互联网普及20多年来,网络安全也从简单的设置防火墙和虚拟局域网(VLAN),发展到了由机器学习(ML)和人工智能(AI)驱动的分析。变化太大,如何适应?
驱动网络安全巨变的引擎是网络犯罪,及其快速打败安全技术迭代进步的超强能力,几乎是安全技术一更新,网络犯罪的新应对就接踵而来了。防火墙是第一个被挑战的安全技术,需监视流量的规模之大、复杂度之高,已经到了无从应对的地步。曾经被视为可促进威胁追捕的入侵检测系统(IDS)、入侵防御系统(IPS)和各层终端及设备安全措施,也很快步了防火墙后尘。
讽刺的是,导致防御措施跟不上威胁发展的罪魁祸首并不是防火墙、IDS、IPS和终端安全软件检测不到网络攻击,而是它们产生的警报开始让防御者不堪重负。流量不断增加,且新生代工具还在不停添加着需监视的账户、应用、权限和用户;安全供应商急于采用可使人类合理拣选事件的专家系统来解决问题。
SIEM的兴起
2000至2010年间,安全信息管理(SIM)、安全事件管理(SEM)及其相互结合的产物安全信息及事件管理(SIEM),是解决数据过载的合理方法。SIEM不用各个专属系统来管理日志数据,而是提供统一的视图呈现收集自各个来源的数据并进行关联处理。尽管SIEM成为了不可或缺的安全帮手——安全运营中心(SOC)和集中式安全监视如果缺乏SIEM将难以执行日志监视工作。
归纳总结下它的优缺点还是很有必要的:
- 能快速关联来自各安全事件的数据;若使用单个系统的日志,这种数据关联要么不可能实现,要么耗时太长。一旦检测到什么可疑的,可迅速指示安全系统加以阻止。
- 能清楚凸显当前及历史异常(也就是违反了安全策略的事件或操作)。
- 大多数SIEM都有报告界面供合规及审计使用,比如 PCI DSS 和HIPPA。
SIEM也有局限,首当其冲的就是其有效性取决于馈送进来的日志事件及运用规则关联事件以产生有用警报的方式。原则上,好的规则应能发现异常事件。但想要既发现异常事件又不让安全团队被误报淹没,却并不像市场营销宣传册上写的那么简单。
很明显,建立和维护这些规则(或者调整SIEM随附的规则模板)是十分复杂的,因为标准化日志输入以兼容各监视系统所用不同数据格式的过程就很复杂。鉴于这些格式和日志中捕获的输入都会随时间进程而改变和增加,这项工作会变得繁复艰巨。
UBA及用户的回归
送进SIEM的数据不断增加,SIEM管理越来越难,SIEM实时检测攻击又不至累垮安全团队的能力遭到质疑。于是,人们不得不开始寻找新的万能解决方案。Gartner所谓的用户行为分析(UBA)便进入了人们的视线。
该方法点出了用户的重要性,指出梳理网络探测器收集的数据注定达不到安全目的,应该放弃猜测日志事件的含义及其相互关系,转而关注用户基线状态及其凭证。一旦用户事件偏离了已知正常状态,无论是内部还是外部的正常状态,就会产生警报。
2005年左右,新一代的防火墙已经纳入了用户管理功能,但对投入SOC和SIEM的公司企业来说,将该功能整合到统一的系统中总比作为单独的监视设备更有意义。某些情况下,UBA被实现成SIEM的扩展或其自带的一个功能,因为供应商是根据市场需求来开发产品的。
好像还差点儿什么?
2015年,Gartner认为UBA已经进化到了新的阶段,演变成了用户及实体行为分析(UEBA),多加了一个字母。基本上就是增加了主机、服务器和各种应用,某些UBA其实已经加入了这些东西供关联用户事件及其对服务器和数据的访问。可以认为,Gartner将UBA改为UEBA只是在说明一个明显的事实:虽然监视用户行为很重要,同时监视用户与之互动的资源同样重要。
引人深思的问题是UBA/UEBA是取代还是补足SIEM。不愿失去成熟市场的老牌供应商自然希望市场论调朝着这个问题不值得争论的方向发展。比如说,如果公司企业已经部署了SIEM,那他们可以并行构建UEBA,将UEBA的数据馈送给SIEM以获得更高层次的视图。
另一种观点则认为,UEBA不仅仅是传统SIEM分析的一个面向用户的扩展,而是理解网络安全的全新方式。一直以来,网络安全就是设计些通过规则来实现的策略。哪个地方出现了违反规则的事件,安全产品就会产生一条警报。这种模式的问题从来都是费时费力还拦不住机巧百出的攻击者。而且,传统模式对内部人威胁完全无效,具有合法权限的员工无论是恶意操作还是无意误配置资源,都能躲过传统方法的检测。
机器与人
UEBA的重点在于检测事件或其上下文是否偏离了网络既定的“正常”状态。这一点很大程度上由机器学习软件实现,但机器学习本身并不是应UEBA的检测需求而产生的,机器学习不过是恰好很擅长模式识别,能发现偏离既定状态的异常情况而已。
如果使用机器智能作为安全工具的模式能证明有效,UEBA就可被视作SIEM的替代物。但二者也存在融合的可能。如果真的走了融合路线,市场可能会受到一定震荡,因为这种演变将会整合供应商,让他们在这个稍成熟的产品品类中互相竞争。
最终,客户考虑的将不再是信任哪种技术,而是想要投资哪种网络和安全治理方式。边界安全仍是最简单的网络安全操作,即便在自身矛盾的重压下濒临崩溃。
想要获得最佳安全实践,新采纳的方法得能够实时检测威胁又不至产生太多误报。另外,不用花太多时间争论各种缩略语的含义了,未来属于既能充分利用已有技术又对新技术敞开怀抱的解决方案。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】