經驗分享 | 網路安全漏洞分析者之路

綠盟科技發表於2020-12-17

網路安全要關注雲管端的安全,並逐步提高AI演算法的可解釋性,及時發現APT的蛛絲馬跡;安全廠商需為客戶帶來價值,並讓客戶認可其價值;透過專精某項技術,可獲得較大的成就感,便於更好地從事管理工作。

安全行業的獨特之處

跟傳統的軟體專案研發相比,基於社會大背景下的網路安全是一個動態攻防對抗過程。

傳統的軟體專案研發大多時候需要產品經理提出產品模型概念後,制定相應軟體專案生命週期計劃,然後研發團隊根據具體計劃完成分配給自己的具體工作。這個過程更像流水線車間,每一個參與者需要在自己的崗位上做好自己的工作,然後就可以流轉到下一個步驟。

但是安全不一樣,它更強調動態攻防對抗。需要針對實時攻擊帶來的動態威脅進行有效的防護,就導致安全行業的發展不存在固有的程式。作為安全廠商,很多時候只有產品或只關注產品是遠遠不夠的,需要在安全產品的基礎上搭配相應的安全服務和解決方案;同時要針對威脅態勢的變化,產品和服務的應對和變化要快,響應動作也要快。

雲所帶來的安全變革

網路安全是個大話題,其涵蓋的內容比較多。物聯網、產業網際網路、工業網際網路等概念提出,在這樣一個聚集於萬物智連的時代,要根據不同的物件分層,即通常所說 “雲、管、端”3個層面。網路就是中間通訊過程的管道,屬於“雲、管、端”中的“管”, 管的兩頭是端和雲, “端”就是各種型別的終端;“雲”就是目前最為流行的雲服務。

“管、端”層面的安全問題是安全領域一直關注的傳統安全問題,而近幾年流行的“雲” 則對安全領域帶來一個巨大的變革,如果雲服務出問題,可能最終會導致比較嚴重的後果,如暴風影音的DNS解析問題就帶來很大的影響;以及近幾年雲伺服器出現的資訊洩露、虛擬機器逃逸等,都是非常嚴重的安全事件。因此在雲安全方面,除了利用以往的安全經驗對雲進行一次結構分析,同時還需要根據雲上執行的業務,去識別是否會引入新的攻擊面,新的隱患,然後再研究新的方法,把雲做得更安全。

在日常的安全工作中,就需要我們根據崗位和業務從不同物件視角和區域、縱深來看待安全問題,如企業的IT部門更關注的是網路出口,業務服務部門則更關注自己部門的終端、業務系統等。目前很多企業在網路安全方面可能只關注“雲、管、端”中的某一部分,從整體來看這是不夠的。

AI演算法要提高可解釋性

AI技術給安全行業帶來了很大的衝擊,其中AI技術在安全行業的應用以及AI自身的安全尤為重要。

2010年業界和學術圈就開始關注AI技術在安全行業的應用,尤其是使用AI技術進行大資料分析,去發現安全對抗規律。綠盟科技2015年嘗試在Web安全檢測的新引擎中引入AI演算法。在這個過程中我們的視角就完全發生了變化,過去都是依據專家經驗用正規表示式去標識一個個攻擊特徵,透過特徵匹配,以及多組特徵的邏輯組合去完成攻擊檢測;而引入AI後,可以使用機器學習和深度學習等進行智慧的威脅檢測。

