彙集全球資訊保安產業焦點的2019RSA大會準時到來，今年RSAC2019大會確立“Better”為主題，旨在數字化時代背景下探索新的網路安全發展領域，致力於尋找更優秀的安全廠商、產品以及服務解決方案。近些年，隨著大資料、人工智慧等技術的應用，整個安全行業都在積極探索推動這些新技術在安全領域的被“更好”的應用。檢測和響應作為安全領域永恆的主題，從它們在本年度以及去年RSA大會的熱度不難看出，各大安全廠商都加大了對基於智慧體系的自動化檢測和響應方面的投入，這些廠商利用自動化、流程編排、人工智慧和機器學習的組合，來改進他們的集中化安全管理和運營平臺，達到威脅發現和響應更加的自動化、智慧化。

正如來自Juniper Networks的安全專家Nick Bilogorskiy在他的報告《Accelerate and Simplify Incident Response with Secutiy Automation》中向大家介紹的，利用安全自動化的技術可以極大的簡化和加速安全事件的響應流程。

安全形勢研究

報告開始，基於自己的調研，Nick向大家介紹了高階威脅在TTPs（Tactics, Techniques, and Procedures）上的發展趨勢。其一，隨著個人資訊的洩漏，利用個人賬號密碼的攻擊在增長。據調查，32%的駭客認為利用特權賬號登入是最快、最便捷的攻擊方式，有81%的入侵利用了被盜取、被洩漏賬號密碼資訊或者是本來就存在的弱密碼，由於賬號密碼洩漏的增多credential stuffing（利用一組被盜取的密碼組成賬號爆破的密碼字典）的攻擊也愈發的猖獗。其二，是針對雙因子認證的攻擊也頻頻出現，例如被稱為SIM Swapping的攻擊，能利用一些隱秘的欺騙手段騙過移動運營商，從而將受害者的手機號轉移到被駭客控制的SIM卡上，而普遍被利用的以手機為接收端的雙因子認證體系反而成為駭客的幫兇。其三，針對軟體供應鏈的攻擊也呈劇增態勢，只在2017年就增加了200%，並且在整個供應鏈上，針對第三方合作伙伴的攻擊所導致的損失成為了重災區，據調查，有42%的公司曾因為合作伙伴的攻擊遭到牽連，並導致了嚴重的資料洩漏，應了那句老話“就怕x一樣的隊友”。最後，網路攻擊已經高度的自動化和整合化，高階的攻擊者都有自己的一套自動化、整合化的攻擊套件，能對獵物發起接近全流程自動化的有效攻擊。

SOC存在的問題

針對嚴峻的高階威脅安全形勢，安全平臺類產品（如SOC、SIEM）總是容易被人提及。任何”有理想“的甲方安全員都夢想擁有自己的安全分析平臺，而平臺的現實卻是依然的殘酷。Nick根據自己的調研，列舉了當前SOC存在的四大問題：

1） 告警太多，平臺無法運營；

2） 運營中太多需要人的參與，消耗大量的人力資源；

3） 功能過於複雜，運營難度高；

4） 因為防禦手段的滯後性，防禦永遠跟不上威脅的發展步伐。

機器學習與安全

至此，Nick開始介紹機器學習在安全領域能發揮的作用。本章開篇介紹針對於機器學習外界渲染和學術研究的巨大差異，闡述了他所理解的安全檢測問題，當出現新的需要檢測檔案或研判的事件時，需要回答三個問題，以下是筆者自己的理解：

1） 判斷題：判斷是否為惡意；

2） 選擇題：選擇惡意的類別，是木馬、蠕蟲還是惡意廣告？

3） “主觀”題：根據實際情況做風險評估。

首先介紹了三種惡意檔案的檢測方式，如下圖表格：

分別列舉了靜態檢測、檔案信譽以及基於沙箱檔案行為的檢測方式，對各自的檢測內容項、使用的檢測方法和檢測的效能、效果做了簡要的介紹，其中static和reputaion的方式在基本做到“know know”，基於行為的分析方法在一定程度上能做到“know unknow”。

