安全態(tài)勢(shì)感知專家說第1期：安全運(yùn)營技術(shù)的現(xiàn)狀與展望

兩年前，筆者寫了一篇文章《一花獨(dú)放不是春，百花齊放春滿園》，簡要闡述了國內(nèi)態(tài)勢(shì)感知的市場(chǎng)和華為的HiSec Insight態(tài)勢(shì)感知系統(tǒng)（以下簡稱HiSec Insight）。當(dāng)時(shí)國內(nèi)態(tài)勢(shì)感知市場(chǎng)方興未艾，還處在技術(shù)炒作的高峰期，Gartner也沒有態(tài)勢(shì)感知的市場(chǎng)或技術(shù)分析。今年，Gartner專門面向中國市場(chǎng)發(fā)布了《2022中國安全成熟度曲線》（Hype Cycle for Security in China, 2022），在報(bào)告中態(tài)勢(shì)感知已成為成熟期產(chǎn)品。

如何解決安全問題已成為客戶的主要訴求

近兩年，我們也經(jīng)常聽到一些“新貴”產(chǎn)品的名字，例如XDR（Extended Detection and Response，擴(kuò)展檢測(cè)和響應(yīng)）、SASE（Secure Access Service Edge，安全訪問服務(wù)邊緣）。安全運(yùn)營市場(chǎng)一時(shí)間風(fēng)起云涌，儼然一幅“你方唱罷我登場(chǎng)” 的繁榮景象。但無論是什么新技術(shù)或新概念，最關(guān)鍵的還是可以解決客戶什么痛點(diǎn)？通過哪些技術(shù)手段解決的？而不僅僅是創(chuàng)造一個(gè)新名詞。

筆者近期和一些客戶交流時(shí)，經(jīng)常能聽到客戶的抱怨：“購買的安全產(chǎn)品種類越來越多，投入也越來越大，但是好像安全問題并沒有顯著減少！”這里固然有一部分原因是網(wǎng)絡(luò)安全具有“伴生”的性質(zhì)，即隨著業(yè)務(wù)的數(shù)字化轉(zhuǎn)型，各種應(yīng)用和IT新環(huán)境也在不斷發(fā)展，安全問題必然也會(huì)越來越多。但是，市場(chǎng)上安全合規(guī)類的產(chǎn)品偏多，注重實(shí)效的產(chǎn)品偏少，這也是不可回避的事實(shí)。所以，這又引出客戶的另一個(gè)問題：“檢測(cè)出惡意威脅后，我怎么判定結(jié)果是否準(zhǔn)確？怎么做到自動(dòng)化處置？”這個(gè)問題很好理解，用戶對(duì)安全的核心訴求就是合規(guī)的基礎(chǔ)上不能出現(xiàn)網(wǎng)絡(luò)安全事故，所以只有識(shí)別和檢測(cè)是遠(yuǎn)遠(yuǎn)不夠的，必須要解決問題。

如圖1-1所示，NIST的IPDRR（Identify, Protect, Detect, Respond and Recover）安全框架下從識(shí)別階段到恢復(fù)階段，依賴人的程度是逐步遞增的，而依賴技術(shù)能力是逐步遞減的。這也是為什么眾多安全廠商的產(chǎn)品都集中在識(shí)別、保護(hù)和檢測(cè)階段，而響應(yīng)和恢復(fù)階段的產(chǎn)品種類非常少。這個(gè)事實(shí)與客戶安全運(yùn)營的實(shí)際訴求充滿矛盾，因?yàn)槎鄶?shù)客戶是沒有或者只有很少人力做專業(yè)的安全運(yùn)營工作，所以即使部署了再多的識(shí)別和檢測(cè)設(shè)備，安全實(shí)效也提升不大。對(duì)于客戶來講，以前是看不到威脅，現(xiàn)在是天天看到大量的威脅告警但無從下手，只是徒增更多煩惱而已。

圖1-1網(wǎng)絡(luò)空間安全防御矩陣

所以，對(duì)于態(tài)勢(shì)感知產(chǎn)品來說，不僅僅是要滿足合規(guī)要求或者盡可能多的發(fā)現(xiàn)安全風(fēng)險(xiǎn)，從能夠發(fā)現(xiàn)威脅到自動(dòng)處置閉環(huán)的過程尤為重要。自動(dòng)處置閉環(huán)的挑戰(zhàn)主要有以下幾點(diǎn)：