目前,在安全行業引入AI,最突出的難點不是檢測率,因為檢測率可以用多種方法組合去處理。最大的難點在於AI演算法的可解釋性差,如提供一張影像給谷歌或百度等搜尋引擎,讓它們去做影像判別,影像中是一隻貓還是一條狗,最開始演算法是不能給出正確的答案。影像中可能耳朵特別像貓,但其臉型特別像狗,在這種情況下人們可以很輕而易舉地根據過往的經驗在對各種各樣的特徵比對之後,覺得它特別符合貓的特徵,這樣就認為影像中是一隻貓,人類對這些特徵進行識別和羅列出來過程就是可解釋性;再比如兩層神經網路,結合一定的應用場景可以對其進行解釋,人們也可以知道這個兩層神經網路的特徵含義,但多層神經網路,其可解釋就比較差。因此這些AI演算法當其不具備可解釋性的時候,人們很難在其工程應用上進行最佳化,在具備可解釋的情況下,可以透過這些可解釋的特徵去判別。比如某個特徵是一個強關聯,我們可以給特徵賦予更高的權值,反之弱關聯項則降低其權值。

所以我們現在研究AI在安全行業的應用也是在儘可能去嘗試,去結合一些可解釋的方法去做。包括知識圖譜演算法等,都在進行可解釋性嘗試,在這個過程中來尋找平衡點,當某個演算法計算出正確的結果,並找出支援該結果的維度後,我們再根據專家經驗去形成一些關聯,這也是未來AI在工作方面一個比較好的思路。

APT的蛛絲馬跡

APT攻擊這個概念在2010年前後開始流行,它本質上沒有一個精確的定義,它強調的就是對一個攻擊目標進行持續性的複雜手段攻擊。攻防的手段和技術會隨著APT對抗升級的過程變得越來越複雜,一旦攻擊手段和技術更新或提升了,防禦方的防守、加固手段和技術也必然要增強。

以往的攻擊大多為單點攻擊,透過單點應對就可以解決。而APT攻擊則是全鏈條的攻擊過程,它很可能在我們不關注的單點進行突破,在這個點上突破後再對全鏈條進行攻擊。近幾年越來越多的安全廠商強調對安全運營中心SOC(Security Operation Center)的研發,透過這種綜合分析手段,尋找APT攻擊的“蛛絲馬跡”,然後順著“蛛絲馬跡”裡繼續深挖。假設在這個過程中發現APT攻擊駐留的一些後門,這些後門沒有透過我們的常規入口進去,而是用其他別的方法進去的,那我們就要想辦法明確攻擊者還有沒有下一步的行動。在這個分析的過程中每天會收到大量的日誌,如主機日誌,伺服器日誌,網路通訊日誌,訪問日誌、資料庫日誌等,其中最大的難點就是在其實就是從海量的日誌中找到最可疑的部分,然後在進一步的攻擊活動前採取對應手段,緩解攻擊的影響,減少安全事件造成的損失。整個過程需要從各個維度,各個層次來收集、篩選有效的日誌、情報和資料,還原攻擊動作,同時進一步挖掘攻擊行動的意圖。

構建自有漏洞庫很重要

綠盟科技是在國內較早做商業漏洞庫的安全公司,當時國內安全市場還在發展初期,一些安全基礎設施還在建設過程中,我們需要自建漏洞庫,支撐如掃描器產品、入侵防禦產品、入侵檢測產品等多種產品的漏洞檢測、防禦能力。綠盟科技漏洞庫早期版本設計中已經包含了非常詳細的漏洞資訊,包括漏洞的廠商、 應用場景、版本、提供者、廠商公告等,經過多年持續不斷的更新,目前綠盟科技的漏洞庫已經積累了大量的漏洞資訊。

 

現在已有CNVD、CNNVD等國家漏洞資訊管理平臺,可以對外提供漏洞資訊了,但是對於產品線比較全面的安全廠商構建和維護自己的漏洞庫還是很必要的,一方面可以在CNVD、CNNVD等漏洞庫資訊的基礎上新增更多的漏洞資訊;另外也可以根據漏洞資訊對公司內部的安全產品、服務之間進行關聯,透過持續地升級和更新公司產品來解決這些漏洞。安全廠商在自己構建和維護漏洞庫的過程中,則可透過與CNVD、CNNVD進行整合和相互認證來更快、更及時、更全面地發現漏洞資訊。

