動化響應也是企業(yè)解決上述一些重復性安全工作的一種解決方案。

　　我們目前已經(jīng)在SIEM安全大數(shù)據(jù)分析平臺中，內(nèi)置了解析規(guī)則庫，支持國內(nèi)外主流的設備/系統(tǒng)的數(shù)據(jù)預處理，也支持多種解析方式（如正則解析，劃選解析，KV解析，XML解析，JSON解析，數(shù)據(jù)脫敏，自定義規(guī)則解析，字段補全等方式），可大大提高數(shù)據(jù)清洗的交付效率。同時，我們還基于不同類型、不同品牌的安全相關數(shù)據(jù)，定義了一套數(shù)據(jù)標準，統(tǒng)一對數(shù)據(jù)進行范式化。

　　日志易SIEM安全大數(shù)據(jù)分析平臺邏輯拓撲

　　二、針對上述問題，目前行業(yè)中有哪些SIEM類安全大數(shù)據(jù)分析平臺解決方案？這些產(chǎn)品都有哪些特點？

　　施澤寰：以日志易的安全分析平臺為例，它是基于自研的高性能搜索引擎（Beaver）的威脅檢測、響應與分析平臺。Beaver可以滿足企業(yè)用戶安全大數(shù)據(jù)搜索和安全威脅建?；A需求，并提供了安全態(tài)勢，威脅處置，調(diào)查分析，資產(chǎn)管理，漏洞管理，規(guī)則管理，任務管理，情報管理等能力。基于歷史長周期數(shù)據(jù)以及實時數(shù)據(jù)，針對企業(yè)內(nèi)外部威脅進行檢測、分析以及響應，并通過自動化能力，幫助用戶減少發(fā)現(xiàn)/響應威脅的時間，提高安全運營效率。

　　業(yè)界有個術語叫做“威脅狩獵”，指的是安全人員產(chǎn)生假設，進而圍繞著這個假設，對安全數(shù)據(jù)進行主動分析與驗證。一般由某個告警事件/異常事件，如用戶權限發(fā)生變更（可疑提權）為出發(fā)點，展開調(diào)查分析，又或者因某個指標異常，如DNS請求數(shù)激增、DNS子域名字段熵值激增，進而展開威脅狩獵。日志易的安全分析平臺基于自研搜索引擎Beaver，并通過SPL（Search Processing Language）靈活及迅速地完成某類威脅的狩獵。SPL語言是專為實現(xiàn)對日志這種非結(jié)構(gòu)化數(shù)據(jù)進行搜索、分析而開發(fā)的處理語言，它實現(xiàn)了數(shù)百個SPL函數(shù)及指令，全面覆蓋日常安全分析工作的需要，并對接了多種機器學習算法，以實現(xiàn)安全場景的異常檢測。

　　無論是邊界突破、還是內(nèi)網(wǎng)橫向移動等不同場景下的攻擊，都可以通過SPL中的不同函數(shù)對相關的安全數(shù)據(jù)進行分析處理，從而發(fā)現(xiàn)可能存在的異常；此外，日志易安全分析平臺，還具有圖分析功能。通過把企業(yè)用戶的安全數(shù)據(jù)以及相關的信息，如資產(chǎn)信息、漏洞信息，可視化為一個攻擊關系圖，從而去發(fā)現(xiàn)一些可能存在異常的實體。這些實體可能是一個IP、一個主機、一個用戶或者是某個域名等等，然后再對這些實體進行展開進一步的調(diào)查，去發(fā)現(xiàn)威脅告警、異常事件與其關聯(lián)性，實現(xiàn)對安全威脅與風險的探索與調(diào)查分析。所以日志易的特點在于基于自研的自研搜索引擎Beaver，通過SPL（Search Processing Language）與圖分析為用戶提供靈活的安全分析與威脅建模能力，實現(xiàn)不同維度安全數(shù)據(jù)（安全設備告警，流量、主機日志，應用日志，情報信息，資產(chǎn)信息以及漏洞信息等）的關聯(lián)，從而探索企業(yè)網(wǎng)絡中可能存在的異常事件，并進行攻擊鏈路回溯。

　　三、市場上現(xiàn)存的各類安全分析平臺產(chǎn)品主要基于了怎樣的分析和威脅檢測規(guī)則？

　　施澤寰：首先，我們把數(shù)據(jù)類型概括為兩個維度，一個是網(wǎng)絡維度，如來自防火墻、WAF等網(wǎng)絡、安全設備的數(shù)據(jù)；以及HTTP、DNS、TLS、SMB、DHCP等協(xié)議的流量數(shù)據(jù)；另外一個是端點維度，如主機系統(tǒng)日志（Linux/Windows/AIX等），HIDS/EDR的數(shù)據(jù)，基于特定的安全場景、不同的數(shù)據(jù)源可生成不同的規(guī)則。我們的安全分析平臺威脅檢測規(guī)則庫主要基于1000+的規(guī)則場景庫，而且規(guī)則庫也是基于外部態(tài)勢、項目實踐以及安全研究，不斷進行更新迭代。

