互聯(lián)網(wǎng)普及20多年來(lái)，網(wǎng)絡(luò)安全也從簡(jiǎn)單的設(shè)置防火墻和虛擬局域網(wǎng)(VLAN)，發(fā)展到了由機(jī)器學(xué)習(xí)(ML)和人工智能(AI)驅(qū)動(dòng)的分析。變化太大，如何適應(yīng)?

[[246741]]

驅(qū)動(dòng)網(wǎng)絡(luò)安全巨變的引擎是網(wǎng)絡(luò)犯罪，及其快速打敗安全技術(shù)迭代進(jìn)步的超強(qiáng)能力，幾乎是安全技術(shù)一更新，網(wǎng)絡(luò)犯罪的新應(yīng)對(duì)就接踵而來(lái)了。防火墻是第一個(gè)被挑戰(zhàn)的安全技術(shù)，需監(jiān)視流量的規(guī)模之大、復(fù)雜度之高，已經(jīng)到了無(wú)從應(yīng)對(duì)的地步。曾經(jīng)被視為可促進(jìn)威脅追捕的入侵檢測(cè)系統(tǒng)(IDS)、入侵防御系統(tǒng)(IPS)和各層終端及設(shè)備安全措施，也很快步了防火墻后塵。

諷刺的是，導(dǎo)致防御措施跟不上威脅發(fā)展的罪魁禍?zhǔn)撞⒉皇欠阑饓?、IDS、IPS和終端安全軟件檢測(cè)不到網(wǎng)絡(luò)攻擊，而是它們產(chǎn)生的警報(bào)開(kāi)始讓防御者不堪重負(fù)。流量不斷增加，且新生代工具還在不停添加著需監(jiān)視的賬戶、應(yīng)用、權(quán)限和用戶;安全供應(yīng)商急于采用可使人類合理揀選事件的專家系統(tǒng)來(lái)解決問(wèn)題。

SIEM的興起

2000至2010年間，安全信息管理(SIM)、安全事件管理(SEM)及其相互結(jié)合的產(chǎn)物安全信息及事件管理(SIEM)，是解決數(shù)據(jù)過(guò)載的合理方法。SIEM不用各個(gè)專屬系統(tǒng)來(lái)管理日志數(shù)據(jù)，而是提供統(tǒng)一的視圖呈現(xiàn)收集自各個(gè)來(lái)源的數(shù)據(jù)并進(jìn)行關(guān)聯(lián)處理。盡管SIEM成為了不可或缺的安全幫手——安全運(yùn)營(yíng)中心(SOC)和集中式安全監(jiān)視如果缺乏SIEM將難以執(zhí)行日志監(jiān)視工作。

歸納總結(jié)下它的優(yōu)缺點(diǎn)還是很有必要的：

• 能快速關(guān)聯(lián)來(lái)自各安全事件的數(shù)據(jù);若使用單個(gè)系統(tǒng)的日志，這種數(shù)據(jù)關(guān)聯(lián)要么不可能實(shí)現(xiàn)，要么耗時(shí)太長(zhǎng)。一旦檢測(cè)到什么可疑的，可迅速指示安全系統(tǒng)加以阻止。
• 能清楚凸顯當(dāng)前及歷史異常(也就是違反了安全策略的事件或操作)。
• 大多數(shù)SIEM都有報(bào)告界面供合規(guī)及審計(jì)使用，比如 PCI DSS 和HIPPA。

SIEM也有局限，首當(dāng)其沖的就是其有效性取決于饋送進(jìn)來(lái)的日志事件及運(yùn)用規(guī)則關(guān)聯(lián)事件以產(chǎn)生有用警報(bào)的方式。原則上，好的規(guī)則應(yīng)能發(fā)現(xiàn)異常事件。但想要既發(fā)現(xiàn)異常事件又不讓安全團(tuán)隊(duì)被誤報(bào)淹沒(méi)，卻并不像市場(chǎng)營(yíng)銷宣傳冊(cè)上寫(xiě)的那么簡(jiǎn)單。

很明顯，建立和維護(hù)這些規(guī)則(或者調(diào)整SIEM隨附的規(guī)則模板)是十分復(fù)雜的，因?yàn)闃?biāo)準(zhǔn)化日志輸入以兼容各監(jiān)視系統(tǒng)所用不同數(shù)據(jù)格式的過(guò)程就很復(fù)雜。鑒于這些格式和日志中捕獲的輸入都會(huì)隨時(shí)間進(jìn)程而改變和增加，這項(xiàng)工作會(huì)變得繁復(fù)艱巨。

UBA及用戶的回歸

送進(jìn)SIEM的數(shù)據(jù)不斷增加，SIEM管理越來(lái)越難，SIEM實(shí)時(shí)檢測(cè)攻擊又不至累垮安全團(tuán)隊(duì)的能力遭到質(zhì)疑。于是，人們不得不開(kāi)始尋找新的萬(wàn)能解決方案。Gartner所謂的用戶行為分析(UBA)便進(jìn)入了人們的視線。