基於行為分析的檢測方式能很好的體現機器學習的優勢：能夠很好利用indriect indicator(Not Necessarily Malicious indicator，例如使用者“正常”的行為操作)。indriect indicator也具有傳統IOC不具備的優點，它更不容易被偽裝或假冒，如某些動作的頻率、行為組合（combination of actions），也能為提供更通用的檢測帶來可能性，因為利用這些特效能檢測到利用同樣技術的不同家族，而利用具有特定特性的惡意軟體訓練集能輕鬆定製處檢測目標，因樣本可以有特定的組織給出，也就是的檢測機制能適應不同的部署環境。

接著Nick又為提出了在機器學習中“資料為王”的“大眾觀點“，合適的訓練資料是模型成功的最重要因素，也用下圖介紹了模型訓練的一般過程。

接著就是大家的規定動作，介紹機器學習的ToolKit，監督學習、非監督學習以及半監督學習。並且給出成功的機器學習的黃金標準：1） 瞭解你的訓練資料；2）對演算法的優點和缺陷都要心中有數；3） 不斷的迭代、清洗和重複。

另本章節幾張圖值得收藏。

監督學習的模型訓練和使用過程

深度學習

針對檔案樣本分類的模型生成過程

非監督學習

聚類分析

事件響應的自動化

威脅響應的自動化能做什麼呢？ Nick列舉了三項：1） 透過多源資料的採集、關聯和理解來標識高階威脅；2） 能夠持續性的學習威脅行為，利用安全工具進行自動化的工作，以便涵蓋更多的威脅；3） 提高檢測的精度，能為安全專家研判提供更優質的資料，以便他們作出最優的決策。接著，Nick分析了典型的威脅響應流程：

在流程中，面對不斷產生的新告警，需要不斷的做威脅運營研判，判斷是否為真正的威脅以及是否需要深入的關注分析，如果是需要關注的威脅，則需要採取緩解或修復措施，否則要加入白名單列表或者做假陽性誤報處理。為更好的排定威脅處置的優先順序，需要有一套威脅關注度評價機制，來回答什麼樣的威脅應該被關注，Nick給出了自己的看法，認為以下兩點因素需要被更優先的考慮：1） incident的攻擊目標和重要資產的關係；2） 考慮威脅的影響範圍以及攻擊目標是否快要達成。同時也給出威脅響應關注要素的優先順序：1） 攻擊基本屬性（攻擊源、攻擊目標、攻擊載荷等）；2） 入侵途徑（透過什麼途徑發起攻擊的，是web、mail、document還是橫向擴散）；3） 惡意的行為（木馬、掃描、CnC、外洩等）；4） 為響應團隊同步威脅概況； 5） 提取威脅中的終端使用者活動範圍；6） 允許威脅利用使用者名稱來做標識，而不僅僅是IP地址和DNS。對於攻擊證據，需要採集諸如惡意檔案、pcap包、網路探測等資料，用來對攻擊做驗證，也能用來確定有效和適當的緩解措施。攻擊的影響範圍，需要評估哪個裝置/使用者受到了影響；攻擊的進度，要確認攻擊活動了多久，這需要根據攻擊的屬性做時間序列的分析。

為使得自己的觀點更具操作性，Nick介紹了一些use cases：

以及主要的入侵途徑：

以及event所可能覆蓋的攻擊鏈階段：

自動化的解決方案依賴於各種產品、模組所開放的OpenAPI，以便達成供應商以及產品之間的資訊交換：

應對安全事件，應該做什麼？Nick列舉出安全事件響應應該要完成的Task：1） 從web，mail中收集資料；2） 分析和檢測高階威脅；3） 標識受影響的主機和使用者；4） 儘可能從所有的資料來源中收集資料的mate資訊；5） 關聯所有相關聯的主機事件；6） 按照時間線合併事件；7） 將所有資訊彙整合一個Security Incident。以此來達成四個目的：減少來自SIEM告警的干擾，避免人工關聯，提供對威脅的洞察力，簡化incident響應流程。

