360韓永剛：整合與生態是大型安全運營的必由之路

編者按

隨著網路安全的發展，效率已經成為了安全運營最重要的指標之一。為了提升效率以及其他相關能力，技術整合與生態合作成為了RSAC2018上各大廠商的重要籌碼。作為SOC領域資深專家，360企業安全集團副總裁韓永剛分享了他對終安全運營以及SIEM領域趨勢、方向的思考和判斷。

2018年的RSAC註定是不尋常的一屆！

2017年以來，有太多過去從未發生過的安全事件類型。當以WannaCry為代表的勒索病毒席捲全球，讓安全從業者措手不及：原來攻擊者不再需要拿走你的數據，也能達到他們的目的。不過，從另一個角度來看，「亂世出英雄」，安全從業者可以大聲說：「嘿，夥計！是時候讓我表演真正的技術了。」

我們需要審視我們的安全體系建設，去建功立業。我想，這也是為何在RSA2018的keynotes上，微軟也提出了「安全第一（Security First）」的理念。這與我國提出的「安全是發展的前提」如出一轍。

眾所周知，今年的創新沙盒冠軍得主是BigID，即便它的技術還不夠好（單從官方宣傳來看，這樣一個做數據保護的創業企業，甚至都沒有提及UEBA）。因為很大程度上，BigID是沾了熱點賽道的光，畢竟GDPR和Facebook事件在全球都有著巨大的影響力。

反過來看創新沙盒的另一個入圍者Awake Security，雖沒能最終獲獎，卻頗受安全業內人士的關注。我想，這主要因為Awake試圖去解決困擾眾多安全從業者的難題，如何更高效的做好安全運營，把安全團隊從大量的告警處理中解放出來。從技術角度上來說，應用流量的數據分析能力，人工智慧介入分析決策，自動化（Automation）機制，正是一線安全人員所需要的。

所以在RSAC2018上，你會發現不論是老牌的SIEM系統的提供商，還是在UEBA，Incidence Response這類專業領域起家的新公司，都在向更完整的安全運營系統這個方向不斷努力，很多一些前兩年還是新興概念的領域，正在不斷的落地，成為標配，並形成「整合（Consolidation）」系統的組成。

我嘗試用技術的角度來闡述安全運營與SIEM的發展：

1

安全分析中位能力成為核心。RSAC2018的Session專題演講環節，就專門設置了「Analytics, Intelligence & Response」的板塊。安全分析方法中，用戶與實體行為分析（UEBA）這兩年一直是熱點領域，進一步發展成為SIEM系統的重要組成。在過去的一段時間裡，SIEM領域的巨頭，都通過收購與自研，不斷增強UEBA能力。這主要是因為一方面基於非規則的行為分析，確實給了安全分析甚至未來的業務安全分析，注入新的活力。儘管人工智慧演算法雖然還不能作為普適性網路安全分析方法，但確實可以解決很多特定場景的問題。另一方面除了外部攻擊問題的發現，內部威脅（Insider Threat）也成為企業日益關注的特點，UEBA正好是用武之地。但從各家落地來看，UEBA的應用場景對數據要求很高，如果不能通過身份認證管理系統，獲取比較完整的身份相關數據，以及從流量及各類業務系統日誌中提取出訪問與行為操作類數據，想做出實際效果來，並非易事。

而為了進一步擴展安全分析能力，IBM甚至把Watson和i2都與Qradar做了標準的介面，從而將SIEM中的事件線索，作為Watson人工智慧搜索，與i2可視化分析的輸入，從而將更多的分析工具，提供給高階分析員。

2

威脅情報由於其在攻擊發現與擴展分析上的實效，已經成為安全運營與分析的標準高位能力組成，情報交換也成為很多SIEM系統的標準擴展應用。美國在各類的標準方面一向做的很到位。基於STIX情報標準，眾多第三方情報源，以及安全產品提供商的情報，都可以作為安全運營體系「應用」市場中的標準組件。

