本文是ISC 2021 演讲的摘要, 分享出来,希望大家对其中观点做进一步批评和指正。
数字时代的来临,使网络安全越发重要并成为数字经济的基石,但挑战也前所未有:一切皆可编程,意味着漏洞无所不在,安全防护必然不能再以漏洞为中心,而是需要风险的视角,也即在敌人通过漏洞进入内部后,企业需要基于业务风险做重点防御、纵深防御;万物互联,意味着企业很难再有明显的边界,远程办公、云服务、供应链、公司并购,复杂的数字生态关系使企业难以独善其身,需要从更高维度的空间上监测自身的安全性并积极参与生态构建;大数据驱动业务,使数据成为最重要的目标,安全不再是一个附加的模块,需要和业务系统深度的融合,以达到及时、高效。
情报相应也在变化,从传统狭义的威胁情报,演进为一个新的体系,这个近年在海外被称为安全情报,或者网空情报,从整体上看它有以下典型特征:
- 不再以威胁为核心,新形势下的数字组织不但需要通过情报了解对手,也需要以此了解自身,特别是对云上业务、供应链相关等互联网相关的数字资产、漏洞、威胁、数据泄漏等,情报需要知彼,但也更需要知己;
- 情报的优先服务对象,不再只是安全运营和管理人员,而是企业的高管,对应情报最需要考虑提供的,是和组织环境、使命、业务运营、收入和声誉相关的所有威胁和风险信息,而不是IOC等机读情报;
- 情报不再单纯是一种第三方服务,而是企业自身需要具备的核心能力,任何一个组织如果要回答特征二提及的问题,都必须结合自身业务和威胁相关的全时、全域、全维的情报进行针对性分析,获得符合自身组织和业务特点的答案,这个过程厂商能提供基础的战术、战役情报,提供分析工具和方法,甚至包括情报专家,唯独难以提供这个答案——组织的网络空间战略情报报告。
也有人说符合这些的才是真正的威胁情报。无论如何,时代的召唤、市场的期望都已经发生了巨大的变化。
在情报的新旅途中,存在两个发力点,如果能够善加利用,应该可以加速企业新一代情报能力的建设,更好地建立数字适应性或者韧性:
外部攻击面管理: 越来越多的业务系统连接互联网,甚至直接部署在公有云之上,企业的外部攻击面在高速增长。但即使安全成熟度相对高的企业,对内部资产的管理已经相对成熟,但在应对这种大量暴露在外部的资产却没有合适的管理工具。如何持续监测、梳理资产、发现和分析风险直到进行相应的调整(收缩攻击面、加固、修复等),是一套相对复杂的流程,需要具备pDNS、数字证书等大网基础数据,也需要完善的大网测绘能力,同时包括漏洞情报、受控主机、攻击跳板主机、开源和暗网多种情报能力,才能构建一个相对完善的外部攻击面管理平台(参照PA收购整合后的Cortex Xpanse、微软最近收购的RiskIQ)。这种关键技术复合型的产品,还需要贴紧业务,无疑对甲乙方都是挑战,但对于安全贴近业务、提供决策层所需情报,同时也是一个好的起点。
智能分析: Cisco的统计表明,大量企业每天要处理10W+以上的报警,基于现有方式能展开分析调查的不超过一半,而其中有效事件的比例只有26%左右。运营人员每天经历重复的、枯燥的日志分析流程,依然无法处理完所有日志,更无法将精力用在有挑战和价值的事件响应工作上。而智能分析就是基于情报和安全大数据、运营经验及分析专家知识,形成自动化分析模型,可以从海量报警中直接去除误报或虚警,识别出关键安全事件。智能分析不但可以让运营更高效,事件处置更及时,同时通过开箱即用的“专业分析知识”,缩小技能差距;帮助分析师摆脱手动、冗长、重复的分析过程,使宝贵的资源投入到高价值工作中,改善整体安全态势。
从整体趋势看,情报的外延在扩张,除了相对成熟给产品赋能的机读情报,其它类型也逐步走到重点位置上,包括战略情报、外部攻击面情报、漏洞情报、ICS情报、供应链情报等,以及情报分析和情报管理解决方案;同时情报的深度在不断延展,不再是一种纯粹的数据收集、分析、整理和发布的过程,而更多需要和运营知识、分析知识整合,只有这种更智能的情报,才能帮助构建数字基建的适应性。情报的路还有很长,充满崎岖,但也充满探索和希望。