　　而目前市場，主要有黑名單檢測與白名單檢測兩種思路。黑名單檢測思路一般以聚合、統(tǒng)計、關聯(lián)分析（特征匹配，情報關聯(lián)、時序關聯(lián)等）作為規(guī)則場景的主要落地模式。例如：當在某個安全設備（如WAF或IPS）發(fā)現(xiàn)了一個攻擊來源，未知攻擊者采用通過該IP地址發(fā)起多次不同類型的漏洞利用嘗試，雖然從告警結(jié)果上看都未成功，但是此時發(fā)現(xiàn)被攻擊的對象（資產(chǎn)），此后在某段時間后（這里的時間周期定義需要衡量）出現(xiàn)了一些異常行為（比如出現(xiàn)新的賬號或原有賬戶出現(xiàn)權限變更等行為），那么從攻擊角度上看，有可能出現(xiàn)WAF Bypass/IPS Bypass等（小概率事件）的情況，那么兩個事件之間會存在關聯(lián)性（指的是多次漏洞利用嘗試與賬戶異常行為之間），可以將其配置為關聯(lián)規(guī)則，當觸發(fā)告警時，值得我們更加關注。所以這種安全場景就屬于一個威脅檢測規(guī)則。

　　另一種白名單檢測思路，一般有異常檢測模式。一般來說，在企事業(yè)單位中，大部分的事件（比如系統(tǒng)層上發(fā)生的事件、網(wǎng)絡層上發(fā)生的事件）都是屬于正常事件。而異常事件，一般都是小概率事件。我們需要去發(fā)現(xiàn)這些小概率事件，如執(zhí)行不常見的命令，出現(xiàn)不常見的父子進程，第一次出現(xiàn)的進程，第一次出現(xiàn)的賬戶，靜默賬戶（比如30天沒登錄行為）出現(xiàn)第一次活動等，所以也需要基于歷史的數(shù)據(jù)構(gòu)建正?；€，之后再與實時數(shù)據(jù)進行對比，進而發(fā)現(xiàn)異常行為，這也是目前一類規(guī)則場景的落地方式。

　　四、請您結(jié)合自身實際經(jīng)驗，談一談在安全運營中，自動化響應和人工響應應該如何配合？目前在企業(yè)中比例分配如何？

　　施澤寰：基于我們的研究與實踐，我們認為自動化響應實現(xiàn)的前提是要確保告警的準確度，威脅檢測模型要能夠輸出精準的分析，然后再將這些告警交給自動化響應平臺（或者說模塊）去處理。如果告警的誤報率很高，噪聲很大，這種情況下做自動化響應是沒有意義的，反而會影響到業(yè)務。所以，SIEM是實施SOAR的前提。

　　目前的安全事件自動化響應過程是怎樣的？舉個例子，當平臺檢測到了邊界區(qū)域一個WEB類的攻擊事件（比如某個簡單場景：某個源地址發(fā)起多次SQL注入或某個源地址發(fā)起多種不同類型的攻擊向量）后，能夠自動地針對這一攻擊事件中的源地址進行情報查詢判斷，并智能地根據(jù)情報查詢結(jié)果，判斷該攻擊IP是否已經(jīng)被標記為惡意標簽；如果它被標記為惡意標簽，并且已經(jīng)在平臺封禁列表中，系統(tǒng)則結(jié)束響應流程；如果不在平臺封禁列表中，則再進一步判斷，該IP地址是第一次出現(xiàn)還是此前出現(xiàn)了多次，并根據(jù)它出現(xiàn)的頻率智能化、自動化地聯(lián)動邊界安全設備實現(xiàn)不同時長的封禁，這是一個常見的的自動化響應過程。

　　而人工響應主要是指通過人工來針對一些不在自動化安全知識庫（或者說不存在對應的Playbook）中的安全事件或者說一些可疑線索進行響應處置。人工響應也包括了分析工作（類似于前面提到的威脅狩獵），因為這是一個基于不同安全場景下，分析各種問題并做出決策的過程，而從我們看來，自動化響應前期需要人工響應的驗證，判斷某類安全事件是否可以采用固化的自動化分析響應流程，同時也需要企業(yè)單位各個部門（比如由安全部門主導，業(yè)務相關部門，網(wǎng)絡相關部門參與）之間去進行評審，對流程無異議后，便可形成自動化響應流程。

　　所以自動化響應和人工響應之間的配合，以現(xiàn)實環(huán)境來看，很難達到對所有的安全事件都進行自動化響應。而自動化是由人工分析響應衍生出的產(chǎn)物，人工響應始終具有重要意義。具體的分配情況，在具備安全運營相關技術與流程制度的前提下，我們認為80%的安全事件應該交給自動化響應流量進行處理，人工專注于20%的安全事件的深層關聯(lián)分析與響應。