3

事件響應（Incidence Response），自動化編排（Automation & Orchestration） 逐步落地，讓事件的相應與處置工作流形成討論，並提供豐富的知識體系，成為指導一線安全運營人員方法、流程的關鍵工具。在過去幾年中，我們也可以看到自動化響應、編排這些技理念，從2016年創業公司Phantom成為創新沙盒的冠軍而廣泛被關注，到今天成為安全運營環節的組成。當年的Phantom，也已經被Splunk所收購。而大家可能沒有注意到，在2016年的時候，另外一家此類新興公司沒有進入創新沙盒角逐的原因，就是被Fireeye收購了。事件響應與自動化編排在提升安全運營人員的處理工作效率，以及與多系統的協作方面，都提供了極高的價值。

4

在安全運營的數據來源中，除了流量，終端檢測與響應（EDR）成為越來越關鍵的組成。在未來很多業務流量都加密的情況下，終端是最能夠抓取安全異常行為的地方。雖然IBM自身已經進行了終端安全系統的開發，但仍然與Carbon Black這樣的EDR優秀廠商進行了緊密的配合，在其安全運營體系中的Qradar（SIEM）、Resilient（Incidence Response）、Bigfix（Active Remediation）、X-force（MSS）環節都做了對應的方案，將CB的發現、響應、防護都整合進了幾個環節中。

5

人與服務的重要性。平台與工具，依然無法缺失人的參與，可管理安全服務（MSS）成為在安全運營中串起這些環節的關鍵因素。如IBM的 X-force，以及Fireeye的Mandiant，都將人的能力運用於平台與工具基礎之上。當我和IBM展位上的工作人員溝通時，說到你們有了幾乎所有環節所需的工具，他們依然認為，系統間的整合，總是不能做到完美，只有人、知識體系與工作方法，才是有機將數據與平台工具銜接運轉的關鍵。

而從安全運營市場發展趨勢看，傳統的強勢SIEM提供商，都在試圖擴充自己的拼圖，給客戶提供一站式的整合安全運營服務。這其中包括IBM, Splunk, McAfee甚至Fireeye。新興的安全行為分析廠商，也試圖擴展自身的能力，到下一代SIEM，如LogRhythm，Securonix，Exabeam。而一些從安全專項領域發展起來的廠商，也試圖基於自身的安全產品體系，擴展安全運營中心，如Fireeye，Fortinet與Trustwave。優秀的終端廠商，除了終端防護之外，EDR也成為了安全運營與分析體系中不可或缺的關鍵組成。如Carbon Black，Cylance。而強勢體系提供商，也在補強終端這個真相之源，如IBM，Fireeye。由此可見，安全運營強調體系的完整，數據源的豐富，基於知識體系的流程，從而各個巨頭逐漸殊途同歸，擴展自己的拼圖，而專項廠商，也都能在這個體系中找到適合自己的位置。

大家不再是單打獨鬥，生態與可落地的協作，成為主流。這其中的代表者是IBM，以Qradar系統作為安全分析的核心平台，通過App方式，可銜接幾十家的第三方安全廠商的發現，防護與情報能力。其X-force MSS團隊，更可以將Resilient作為事件響應與自動化編排工具，結合專家賦予X-force的高位威脅情報能力，提升安全事件的響應與處置效率。

從這樣的安全運營體系中可以看出，中位的分析能力與自動化編排響應能力，越來越成為提升安全運營效率的核心。而作為發現與數據支撐的低位能力，流量與終端成為關鍵可信的數據來源。而威脅情報與安全運營服務，自然成為真正落地的銜接力量。這樣的高中低位的結合，越來越在優秀的安全運營提供商的架構體系中，成為落地的良方。這也是360企業安全在中國市場，努力為我們的大型客戶所打造與提供的從安全體系諮詢，到安全建設，以及安全運營的閉環。有機的閉環運轉，才可能真正結合用戶的業務，實際落地。在國內，安全市場也正處於一個企業級安全的爆發時期，數字化轉型帶來的雲安全、態勢感知、大數據安全、物聯網安全都給了我們重新思考與定義新安全運營的機會。行業對安全的認知也在不斷提升，360企業安全也希望在這個過程中，能夠為擴大安全整體市場，為我們的大型客戶，提供更多更好的安全體系設計，為建立可落地、可運營的安全體系而努力。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！