• 威脅檢測(cè)要支持有效的反饋機(jī)制，例如能夠?qū)崟r(shí)糾偏，快速更新相應(yīng)的威脅檢測(cè)規(guī)則或模型。

• 檢出的威脅盡可能是準(zhǔn)確的，且能夠?qū)φI(yè)務(wù)進(jìn)行白名單保護(hù)。

• 有比較完備的產(chǎn)品生態(tài)，能夠與異構(gòu)的廠商形成完整的聯(lián)動(dòng)方案。

針對(duì)以上挑戰(zhàn)，華為通過大量實(shí)踐總結(jié)出幾點(diǎn)建議：

• 云服務(wù)是解決威脅檢測(cè)正負(fù)向反饋的最佳機(jī)制，可以解決模型實(shí)時(shí)更新的問題。

• 基于多種手段（包括簽名、規(guī)則、人工智能等）的單點(diǎn)檢測(cè)能力需要借助強(qiáng)大并易用的關(guān)聯(lián)引擎能力，才能做好完整攻擊鏈的關(guān)聯(lián)和風(fēng)險(xiǎn)排序。通過學(xué)習(xí)正常業(yè)務(wù)的基線，可以減少大量的誤報(bào)。

• 利用SOAR（Security Orchestration, Automation and Response，安全編排和自動(dòng)化響應(yīng)），通過自動(dòng)化運(yùn)營代替?zhèn)鹘y(tǒng)人工運(yùn)營。這里的SOAR存在于IPDRR的所有階段中，即將安全專家的經(jīng)驗(yàn)融入運(yùn)營人員的工作流中，使安全更具靈活、高效和可落地性。

• 除了能夠與自有產(chǎn)品聯(lián)動(dòng)閉環(huán)外，要形成產(chǎn)業(yè)生態(tài)鏈，最好能夠在國家相關(guān)監(jiān)管機(jī)構(gòu)的指導(dǎo)下形成統(tǒng)一的互聯(lián)互通標(biāo)準(zhǔn)。

因?yàn)閲鉀]有態(tài)勢(shì)感知這個(gè)產(chǎn)品品類，與態(tài)勢(shì)感知最貼近的就是SIEM（Security Information and Event Management，安全信息與事件管理），所以筆者下面將從SIEM的角度談一下安全運(yùn)營類產(chǎn)品。全球IT研究與顧問咨詢機(jī)構(gòu)Gartner在今年10月份發(fā)布了2022年Magic Quadrant for Security Information Event Management報(bào)告（以下簡稱2022年SIEM MQ），Gartner對(duì)SIEM的定義是：“安全信息和事件管理（SIEM）技術(shù)通過收集和分析（近實(shí)時(shí)和歷史）安全事件以及各種其他事件和上下文數(shù)據(jù)源，支持威脅檢測(cè)、合規(guī)性和安全事件管理。核心功能是范圍廣泛的日志事件收集和管理、跨不同來源分析日志事件和其他數(shù)據(jù)的能力，以及運(yùn)營能力（例如事件管理、儀表板和報(bào)告）。”

Gartner在評(píng)估SIEM廠商時(shí)，制定了三個(gè)重要的技術(shù)入選標(biāo)準(zhǔn)：

1. 必須具備云原生或者SaaS方式交付SIEM的能力。

2. 必須至少具有SOAR、TIP（Threat Intelligence Platform，Threat Intelligence平臺(tái)）、UEBA（User and Entity Behavior Analytics，用戶行為分析）、長期的數(shù)據(jù)存儲(chǔ)和安全運(yùn)營報(bào)告等4項(xiàng)能力中的2項(xiàng)。

3. 除了支持收集自有產(chǎn)品的數(shù)據(jù)流或日志之外，還必須支持從異構(gòu)第三方來源捕獲和分析數(shù)據(jù)。這里提到的異構(gòu)第三方包括市場(chǎng)領(lǐng)先的網(wǎng)絡(luò)、終端PC/服務(wù)器、云（IaaS或SaaS）和業(yè)務(wù)應(yīng)用的廠商，這也意味著入圍者必須與至少10家主要安全技術(shù)廠商形成伙伴關(guān)系。

Gartner的SIEM入圍標(biāo)準(zhǔn)明確表達(dá)出了一個(gè)觀點(diǎn)：Cloud SIEM將成為SIEM的主流形態(tài)，這也從IDC市場(chǎng)數(shù)據(jù)中得到基本驗(yàn)證。另外，入圍標(biāo)準(zhǔn)也表達(dá)出客戶對(duì)檢測(cè)和響應(yīng)高級(jí)功能（如SOAR、Threat Intelligence等）以及異構(gòu)安全運(yùn)營方案的渴望。

從商業(yè)上看，SIEM市場(chǎng)從2020年的34.1億美元增長到2021年的41.0億美元，年增長率為20%?？蛻糍徺ISIEM的主要驅(qū)動(dòng)因素是威脅檢測(cè)、響應(yīng)、攻擊面管理和合規(guī)性?？蛻粽趯で笠粋€(gè)具有廣泛和深入能力的SIEM生態(tài)系統(tǒng)，以滿足多種安全和業(yè)務(wù)的使用場(chǎng)景，并能夠支持多樣化的IT環(huán)境。