該方法點(diǎn)出了用戶的重要性，指出梳理網(wǎng)絡(luò)探測(cè)器收集的數(shù)據(jù)注定達(dá)不到安全目的，應(yīng)該放棄猜測(cè)日志事件的含義及其相互關(guān)系，轉(zhuǎn)而關(guān)注用戶基線狀態(tài)及其憑證。一旦用戶事件偏離了已知正常狀態(tài)，無(wú)論是內(nèi)部還是外部的正常狀態(tài)，就會(huì)產(chǎn)生警報(bào)。

2005年左右，新一代的防火墻已經(jīng)納入了用戶管理功能，但對(duì)投入SOC和SIEM的公司企業(yè)來(lái)說(shuō)，將該功能整合到統(tǒng)一的系統(tǒng)中總比作為單獨(dú)的監(jiān)視設(shè)備更有意義。某些情況下，UBA被實(shí)現(xiàn)成SIEM的擴(kuò)展或其自帶的一個(gè)功能，因?yàn)楣?yīng)商是根據(jù)市場(chǎng)需求來(lái)開(kāi)發(fā)產(chǎn)品的。

好像還差點(diǎn)兒什么?

2015年，Gartner認(rèn)為UBA已經(jīng)進(jìn)化到了新的階段，演變成了用戶及實(shí)體行為分析(UEBA)，多加了一個(gè)字母?；旧暇褪窃黾恿酥鳈C(jī)、服務(wù)器和各種應(yīng)用，某些UBA其實(shí)已經(jīng)加入了這些東西供關(guān)聯(lián)用戶事件及其對(duì)服務(wù)器和數(shù)據(jù)的訪問(wèn)?？梢哉J(rèn)為，Gartner將UBA改為UEBA只是在說(shuō)明一個(gè)明顯的事實(shí)：雖然監(jiān)視用戶行為很重要，同時(shí)監(jiān)視用戶與之互動(dòng)的資源同樣重要。

引人深思的問(wèn)題是UBA/UEBA是取代還是補(bǔ)足SIEM。不愿失去成熟市場(chǎng)的老牌供應(yīng)商自然希望市場(chǎng)論調(diào)朝著這個(gè)問(wèn)題不值得爭(zhēng)論的方向發(fā)展。比如說(shuō)，如果公司企業(yè)已經(jīng)部署了SIEM，那他們可以并行構(gòu)建UEBA，將UEBA的數(shù)據(jù)饋送給SIEM以獲得更高層次的視圖。

另一種觀點(diǎn)則認(rèn)為，UEBA不僅僅是傳統(tǒng)SIEM分析的一個(gè)面向用戶的擴(kuò)展，而是理解網(wǎng)絡(luò)安全的全新方式。一直以來(lái)，網(wǎng)絡(luò)安全就是設(shè)計(jì)些通過(guò)規(guī)則來(lái)實(shí)現(xiàn)的策略。哪個(gè)地方出現(xiàn)了違反規(guī)則的事件，安全產(chǎn)品就會(huì)產(chǎn)生一條警報(bào)。這種模式的問(wèn)題從來(lái)都是費(fèi)時(shí)費(fèi)力還攔不住機(jī)巧百出的攻擊者。而且，傳統(tǒng)模式對(duì)內(nèi)部人威脅完全無(wú)效，具有合法權(quán)限的員工無(wú)論是惡意操作還是無(wú)意誤配置資源，都能躲過(guò)傳統(tǒng)方法的檢測(cè)。

機(jī)器與人

UEBA的重點(diǎn)在于檢測(cè)事件或其上下文是否偏離了網(wǎng)絡(luò)既定的“正常”狀態(tài)。這一點(diǎn)很大程度上由機(jī)器學(xué)習(xí)軟件實(shí)現(xiàn)，但機(jī)器學(xué)習(xí)本身并不是應(yīng)UEBA的檢測(cè)需求而產(chǎn)生的，機(jī)器學(xué)習(xí)不過(guò)是恰好很擅長(zhǎng)模式識(shí)別，能發(fā)現(xiàn)偏離既定狀態(tài)的異常情況而已。

如果使用機(jī)器智能作為安全工具的模式能證明有效，UEBA就可被視作SIEM的替代物。但二者也存在融合的可能。如果真的走了融合路線，市場(chǎng)可能會(huì)受到一定震蕩，因?yàn)檫@種演變將會(huì)整合供應(yīng)商，讓他們?cè)谶@個(gè)稍成熟的產(chǎn)品品類中互相競(jìng)爭(zhēng)。

最終，客戶考慮的將不再是信任哪種技術(shù)，而是想要投資哪種網(wǎng)絡(luò)和安全治理方式。邊界安全仍是最簡(jiǎn)單的網(wǎng)絡(luò)安全操作，即便在自身矛盾的重壓下瀕臨崩潰。

想要獲得最佳安全實(shí)踐，新采納的方法得能夠?qū)崟r(shí)檢測(cè)威脅又不至產(chǎn)生太多誤報(bào)。另外，不用花太多時(shí)間爭(zhēng)論各種縮略語(yǔ)的含義了，未來(lái)屬于既能充分利用已有技術(shù)又對(duì)新技術(shù)敞開(kāi)懷抱的解決方案。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文