一年一度的RSA2017即將于美國(guó)時(shí)間2017年2月13日-17日開(kāi)幕。在2016年RSA大會(huì)上，主席阿米特·約倫(Amit Yoran)就在其 “沉睡者醒來(lái)”的主題演講中指出“安全防御是個(gè)失敗的戰(zhàn)略，未來(lái)業(yè)界應(yīng)該增加在安全檢測(cè)技術(shù)上的投資。作為提升安全檢測(cè)能力重要手段的威脅情報(bào)，其重要性自然更加凸顯“。

在過(guò)去的2016年，國(guó)內(nèi)對(duì)威脅情報(bào)，態(tài)勢(shì)感知的討論也越來(lái)越火。2016年11月全國(guó)人大常委會(huì)通過(guò)的網(wǎng)絡(luò)安全法明確的更側(cè)重于企業(yè)安全，而與之呼應(yīng)的是年內(nèi)接連發(fā)生的企業(yè)信息泄漏事件所引起的反響表明，公眾已經(jīng)對(duì)信息安全事件極其敏感。

其實(shí)檢測(cè)與響應(yīng)這個(gè)理論價(jià)值對(duì)我們一點(diǎn)也不陌生， 我們一直提倡企業(yè)要有基礎(chǔ)的安全防御能力和措施，如基本的防火墻等安全設(shè)備。這是企業(yè)信息安全的第一個(gè)要素，它實(shí)際上提升了被攻擊的門檻，不會(huì)輕易被攻擊。其次就是企業(yè)要有威脅檢測(cè)與響應(yīng)的能力。如果被攻擊企業(yè)應(yīng)該是第一個(gè)知道的。這樣才能及時(shí)有效的響應(yīng)。但事實(shí)也證明了阿米特的觀點(diǎn)，大家都很重視如何防御，如何筑墻。但時(shí)間與事實(shí)證明僅僅依賴防御的戰(zhàn)略是失敗的，防火墻產(chǎn)品也向NGFW升級(jí)。大家開(kāi)始認(rèn)識(shí)到了安全檢測(cè)技術(shù)的重要性，其中的代表就是以威脅情報(bào)驅(qū)動(dòng)的威脅檢測(cè)與響應(yīng)機(jī)制。而國(guó)內(nèi)其實(shí)更多的還是在論證階段，還需要有很多問(wèn)題需要明確。如：檢測(cè)與響應(yīng)在企業(yè)信息安全中的價(jià)值、如何量化、如何落地等。

檢測(cè)與響應(yīng)到底能帶來(lái)什么價(jià)值?實(shí)施又有什么痛點(diǎn)呢?

我們到底有沒(méi)有被黑?攻擊者完成一次對(duì)企業(yè)的攻擊也是要經(jīng)歷一套完整的流程，參見(jiàn)著名的網(wǎng)絡(luò)攻擊殺傷鏈。

洛克希德馬丁公司的Cyber kill chain模型

一次高級(jí)的可持續(xù)攻擊大致可以分為7個(gè)步驟。這也證明了每一次有效的攻擊過(guò)程中是有多個(gè)行為征兆與檢測(cè)指標(biāo)的，就是取決于什么時(shí)間被發(fā)現(xiàn)，被誰(shuí)發(fā)現(xiàn)。以及是否能采取有效的安全措施。從圖中第三步開(kāi)始，就是檢測(cè)與響應(yīng)的發(fā)力點(diǎn)。從中可以發(fā)現(xiàn)正在發(fā)生，和即將發(fā)生的威脅。

那么問(wèn)題也來(lái)了，今天國(guó)內(nèi)的大部分企業(yè)中，威脅檢測(cè)是基于各種安全傳感器的，其作用是試圖尋找異常行為或已知的惡意簽名活動(dòng)。這些傳感器包括防火墻、入侵檢測(cè)系統(tǒng)(IDS / IPS)，應(yīng)用程序網(wǎng)關(guān)防病毒/反惡意軟件，終端防護(hù)等等。這些安全傳感器可以提供威脅相關(guān)的連續(xù)事件流。在企業(yè)中，這些連續(xù)的事件流和報(bào)警會(huì)對(duì)安全團(tuán)隊(duì)產(chǎn)生大量噪音。安全人員在處理時(shí)不能確定真正重要的威脅。而這里就是威脅情報(bào)的發(fā)力點(diǎn)，威脅情報(bào)的主要目標(biāo)是提供正確的信息,在正確的時(shí)間,用適當(dāng)?shù)纳舷挛?可以顯著減少所花費(fèi)的時(shí)間，從大量噪聲中發(fā)現(xiàn)正在發(fā)生和即將發(fā)生的重大網(wǎng)絡(luò)安全威脅。

檢測(cè)與響應(yīng)的指標(biāo)和績(jī)效如何量化?現(xiàn)狀是什么?