給客戶帶來價值

安全這個行業的不同之處在於,在企業中安全始終是一個需要持續成本投入的領域。其價值體現跟其他業務部門也完全不一樣,他不像業務部門,如銷售部門可以透過銷售資料就可以支撐價值的明確的目標。如何體現安全的價值,往往需要結合企業需求去琢磨。安全要自己去尋找企業可能存在的安全問題,同時還要對這些安全方案和安全問題的解決形成衡量標準。安全從業人員在不同的公司、不同的行業都需要自己去找到相應的視角展示安全給公司帶來的價值。作為安全廠商本質上也是一樣的,需要給客戶帶來價值,並讓客戶認可其價值,而不是自己感覺良好就可以了。

其實在安全從業還是一個比較辛苦的事情,首先需要對安全感興趣、有熱情、有想法;然後才是需要有必備的安全技能。如果在興趣和專業的基礎上覺得安全這個行業有意思的話,堅持下去,未來還是會更好的。很多安全從業人員在早期接觸的時候是從運維、資料分析等開始。起初他們對安全並不十分了解,這樣需要一段時間打牢安全基礎知識,如果不掌握安全知識,很難分析和解決安全問題。

學習漏洞分析一定要精專

這兩年在高校中有很多同學對漏洞分析是很有興趣的,隨著現在網路上學習資源的不斷豐富,他們可以透過去看論壇、微博等方式來接觸到漏洞分析的知識並能打一定的基礎。但隨著相關技術的不斷學習,也可能會有些迷茫,就是到底應該分析什麼,我主要的分析物件是什麼呢?比如你是透過學習Windows核心挖掘的書籍來學習漏洞分析的,那就是從Windows平臺的安全和漏洞一步一步學習下去。如果是透過看其他類別的圖書來學習的話,你可能又學習的是其他的漏洞分析知識。在漏洞分析的技術學習中,比如說提權,或者是跨站指令碼,軟體漏洞等涉及的技術面非常廣泛,大多時候需要在軟體程式碼層進行分析,有時還需要一些二進位制分析;涉及的程式語言也非常廣泛,包括C、C++、ASP、Java、Go等。這麼多的技術和語言都對於漏洞分析人員來講都是可以學習的,但不管學習哪一種技術,一定要精,另外一定要非常的有興趣。對於漏洞分析這個特殊的崗位來說,一定是學習的自驅力大於外部推動他去學習的能力。在“精”過程中,會使你在某一個領域獲得較大的成就感,或者會更好的勾起好奇心,這樣是一個比較好的學習和工作過程。

熟悉技術可以更好地做管理

我在讀研期間做過像掃描器、原理性安全分析等工作。畢業後就進入綠盟科技。目前在綠盟科技工作已經有13年了,曾參與過綠盟科技早期的IPS,審計、WAF等產品的核心功能研發。隨著公司核心技術去發展,逐步進入到現在的研究部門負責管理工作。

綠盟科技是一家以專業技術見長的網路安全企業,所以在技術崗位到管理崗位這個轉換過程是一個挺自然的過程。因為熟悉技術,而且在前沿技術研究、產品研發這兩類技術崗位都工作過,因此在擔任管理崗位後在進行工作安排和團隊溝通交流時,沒有技術壁壘,上下級之間會互相去支援和幫助,我崇尚激發大家的工作內驅力,給予一定的自由度去向前發展;同時綠盟科技從20年前開始就有一個特別的制度——導師制,即使升級到管理人員,也會有管理導師來幫扶,現在安全圈挺多公司來綠盟科技交流導師制。

目前國家層面對安全非常重視,相信在各級主管部門的領導下,國內各個廠商機構積極配合和推動,透過在技術、服務產品上不斷創新,向客戶提供可以依賴、實際效果更好、更有價值的安全能力。

轉載宣告:本篇文章轉載自公眾號“網路空間安全之路”,已獲授權。本文為該公眾號策劃的“我和我的網安之路”系列文章,受訪物件為綠盟科技網路攻防實驗室技術總監李文瑾。

 


相關文章