那些曾经的圣杯 – RSAC2016随笔之二

围观次数:493 views

25452379776_a3e63beebb_k

今年RSA大会国内去了不少人,怎么感觉热度马上就过去了?这些年来,安全的范畴其实一直在不断扩展。应用安全,十年前只有少数人在谈论,如今已经无处不在,而新出现不久的RASP已经对老一代技术显现替代效应。现在,反欺诈等新兴方向的厂商已经出现在展区,代表着未来三年多个高速成长的领域。此趋势对从业人员是极大的利好,但也需要我们不断开拓自己的眼界并尝试创新,不能总盯着传统那老几样。

创新,是RSAC永恒的主题。所有厂商都在寻找那还在传说中的下一座圣杯,期望压准赌注一飞冲天以获得惊人的巨额回报。而每个参会的从业人员也会细心揣摩,期望能发现蛛丝马迹以破译别人的创新密码,就算不能独树一帜地领先也至少不要落后太多;而国内惯于照搬炒作的模式更需要去深入钻研到至少能博眼球说动投资者。笔者也不能免俗打算说说有关未来安全的灵感。某些文章罗列抄来的关键词,那不是讨论趋势,只是回收旧货罢了,都被用到毫无新意了怎么可能还是创新呢?不过在那之前,让我们先看看那些曾经被无数人钟情的“圣杯”。

大数据安全分析

好吧,这个带有魔力的名词“Big Data”,在过去半年多里遭受了前所未有的打击,终于在本届RSA大会上显露溃败迹象——所有演讲主题中从未出现过!即使演讲者偶尔提起,也都是下面幻灯片的腔调:

HP the base rate fallacy

最新的Gartner技术成熟度曲线里不再有“Big Data”身影,意味着大数据不再会被关注跟踪并吸引那么多视线。不仅如此,Gartner还毅然决然抛出观点:“Data is dumb. Algorithms are where the real value lies.”(数据是哑的。算法是真正的价值所在。)“数据廉价且自身无所作为,算法驱动价值,算法决定行动。”

准确地说,数据分析已经是当今所有安全技术都会用到的基础,大数据还将发挥不可替代的重要作用。但是,近几年大数据安全分析平台的实践,并没有给用户安全水平带来实质性的突破:花了不少钱,投入了不少时间,学习曲线缓慢冗长,误报居高不下,未知威胁照样检测不出。所以,在一些安全水平发达已经踩过坑的地区,厂商都不好意思拿大数据安全分析平台说事。没有针对场景的打包好的机器学习和数据挖掘算法,用户连试用都不乐意。

曾几何时,大数据被当成解决安全问题的银弹。期望越高,失望越大。采集海量垃圾数据,加上5年前SOC时代的关联技术,除了垃圾检测结果还能有什么?只有真正利用人工智能技术的案例才会出彩并被认可。这不,HPE的CTO又把去年FIRST会上令人眼前一亮的DNS检测恶意域名威胁的成功实例拿出来在keynote里讲:

HP DNS Data Analytics

微软Azure的CTO利用机器学习侦察异常地理位置登录的议题也十分精彩。

RSAC-Azure-CTO-0

简单基于规则的异地登录识别,必然会造成用户体验急剧下降:侦测到每天2.8亿的可疑登录尝试肯定有很多误报如何处置?!那些输出电商安全能力的创业公司,如果只靠目前的技术水平,必然会遇到巨大瓶颈,亟需引入机器学习能力。

RSAC-Azure-CTO-1

题外话,今天看到朋友圈里晒YC第二天的项目,其中之一是用人工智能AI写销售邮件。虽然没看详细资料,但粗粗想来,说穿了就是为了应对同样使用机器学习的垃圾邮件过滤器。相同的技术迟早会被黑产用来突破邮件防御。在未来,AI对抗和作战已是不可避免,没用AI的就做好准备疲于奔命吧。

正如Gartner在技术成熟度曲线里用机器学习代替大数据一样,安全行业里的大数据一词也被玩坏了,不过这也是价值的正常回归。

威胁情报

说到价值回归,曾经的“圣杯”威胁情报也在经历此痛苦过程。首先是赞助了RSAC胸牌袋的Norse瞬间崩溃解体,引来坊间无数侧目和评论;紧接着又冒出同领域创业公司或融资或出售的估值远低于半年多前的预期的新闻。好吧,明眼人早看出来“威胁情报”迟早要被拉下神坛,只是采集、聚合、或简单产生、但没有解析生产能力的厂商肯定会难以为继。

本届RSAC上厂商也是互喷不断。挖掘论坛和暗网漏洞交易信息的厂商被吐槽成是做新闻剪报的,所谓黑客社区情报看着挺热闹,实际充斥着吹牛和谎言,分析人员初步接触时看着好玩,后来慢慢就开始觉得无聊,很难落在实处帮助企业提升安全水平。而IOC这样诞生时间不长业界曾觉得高大上的威胁情报也槽点多多。

ioc-erotion

此幻灯片上罗列出的问题其实都是表象。拿OpenIOC来说,笔者感觉从设计之初就是应急处置技术人员自己日常工作的简单总结,没有高屋建瓴的架构,缺乏管理思想指导,局限于发现零散的入侵事件,欠缺把威胁作为整体考虑以进行有效防御部署的意识。威胁情报标准还是需要高水平的专业机构牵头组织,只靠一线响应人员显然难以从全局进行管控,所以后来STIX一经推出便受到广泛欢迎,已成为事实上的标准。STIX的价值远远不止作为格式标准那么简单,笔者建议每个安全从业人员都要仔细学习。

ioc-size

先不说这办法能不能行得通,这文件数量规模谁能有办法部署到企业中去?在数据量急剧上升的今天,散列指纹情报能起的作用相当有限。

笔者一直认为,只有嵌入业务流程的威胁情报才能在市场生存。当然,这是较难的挑战,需要超越现有普罗大众所认知的情报体系,想得更深,做得更进一步,才能避免浮于表面。例如笔者曾经设计过一套针对钓鱼活动的情报应用场景,已得到非常正面的市场反馈。具体就不展开讲了。本次RSA大会上,也看到一些用户有类似的思考:

visa-1

笔者一直认为集成自动化分析能力的情报生产平台才是威胁情报厂商的核心竞争力。例如下图美国能源部建立行业情报共享平台的尝试:

intelligence-platform-2

其实这也暗合Gartner关于数据和算法的论断,立志于威胁情报事业的看官可以仔细思考思考。

热点太多,话题太广,时间太短,笔者总感觉还来不及回味和沉淀,RSAC就已经过去,随便写写的篇幅就足够长了。只写些大路货内容实在对不起订阅本公众号的各位看官,但是各种限制又不能写得太深。如感兴趣更多RSAC话题,敬请期待本篇后续:下一座圣杯?

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助