結(jié)合客戶需求、Gartner報(bào)告以及筆者個(gè)人經(jīng)驗(yàn)來看，SIEM這個(gè)品類正逐步向以下幾個(gè)層面演進(jìn)：

• 支持集成SaaS應(yīng)用的Cloud SIEM將成為主流產(chǎn)品。因?yàn)閲饪蛻羝毡榻邮躍aaS的方案，所以他們更加關(guān)注Cloud SIEM是否支持多云，是否支持與主流SaaS應(yīng)用集成。

• 可以識(shí)別出真正產(chǎn)生危害的攻擊。為了實(shí)現(xiàn)這個(gè)目標(biāo)，不管是基于流量的檢測(cè)（NDR，Network Detection and Response)、基于終端的檢測(cè)（EDR，Endpoint Detection and Response)，還是UEBA或TIP，都將是不可或缺的。

• Threat Intelligence在SIEM產(chǎn)品上的應(yīng)用將越來越關(guān)鍵。Threat Intelligence除了可以增強(qiáng)威脅檢測(cè)能力外，還可以用于調(diào)查取證和威脅狩獵。

• 基于SOAR的自動(dòng)化運(yùn)營能力將成為SIEM產(chǎn)品的標(biāo)配。只有不斷提升客戶的自動(dòng)化運(yùn)營程度，才能真正解決客戶安全運(yùn)營缺乏資源投入的痛點(diǎn)。另外，通過SOAR編排災(zāi)備系統(tǒng)能夠快速恢復(fù)業(yè)務(wù)，保證客戶的業(yè)務(wù)韌性。

XDR將取代SIEM？言之尚早

最后簡單談一下最近比較“熱”的XDR（Extended Detection and Response，擴(kuò)展檢測(cè)和響應(yīng)）和SIEM之爭。

Gartner給出的XDR定義為：“XDR是一種基于SaaS的、綁定于特定供應(yīng)商的安全威脅檢測(cè)和事件響應(yīng)工具，它將多個(gè)安全產(chǎn)品集成到一個(gè)統(tǒng)一納管的內(nèi)聚安全運(yùn)營系統(tǒng)中?！盭DR和SIEM的核心區(qū)別如表1-1所示。

對(duì)比項(xiàng)XDRSIEM核心區(qū)別 只取后臺(tái)系統(tǒng)需要的一手?jǐn)?shù)據(jù)聚合分析 海納百川，數(shù)據(jù)源眾多，但大多數(shù)為后臺(tái)無法理解的數(shù)據(jù)，需要對(duì)二手?jǐn)?shù)據(jù)做關(guān)聯(lián)分析適用場(chǎng)景 中小企業(yè) 大型企業(yè)或監(jiān)管部門

表1-1XDR和SIEM的核心區(qū)別

其實(shí)SIEM廠商很早就已經(jīng)意識(shí)到：與其花費(fèi)大力氣對(duì)浩如煙海的各種安全日志做安全分析，不如找到真正所需的數(shù)據(jù)。這種直接采集數(shù)據(jù)的效率更高、效果更好，這也是部分人認(rèn)為XDR最大的優(yōu)勢(shì)——數(shù)據(jù)遙測(cè)能力。但是，筆者認(rèn)為XDR目前最多只能算作是SIEM的一個(gè)子集，還談不上取代。NTA（Network Traffic Analyzer，網(wǎng)絡(luò)流量分析器）、UEBA和SOAR等技術(shù)不斷融入SIEM都是市場(chǎng)的選擇，并不是技術(shù)主導(dǎo)的結(jié)果。其實(shí)XDR能不能取代SIEM還要從兩個(gè)角度分析：

• 后者能夠替代前者的所有功能嗎？退一步講，即使不能完全替代，那么無法替代的功能需求是否會(huì)逐步消失？

• 從商業(yè)上來看，后者的市場(chǎng)規(guī)模前景是否足夠大？

綜上所述，盡管存在一些客戶部署態(tài)勢(shì)感知或SIEM失敗的案例，但大家對(duì)安全運(yùn)營中心的建設(shè)依然樂此不疲。這從側(cè)面說明安全運(yùn)營市場(chǎng)有剛性需求，但目前還無法被很好的滿足，這就對(duì)乙方提出了更高的要求。華為愿意攜手安全產(chǎn)業(yè)的合作伙伴，聚合業(yè)界最優(yōu)的產(chǎn)品與技術(shù)，為客戶提供“業(yè)務(wù)連續(xù)、數(shù)據(jù)安全、隱私保護(hù)、合規(guī)遵從”的安全運(yùn)營方案。

參考文獻(xiàn)：

Pete Shoard, Andrew Davies, Mitchell Schneider《Magic Quadrant for Security Information and Event Management》