杂谈威胁情报:说说观测问题

围观次数:362 views

DSC04226

 

【1】引子

 

南城的人听北城的朋友说,雨从北边来,南城的朋友抬头感受着来自北面的清风,考虑着,出门要不要带把伞呢?

 

【2】预测不靠谱

 

威胁情报本身没有预测的意义在其中,它只强调观测和专家式的推理 ,至少我是这么理解的。

而态势感知才是在进行着整个人类都难以颠覆的一个事实 —— 尝试去预测。

 

为什么说预测是难以颠覆的事实?因为一直到前几天我才知道,其实气象台对暴雨的预测准确率只有20% 。

天气预报作为一项全世界人类最大的逆天预测活动,在持续了一个多世纪之后就是这种结果。说实话,一时间我还真有点接受不了,这个事实都快逼得我去信上帝了。

而现在,互联网普及到发展了不过二十几年,人类对庞大数据的积累和认识也只有几年的情况下,他们会说:因为我有庞大的数据,所以我可以预测未来。

 

呵呵。

 

【3】观测只是基础

 

显而易见的是,观测这个动词本身就意味着“看到”而不是“想象到”。

看到就意味着事实 —— 当然,你要是较真跟我讲《黑客帝国》那一套我也肯定说不过你。

而观测却只是基础,最终我们想要的一定是,现有基于事实的观测,再有根据观测进行推理。

 

就好象IDS里看到了扫描,就意味着可能有入侵行为或病毒等事件正在发生(虽然更多情况下是因为误报)。

所以,此处应有专家出现。

 

多数观测并不是通过简单的推理和看似事实的事件组合在一起就能形成结论的 —— 好像IDS误报的扫描一样。

我查了一下关于天气局部预测的相关知识,虽然我完全没看明白,但我也知道了一个基本结论:北城下雨且有北风向南吹,但仍然有可能会出现南城整天滴雨未降的情况。所以引子里看似必然的结果,其实在气象专家眼里就未必是那么确定了。

 

因此,观测是专家系统的输入:观测结果 (输入)—-> 专家系统(专家)—-> 推理结果(输出)。

推理结果是否可作为情报,应该是和专家有相当大的关系的,所以这些年来,舆论里被调戏最多的也是砖家和叫兽们。

另一方面,正是因为专家这层神秘的过程,所以简单的观测+专家的输出看起来似乎变得神秘,神秘的好像是在预测未来一样。

但说的更直白一些,无非就是一些普通人没有注意到的事实和一些普通人不具备的知识组合在一起的结果摆了。

 

【4】现在的观测有什么不同?

 

既然是“有扫描就意味着这是入侵前奏”这么简单的原理,那么,重新捡起一套IDS似乎观测数据源的问题就解决了。

但实际上并非如此,毕竟,距离最早一批 IDS至少已经过去17年了(SNORT诞生于1998年),很多形态和思路到现在已经不再适用。

现在形势下,观测的基本原则应是不以关注目标为核心点的事件发现、分析和处理能力,这种情况下需要考虑更多的维度。

而现形势下,最需要关注的就是观测的广度,因为现在攻击事件的内在关联已经变得极其复杂。有一些攻击是因为目标系统防御严格而使用曲线救国的方式(例如Stuxnet),而有一些则是攻击覆盖面过于宽广而被殃及池鱼(现在很多日志里能看到失败或是成功的一次性payload)。

当然,有广度就需要有深度,深度主要是自我认知的深度,说白了就是知道自己有什么东西、东西在哪、长什么样、变化情况如何等等。

 

【5】历史数据是否还重要?

 

现在普遍的来说,安全圈子里无论是谈到推测、预测或是感知,都会想象基于历史数据而进行分析,从而形成对未来的预测或感知能力。

所以,现在就沦为了历史数据积累,积累到要吐的时候才发现,其实并没有什么卵用,于是只好画几张图飞来飞去来展现自己积累的这些不是垃圾。

那么,历史数据是否真的重要?

在以前的文章里我已经说过,对历史的分析不是意味着历史数据自身的有效性,而是因为人性从未改变,任何历史数据都是人产生的,如果将未来即将产生的事件也视为一种数据的话,那这份数据一定还是由于人所产生,那么人所产生的未来(数据)一定能在历史(数据)中得以挖掘和展现 —— 但问题就在于,这只是臆想而已。整个过程其实忽略了很大的问题就是:“数据是结果,人性才是产生数据的驱动力“。

过分的关注结果而没有考虑结果到驱动力的逆推过程,这样的历史数据积累,除了最后拼存储单位意外,也难以找到更多价值。

 

【6】观测有什么好处?

 

首先需要承认的就是,在自打安全风险的概念出现之初,我们所在讨论的就是“降低风险”而不是“消除风险”。

威胁情报为“观测”这件事赋予的意义其实也是类似的,也就是说,牺牲局部保全整体其实是一个不错的办法。利用局部地区观测到的问题将其通过专家系统放大转换到其他具有某种相关性的系统范围之内,然后进行预警、防御等决策的推进。而如果运气好的话,很多时候这些被牺牲掉的局部甚至可能与你无关 —— 也许你看见隔壁老王家被盗了,赶紧换了跟他家不一样的锁芯。

 

另外一方面,就是评价结果相对更为鲜明。

因为观测得到的一个初步结果就是“已发生在局部的事实”,而对于这样一个事实是否会影响到其他区域,其评价指标是比较容易设计和衡量的。

对于纯粹消耗资金的安全事业来说,这是一个伟大的创举。

 

【7】其他

 

其他什么的,我也想不到了,就这样吧。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助