共计 5652 个字符,预计需要花费 15 分钟才能阅读完成。
大数据和云计算的时代,数据和个人信息成了“云上的金子”,因为其堪比石油的微小价值,针对企业和集体的数据泄露、网络攻击等安全事件时有发生。这个时候,新一代 SOC(Security Operation Center,平安经营核心)应运而生,在网络与信息安全爱护中充当着越来越重要的角色。
那么,云时代大趋势下,平安经营工作衍生出了哪些新变动?从被动式进攻到自适应实时监测与响应、智能平安编排与自动化,新一代网络安全经营架构涌现出了哪些令人雀跃的新特色、新技术?技术与模式撑持下的改革演进又有了哪些新实际心得?在与平安危险的继续博弈和“竞技”中,SOC 又能取得怎么的倒退新机遇 ……
基于这些云时代下平安经营的热门话题,上海雾帜智能科技有限公司 CTO 傅奎、绿盟科技集团股份有限公司天枢实验室高级平安研究员张润滋、天融信大数据分析产品线总监鲍青波、腾讯平安 SOC 产品负责人肖煜、腾讯平安 SOC 产品总监刘桂泽 等数位平安经营畛域资深专家,于 3 月 27 日齐聚在 腾讯平安思享会,围绕“云时代下 SOC 的改革与演进”的主题进行了深入探讨,独特摸索云时代平安经营的建设之道。
01
Cloud SOC—云时代让平安经营工作焕发新生
在题为《Cloud SOC—云时代让平安经营工作焕发新生》的演讲中,腾讯平安 SOC 产品负责人肖煜 为大家带来了云时代下 SOC 经营存在的问题与解决秘诀:
腾讯平安 SOC 产品负责人 肖煜
云时代平安经营面临的问题大家不生疏,还是会存在事多、人杂、不好管的情况。
其中,“事多”体现在事件量大,云时代之后这个问题仍然存在,大量安全事件沉积难以处理,让平安经营人员疲于奔命。“人杂”是因为波及到一些第三方帐号,用户行为对于平安经营人员来说是一个新的挑战,不久前 Solarwinds 事件暴发,起因可能就在于供应链治理上存在大量不可追溯的帐号问题,供应链治理、人员帐号治理没有做到位。“不好管”,在指云时代的资产有着疾速沦亡与新建的特点,绝对传统环境来说更灵便,但更容易呈现再衍资产,做好资产治理梳理也是云时代所面临的问题。
由此,云时代呈现了一些新需要,比方平台模式下服务方、生产方都会产生平安诉求,服务方要求本身平安治理和消费者平安有保障,生产方也心愿本身平安治理做到位。此外,云场景下平台与租户的责任划分也是一个新的需要。腾讯为此提出一个新概念,叫做 Cloud SOC,它要解决的就是平安和治理上的问题。
租户和多环境两个模块是要解决治理问题,而解决平安问题的思路则是进行监测和深挖,利用可视化和开放平台等技术手段来解决问题。
总的来说,Cloud SOC 会把相干平安信息,包含云上日志、第三方数据会集到体系中进行经营,平安体系包含进攻、检测、相应、预测模式,同时兼顾平台和租户。
这个体系的平安思路,在进攻方面,强化本身就是最好的进攻策略,同时在检测和相应模块打造一个有机闭环,以牢靠的服务作为撑持整个体系运行的根底保障。
其中,进攻要解决“不好管”的问题,腾讯 Cloud SOC 能够做到通过端、API 对原生资产与第三方资产进行买通,而在这一点上,腾讯领有多年从端、流量中获取资产数据的教训。
在云这方面,Cloud SOC 的 CSPM(云平安态势治理)是指云平安危险配置化的治理查看,利用此机制对云上资产进行自动化查看,不符合要求的配置会被平台辨认为危险资产,并揭示平安经营人员。