　　五、市場上的主流安全分析平臺產(chǎn)品都是如何實現(xiàn)流程編排和自動化響應（SOAR）的，其技術路線是什么？

　　施澤寰：國外SOAR市場相對國內(nèi)市場較為成熟，目前我們看到主要有兩種技術路線，一種為以Case Management為目的，以Splunk Phantom為代表，一種是融合了Chat ops的理念，也衍生出如作戰(zhàn)室的功能，以Demisto（被Palo Alto收購，改名為Cortex XSOAR）為代表，但其最終要達到的目的都是相同的。即降低對安全事件的處置時間，提高響應效率。

　　其中Case Management的方式來看，以Event（事件）和Case（某個事件或者某些事件形成的）作為驅(qū)動，通過定義好的Playbook（劇本）來實現(xiàn)整個流程的自動化響應。這種技術路線實現(xiàn)層級和理念也非常明確，更接近一種決策思路，所以要實現(xiàn)SOAR的能力，也就是要具備可視化流程編排（通過拖拉拽的方式，快速定義劇本）、組件化（應用管理）能力和任務管理能力。

　　從架構(gòu)而言，第一層級是劇本（Playbook），其中包含了流程的決策步驟（如過濾、判斷、格式化以及人工審核等基礎能力）和應用組件（如某類安全設備的某個接口，自定義的API接口）；第二個層級是應用，即集合了某個產(chǎn)品的所有接口，可在Playbook中提供選擇調(diào)用；第三個層級是動作（Action），即對應著具體的某個接口，比如情報查詢接口、IP查詢接口；第四個為資產(chǎn)，比如說企業(yè)中部署了10個防火墻，這就是10個資產(chǎn)，在編排Playbook的時候，需要定義和哪一個資產(chǎn)進行聯(lián)動；第五個層級為用戶，系統(tǒng)在對資產(chǎn)進行聯(lián)動的時候，需要安全設備上一個有相應響應權限的賬戶去進行聯(lián)動。

　　而在聯(lián)動的過程中一般會有兩類動作，一個是“讀”的動作，一個是“寫”的動作?！白x”的動作就是通過接口從安全設備或其他第三方系統(tǒng)中獲取信息；“寫”的動作就是通過接口，往安全設備或其他第三方系統(tǒng)添加/更新/刪除新的策略，比如說，把某個IP地址寫到防火墻的黑名單中以此來實現(xiàn)對惡意IP的阻斷，通過用戶來實現(xiàn)權限控制。

　　第二種路線其實與第一種殊途同歸，融合了Chat ops的理念。在某個安全事件發(fā)生之后，在對其進行響應處置過程中，需要增強各個部門之間或不同人員之間的協(xié)作，并能較為智能地推薦合適的處置動作。這種路線就是將這一邏輯和理念延伸到SOAR中來，其實就是結(jié)合攻防對抗歷史經(jīng)驗，通過加強安全體系中各個產(chǎn)品和模塊之間的主動調(diào)用和深度配合，來實現(xiàn)更智能的自動化響應。

　　六、您認為未來安全響應處置的發(fā)展趨勢是什么？會有哪些新的發(fā)展特點？

　　施澤寰：未來安全響應處置從我們的研究與實踐情況來看，還是會朝著自動化與智能化的方向發(fā)展，應用場景（不僅僅只是一系列的分析判斷后，去封禁IP/鎖定賬戶）也會越來越豐富。而且隨著安全編排與自動化響應的發(fā)展會幫助安全人員從重復性的安全運營工作（比如威脅管理）中脫離出來，讓安全人員能把更多的精力投入到安全分析層面的工作中去，由此來發(fā)現(xiàn)一些潛在的或者威脅更大的安全風險，這種風險對企業(yè)造成的危害性往往會更大，所以我們也認為，對威脅狩獵場景的探索也會進一步深入。

　　同時，自動化響應也可以更加智能。舉例來說，平臺在觸發(fā)告警之后，可以基于過往同類型的案例進行綜合評估，為用戶推薦一個合適的處置策略和解決方案。所以，在我們看來，自動化和智能化是未來安全響應處置的兩個發(fā)展特點。

　　安全牛評

　　為了應對類似于對抗性機器學習的高級復雜威脅，企業(yè)需要采用更高級的解決方案。日志易一直致力于研究數(shù)據(jù)及日志信息的智能化處理，通過自研的高性能搜索引擎和SPL語言滿足企業(yè)用戶的大量數(shù)據(jù)搜索和安全威脅建?；A需求。使用大數(shù)據(jù)及人工智能的方法，對日志信息中隱藏的威脅進行智能檢測與自動化處置，實現(xiàn)更快速的安全威脅檢測和響應，提升了企業(yè)安全運維團隊的工作效率，對企業(yè)的安全發(fā)展提供了一個高效的解決方案。