Nick給出了incident response的基礎架構圖：

自動化的響應方式到底能帶來什麼好處呢？Nick給出了他們的實踐的答案：自動化的響應相比人工能節省80%的時間消耗：

報告的最後，Nick對安全的現狀疑慮重重，提出了自己的幾點建議：

1） 攻擊者正利用自動化的方式提升攻擊的效率和效用，作為防禦者也應如此；

2） 在爭取使用機器學習的情況下能大幅度的提升威脅檢測能力；

3） 因機器學習的不可解釋性，因此需要專家輔助來解釋機器學習的結果輸出；

4） 利用自動化通用任務為威脅影響提速。

安全攻防的對決很大程度上是雙方速度的比拼。

綠盟科技最新的兩項研究表明： 1） 大部分網際網路的業務系統在上線後半小時內會被攻擊者探測發現並開始遭受攻擊， 2）系統的最新漏洞在資訊公開後 10 小時～13 小時，攻擊者會採用最新的攻擊程式碼對開放在網際網路系統進行攻擊。第一項研究採用蜜罐系統完成， 綠盟科技研究人員發現所有蜜罐系統在上線後不到半小時就會遭受探測類與掃描類攻擊，並且每個蜜罐系統遭受攻擊平均次數多達 50次以上。 透過對蜜罐系統的持續觀測，綠盟科技研究人員發現每次緊急高危漏洞的資訊公開後的 10～13 小時以內，蜜罐系統就能捕獲針對緊急高危漏洞的新型攻擊。 以上資料都表明，當前我國網際網路充斥安全威脅並威脅演進的速度非常驚人。

綠盟MDR服務

面對攻防演進速度驚人的形勢，為更好的為企業客戶以解燃眉之急，綠盟科技在2018年推出了可管理的威脅檢測與響應服務（NSfocus Managed Detection and Response Service，以下簡稱綠盟 MDR 服務）。

綠盟 MDR 服務是一種集安全威脅檢測裝置、安全威脅分析平臺、安全專家服務於一體的一站式安全運營支撐服務，透過入侵檢測防禦系統、全流量分析系統、態勢感知系統等安全裝置與平臺及雲端遠端安全分析專家共同為企業客戶提供各類安全的威脅檢測與響應服務（如下圖所示）。

相對於傳統的安全產品與安全服務，綠盟 MDR 服務具備以下優勢：

1、避免企業資訊保安建設面臨的管理風險

當前國內企業機構的資訊保安建設往往採用先採購安全裝置和安全平臺類產品，後採購運維外包服務方式解決安全問題。這種建設方式，往往在工期上、人員配備上、技術整合上存在較大風險。實現不同廠商安全裝置的統一運維與管理、不同安全裝置與平臺同步開發、聯調對接、安全運維外包服務或安全運維人員招聘和培養等問題給企業增加了供應

商管理及外包管理成本和風險，難以確保採購的安全裝置、平臺及服務能夠形成完整的、有效的運營體系應對日益複雜的安全威脅。

綠盟 MDR 服務是一體化的、端到端的安全運營支撐服務，透過一體化的設計有效整合了安全威脅分析平臺、安全檢測裝置及安全運維專家資源， 並在技術上、流程上和人員配備上形成有效的安全運營支撐體系，從而避免了企業在安全建設上的風險。

配置靈活，成本可控，降低總體成本

綠盟 MDR 服務可採用靈活方式採購。一方面，客戶可以根據自身業務系統的型別、規模及規劃靈活地選配威脅檢測與分析所需要的裝置。另外一方面，在安全裝置及安全平臺建設上，企業可以根據自身的安全預算情況選擇租賃或採購的方式。對於已購買綠盟安全裝置的客戶，還可以選擇在原有安全裝置基礎上擴建的方式完成 MDR 服務的採購。透過以上方式，企業可以大幅降低資訊保安建設的一次性投入，並且在確認安全運營支撐服務效果後逐步追加投資。

2、 降低運營負擔，適配企業原有的管理流程

與傳統安全裝置採購不同，綠盟 MDR 服務採用一體化建設方式，在原有安全運體系基礎上增加企業威脅檢測與防護的能力，能夠完整地實現企業原有的安全運維體系無縫對接，避免給企業安全運維帶來額外負擔， 降低整體安全運營效率。

綠盟 MDR 服務是無論是在服務模式上還是在技術上都是業界先進的，該服務不僅為客戶提供了安全一體化建設方案，避免安全建設專案的風險，還進一步融合業界最先進的大資料分析技術、機器學習技術、智慧決策技術為客戶有效精準地識別安全威脅和事件，從而協助企業持續有效地降低安全風險和安全事故帶來的損失。