针对“人员杂”的问题,Cloud SOC 会在检测和相应两个环节,通过腾讯本人提出的 XDR 小闭环,SIEM,以及智能 UEBA 模式,针对牢靠流量和端点,取得精准的情报信息,进而演绎总结,抓取实在的威逼信息,进步平安经营笼罩,以此进行有品质的告警及响应。
从治理思路上来说,Cloud SOC 模式的驱动整体上还是平台 + 人,依赖于监控、剖析响应和总结报告等服务,加上经营专家 / 攻防专家,让平台高效运行起来。
另一方面,在平台方和租户的责任划分上,Cloud SOC 人造地从兼顾单方的视角来看问题,在平台侧和租户侧打上一些显明的标签对数据进行辨别,利用经典和成熟的 RBAC 进行性能相干的管制。此外,这个数据标签还能够拓展到所有平台模式上,将相干数据责任人归属于平台方或租户,并利用云平台的劣势,对相干数据性能进行对立纳管和经营。
现在,腾讯 Cloud SOC 曾经在实践中通过测验,比方在某企事业单位,Cloud SOC 利用强检测响应闭环构建“演练”最佳防护,在某大型金融组织机构中,Cloud SOC 可在专有云或 IDC 部署,实现多环境数据对立纳管,并适配上下级联,实现全局可管、可控平安经营。
02
平安经营 SOAR Easy!
接下来,上海雾帜智能科技有限公司 CTO 傅奎 带来了 《平安经营 SOAR Easy》 的主题分享:
上海雾帜智能科技有限公司 CTO 傅奎
我之前也做过一线的平安经营人员,切身体会到一些苦楚的现状,比方每天接到四千万条事件经营,但真正能无效解决的事件不到 10 个。平安经营过程中的人工交互太多,费时费力。尽管过来二十多年,平安经营在平安实践、技术、产品、客户经营程度上有所提高,检测时间越来越短,然而平安经营人员同时还面临着自动化、智能化、网络武器作战平台的“对手”,而绝大多数用户只能徒手应急响应——沟通靠吼,响应靠手。为改变现状,咱们用 SOAR 帮忙咱们疾速发展平安经营。
目前,国内外曾经有不少厂商在跟进 SOAR 相干技术,并做到了分钟级和秒级响应。大家的基本思路都是通过图形化的剧本编排界面,应用低代码或无代码实现安全事件响应过程的编排,反对数据交互和任务调度。
SOAR 能够是独立平台,也能够是内置模块。在理论落地中,SOAR 的应急响应快准稳,其杰出的体现曾经失去业界的认可。明天咱们能够依附零碎,实现通用安全事件响应场景 80% 以上步骤的落地。以一个典型的威逼 IP 处理过程为例,通过与人工操作的比照会发现,SOAR 自动化处理能够实现分钟级和秒级,仅工夫效率就晋升了 84 倍,这还不包含人员老本的加工地。实际上,SOAR 在理论利用中能够在不同场景里产生不同的成果,不仅可能实现应急响应,还能疾速实现事件剖析、诊断、协同、写报告等,防止了人工的节约。而且,这种“套路”一旦积淀就能够重复使用。
目前,雾帜在 HoneyGuide 中通过虚构作战式和 AI 机器人解决事件响应过程中协同问题,用编排和自动化帮忙客户实现减速平安经营。此外,除了自动化响应,雾帜还心愿可能用自然语言与机器人进行交互,进步平安经营效率。基于安顿编排自动化响应以及 AI 人机协同的平安经营,雾帜 SOAR 可实现分钟级或秒级的应急响应,大幅节约了人工操作工夫。
SOAR 是数字化教训帮忙平安团队实现经营传承和技能积攒的无效伎俩,通过充分发挥人类工程师的智慧和机器的智能与速度,最终让“平安防护超过攻打的速度规模”成为可能。
最初,不得不提的是,自动化永远都是伎俩,继续经营才是灵便。经营团队要有思维,被动采取策略,被动思考,借助自动化伎俩实现目标,不能齐全依赖工具,这才是最重要的。