作為企業(yè)的安全人員，特別是保障生產(chǎn)服務(wù)安全與IT安全的團(tuán)隊(duì)如何量化自己的團(tuán)隊(duì)績(jī)效，以及投入產(chǎn)出也是困擾國(guó)內(nèi)信息安全行業(yè)多年的一個(gè)問(wèn)題。其實(shí)兩個(gè)關(guān)鍵指標(biāo)可以用來(lái)衡量一個(gè)企業(yè)安全能力的有效性。一個(gè)是平均威脅檢測(cè)時(shí)間(MTTD)和平均響應(yīng)時(shí)間(MTTR)。MTTD指是一個(gè)組織發(fā)現(xiàn)和識(shí)別那些可能會(huì)產(chǎn)生實(shí)際風(fēng)險(xiǎn)的威脅所需要的平均時(shí)間。MTTR是指企業(yè)充分分析并采取有效手段減輕威脅風(fēng)險(xiǎn)所需要的平均時(shí)間。

MTTD/MTTR實(shí)效與安全威脅程度的關(guān)聯(lián)關(guān)系 by LogRhythm

不幸的是，目前大部分企業(yè)的運(yùn)營(yíng)模式，MTTD和MTTR將以數(shù)周或數(shù)月來(lái)計(jì)算。安全公司Trustwave在2014通過(guò)對(duì)全球691個(gè)數(shù)據(jù)泄漏的事件調(diào)查發(fā)現(xiàn)，企業(yè)安全事件平均檢測(cè)時(shí)(MTTD)為87天，近3個(gè)月。在專業(yè)的應(yīng)急響應(yīng)團(tuán)隊(duì)支持下，MTTR也需要1周時(shí)間。而根據(jù)2015年Mandiant公司發(fā)布的報(bào)告，企業(yè)從被攻陷到發(fā)現(xiàn)的平均時(shí)間是146天。而我們國(guó)內(nèi)企業(yè)的實(shí)際現(xiàn)狀呢?以2015年的XcodeGhost事件為例，從2月26日攻擊者的遠(yuǎn)程控制域名開(kāi)始接收信息，到9月18日被發(fā)現(xiàn)，其持續(xù)時(shí)間之長(zhǎng)是超過(guò)了國(guó)際平均水平的。

如何落地?有什么建議與方法?

安全情報(bào)能夠通過(guò)捕獲、關(guān)聯(lián)、可視化和分析數(shù)據(jù)，從而提供可以指導(dǎo)行動(dòng)的信息。幫助企業(yè)安全團(tuán)隊(duì)降低和控制高級(jí)威脅風(fēng)險(xiǎn),并建立一個(gè)更加積極主動(dòng)防御機(jī)制。使用威脅情報(bào)與現(xiàn)有的傳感器結(jié)合，會(huì)縮短他們的平均檢測(cè)時(shí)間和平均響應(yīng)時(shí)間。擴(kuò)展當(dāng)前的安全工具的價(jià)值，并通過(guò)攻陷指標(biāo)的機(jī)器分析發(fā)現(xiàn)前所未有的威脅。

理想的做法是，企業(yè)評(píng)估與分析安全檢測(cè)與響應(yīng)所能帶來(lái)的價(jià)值，建立以檢測(cè)與響應(yīng)為指導(dǎo)的信息安全績(jī)效評(píng)估機(jī)制這就為情報(bào)驅(qū)動(dòng)的安全體系建立了堅(jiān)實(shí)的制度基礎(chǔ)。在部署與實(shí)施的過(guò)程中還需要解決相關(guān)傳感器對(duì)關(guān)鍵信息的記錄與識(shí)別能力，這就是知己與知彼磨合的過(guò)程。這也是大家熱議的安全威脅情報(bào)如何落地的一種方式。

RSA Conference 2017即將開(kāi)幕,本次以“Power of OPPORTUNITY”寓意我們正處于一個(gè)安全盛世但也是一個(gè)安全亂世的時(shí)代，自古梟雄出亂世，擁抱瞬息多變的挑戰(zhàn)，把握機(jī)會(huì)，方能成為一代安全梟雄。而安全產(chǎn)業(yè)的團(tuán)結(jié)與血統(tǒng)，正式孕育新機(jī)遇的土壤。期待本次盛會(huì)，或許又能帶來(lái)更多的啟發(fā)與新的思路。期待更多的安全創(chuàng)新!