03
智能平安经营技术倒退思考与实际
绿盟科技集团股份有限公司天枢实验室的张润滋 还分享了主题为 《智能平安经营技术倒退思考与实际》 的主题演讲:
绿盟科技集团股份有限公司 天枢实验室的张润滋
平安经营团队的苦楚都是类似的,尽管解决思路和办法略有不同,但大的趋势都是依附自动化来反抗信息爆炸带来的艰难。
平安专家数量无限,告警疲劳和苦楚的作战形式,倒逼平安经营技术迭代式地倒退,从传统的单点攻防到边界进攻,再到平安经营核心,平安经营的下一步是智能化经营。
Gartner 为平安经营打上了一些要害的技术标签,比方 SIEM、UEBA 等,最近 SOAR、XDR 等也是比拟热门的话题,但仿佛这些都不足外在平安机制,隐衷防护需要也造成零碎黑盒。目前,平安经营的还面临着一些要害挑战,如经营须要细节与态势并重,数据收缩找到平安威逼犹如海底捞针,召回模型高误报,技术 / 平台低交互或无交互,以及不足鲁邦安全性等。
为应答这些问题,咱们提出了 AISecOps,就是宽泛地把人、机器和流程资源联合起来做经营。
实际上,国外和国内曾经造成了智能运维的钻研生态,咱们要做的就是把自动化、智能化带到经营中。
从概念上来说,AISecOps 蕴含四大因素,即“智能驱动平安经营,以平安经营指标为导向,以人、流程、技术与数据的交融为根底,面向预防、检测、响应、预测、复原等网络安全危险管制、攻防反抗的关键环节,构建具备高自动化程度的可信赖平安智能,以辅助甚至代替人提供各类平安经营服务的能力,”咱们的最终目标,是用技术支持经营,且技术本身可经营。
为了让技术自身可经营,咱们须要做一个模型来领导方向,思考本人在做的事件笼罩到了经营的哪些阶段。从上图能够看到,咱们离自动化经营还很远,处于 L2-L3 阶段,只是在无限场景下,使用数据分析伎俩,把情报买通。
为了撑持残缺的自动化经营,咱们须要把从感知辨认到认知产生,再到产生策略的全流程串联起来,买通人机协同循环。这是咱们的工作模型和思考,指标是心愿人机协同可能在将来 5-10 年间在很多场景下是此案齐全自动化经营。
上图为 AISecOps 的 16 个前沿技术图谱,能为咱们下一步应该做什么提供领导。
目前,咱们在做的一些工作包含超交融常识图谱,在底层建设能够撑持全数据、多场景的 DSL 语言设计,建设交融的数据分析机制。
在此基础上,打造能够针对不同场景下所需的不同检测单元、召回单元、危险评估单元、反馈解释单元的可编排举荐引擎,让引擎学习专家或经营的不同偏好。
此外,咱们还初步基于开源的文本类型解释模型创立了可解释引擎,能够实现自动化提取关键词,目前仅反对文本,但后续将反对图。
为了做到以数据驱动的形式反对人机协同,咱们利用规定提取引擎,通过可解释模型将学习成绩通知专家,并在举荐引擎中提取的常识中找出法则,造成规定和策略,而后通过搜索引擎,用对立的语言形象进行常识固化。
总结起来,平安专家的教训难以复制,人的精力有限,然而机器能够做到。第一,数据驱动的形式只是金蝉脱壳,面临要害决策,要分具体情况,但以数据撑持决策和策略是咱们技术路线的基本出发点;可编排能力要撑持不同业务场景,在每个经营环节做响应;“授人以鱼不如授人以渔”,要能解释分明为什么用数据驱动能解决所有问题;最初一点是要打造可信赖的平安智能“战友”,保障 AI 的安全性。
平安经营无奈一步到位,咱们心愿将平安经营中的常识固化下来,造成打造机器的战甲,不能要求每个人都是超人,咱们要做的就是要打造机器型的战甲。
04
建智能化纵深平安剖析体系
天融信大数据分析产品线总监鲍青波 分享了主题为 《构建智能化纵深平安剖析体系》 的精彩演讲:
天融信大数据分析产品线总监 鲍青波
我的分享次要聚焦于平安剖析,两个关键词别离是“智能化”和“纵深”。
首先介绍一下我国网络安全现状。据 CNCERT 统计,2019 年,面向我国工业控制系统的网络资产嗅探事件约有 14,900 万起,较 2018 年的约 4,451 万起有显著增长。经剖析,嗅探行为源自于美国、瑞士、法国等境外 130 个国家和地区,指标波及我国能源、制作、电信等重点行业的联网工业管制设施和零碎。大量要害信息基础设施和联网控制系统的网络资产信息被境外嗅探,给我国网络空间平安带来隐患。对此国家非常重视,从十三五布局到《网络安全法》、《等级爱护 2.0》到“十四五布局”,国家要求建立健全要害信息基础设施爱护体系,晋升平安防护和保护政治平安能力,晋升网络安全威逼发现、监测预警、应急指挥、攻打溯源能力,特地是要放慢人工智能的平安技术创新。
人工智能赋能平安剖析,是此次演讲的外围。不得不说,以后 AI 在特定场景下赋能平安剖析,还面临着一些窘境,如数据标注、特色解决、后果评估,以及工程化难题,特地是针对零日、APT 高级攻打、长周期埋伏的未知威逼时,AI 不肯定能施展很好的作用。这时,通常状况下会采取行为剖析的伎俩,通过时序剖析等形式发现异常。
网络安全剖析场景可分为“已知的已知”、“已知的未知”和“未知的未知”三个局部,为应答不同水平的剖析需要,咱们建设了一套智能化纵深平安剖析体系。
这套智能化纵深平安剖析体系,次要包含智能检测、自动化处理和智能研判三个局部。
从最左侧典型的数据处理流程之后,进入智能检测,这是纵深分享的第一步,也是最外围的一步。这里,零碎会通过关联剖析、AI 剖析、行为剖析、专项剖析等剖析引擎伎俩,利用深度学习、机器学习和图剖析等办法,建设深度学习模型,以串联或组合的形式进行智能检测。
之后进入自动化处理流程,这一步能够做到误报去除和告警智能归并,把单点告警以更高维度的指令聚合起来进行智能化处理。
而对于规定后无奈自动化处理的,就进入下一步的智能研判,通过研判可视化和全域数据分析发现重点数据的步骤后,零碎会从重点数据登程,以人机交互的形式提供利于专家做智能研判的根据,如内置各种数据处理算子、机器学习、特色解决、后果评估和模型部署算子等,研判后再连贯 SOAR 进行响应。
总结起来,通过智能检测、自动化处理和智能研判等方面的工作,咱们建设了一套纵深的平安剖析体系,有了这些能力之后,咱们才有根底去思考人工智能赋能网络安全到底能带来什么样的价值。
05
圆桌论坛共话 SOC 将来
流动最初,几位专家还以圆桌论坛的模式,探讨了 SOC 的最新演变和发展趋势,共议新时代下 SOC 的压力与时机所在。
从左至右顺次为:腾讯平安 SOC 产品总监 刘桂泽(主持人)、上海雾帜智能科技有限公司 CTO 傅奎、腾讯平安 SOC 产品负责人 肖煜、天融信大数据分析产品线总监 鲍青波,以及绿盟科技集团股份有限公司天枢实验室 高级平安研究员 张润滋
至此,这场汇聚平安领域专家的精彩流动圆满结束,让在座的观众与线上的网友对于 SOC 技术与谨严有了更加清晰的认知,满载而归。
平安是个经久不衰的话题,只有有网络覆盖的中央,新的平安问题就将不断涌现进去,无论你是平安畛域的从业者,还是一般的网络用户,平安问题都与咱们非亲非故,更多平安问题,敬请关注咱们的后续流动~
