重读 Bruce Schneier 《事件响应的前景》
前言
这是Bruce Schneier 写于2014年年末的一篇博客1。Bruce 开篇即提出:“当前这个十年属于安全响应”。重读这篇博客,内容在安全响应领域仍具洞见,推荐一读。
“This decade is one of response.”
读书摘要
三个趋势使得响应成为必然
Bruce 认为“安全是防御、检测和响应的组合”。追溯到20世纪90年代,之前两个十年分属防御和检测,而“当前这个十年则属于安全响应”。他提及,近些年在市场上开始看到事件响应类产品和服务。由于如下三个安全趋势,安全团队也正将其纳入到自己的武器库中。
-
“我们正失去对计算环境的控制”,包括数据和关键基础架构。
-
“攻击日趋复杂化”。APT的崛起,需要新的威胁建模。同年BlackHat大会的演讲,Bruce本人对APT术语做了概念延伸,泛指“一些对 IT安全非常重要但是被业界在很大程度上忽视了的东西”。
注:再次回顾2013年 Target 数据泄露事件,当时参与事件调查的 iSight 于2014年年初发布的一份威胁情报报告《KAPTOXA Point-of-Sale Compromise》中提及,攻击者在这次事件中使用了技术精巧的组件,但最出色的还在于这次入侵的操作编排。Mandiant M-Trends 2015报告中则提出,网络罪犯和 APT攻击者会彼此借鉴技战术(“BLURRED LINES—CRIMINAL AND APT ACTORS TAKE A PAGE FROM EACH OTHERS’ PLAYBOOK ”),因而识别他们的攻击目标对于衡量事件影响以及企业建立基于风险的安全策略至关重要。 -
企业在防御和检测上投入不足,即使在最佳的环境下这两种方法都不完善,响应成为必然。
经济学角度论及安全响应的前景
Bruce认为:战术层面,安全既是产品也是流程。而事实上安全也是技术、人员以及流程三方面的有机结合。防御、检测以及响应三种方法不同之处在于,技术、人员和流程所占的比例。防御系统主要是技术,人和流程提供支持;检测则需要或多或少相同比例的技术、人和流程。而响应主要由人来完成,通过流程和技术提供关键支持。另一方面,客户的网络环境、面临的攻击情况、每个组织自身的业务和合规要求都是不同的,完全自动化事件响应并不现实。成功的事件响应需要思考,所以人是不可替代的。
接着Bruce借用了一个经济学理论—柠檬市场,也被称为次品市场。经济学家主要研究的是买卖双方信息不对称的市场,特别是卖方相较买方掌握更多的信息,最终次品以价格获胜。在安全行业,防御和检测类产品也面临劣币驱良币、价格为王的怪象,关键原因在于缺乏好的方法评估产品的质量。而对于安全响应产品来说,如前所述,以人为中心,这是不同于防御类和检测类产品之处。买家能很快识别响应类产品的优劣,从而好的产品会做得更好,柠檬市场理论在此将不适用。
这里,笔者还有额外的一些感触:
- 国内某些大型企业的产品集采,价格因素会更多起主导作用。
- 2014年9月 NSS Labs 组织的 WAF 对比测试,参与本次测试的厂商中 Imperva 成为唯一一家 neutral 级别厂商,其他均为推荐级别。这次测试采用的模型 Security Value Map,纵轴评估安全有效性,横轴评估每cps的总拥有成本。从最终测试报告数据看到,Imperva 在横轴安全有效性上,误报率比其他厂商低了几倍或者一个量级,但横轴得分被拉下去了。后面了解到,NSS Labs 非官方承认,当年测试范围覆盖到的安全功能不够,不足以客观评价 WAF 产品。
在动态变化的攻防对抗中,企业、厂商还有第三方测评机构都需要做出变革,关注解决实际问题的有效方案、建立质量评估基线,打破柠檬市场怪象。
事件响应的成功关键
对于事件响应的成功关键所在,Bruce 引用 Lorrie Faith Cranor 观点:“有一些任务,没有可行的或者具有成本效益的、用于替代人的方案。在这些情况下,系统设计者应该工程化系统,以支撑人员的参与,并最大限度地提高人员成功执行安全关键功能的机会。”我们所需要的是帮助人的技术,而不是取代人的技术。(注:大家如果还有印象,之前介绍过的一篇博客《安全编排和事件响应》,Bruce 写于2017年,对这个观点有更深入的思考。)
对此,Bruce想到的最佳方法是 OODA(Observe, Orient, Decide and Act Loop)模型,这一源自美国空军军事战略家 John Boyd 开发的实时对敌战术。在这个理论中,速度至关重要。敌对双方会不断进行 OODA 循环。如果其中一方能够快于对手、进入到对方的循环中,就会拥有巨大的优势。关于 OODA 介绍,这里不再赘述了,大家有兴趣可以看Bruce博客原文或者 ZenMind 一篇比较早期的文章《大数据安全分析——分析篇》2。
小结
到了今天,大家早已形成共识,被入侵是不可避免的,最重要的是失陷开始到实际损害发生之间的时间窗口如何采取举措。之前介绍过的 Lockheed Martin “情报驱动防御”模型3也进行过阐述,我们需要观念的转变,安全响应并不是只会发生在失陷之后,对应杀链模型,需要尽可能在杀链前期进行响应。而杀链模型中存在防守方可利用的两个有利条件,使得防守方在动态对抗中可能具备优势,也即:攻击是一个链条,意味着攻击方需要完成杀链所有步骤才能达成目标,而防御方在某个阶段采取相应措施后就可能破坏整个链条甚而挫败对手;攻击方考虑经济性,多次入侵中技战术必然有重复性和连续性的特点。
Bruce 这篇博客主要从三个安全趋势开始探讨安全响应成为必然,接着从IT经济学理论的视角阐述了安全响应的前景,最后引入 OODA 模型探讨安全响应的成功关键。Bruce 也于2014年年初,作为 CTO 加入了 Co3(也即2016年 IBM 收购的 Resilient Systems),着手安全事件响应平台(SIRP)产品的开发。而近两、三年国外安全编排和自动化、安全事件响应平台以及威胁情报平台三类技术逐渐融合,我们会发现安全运营领域演进出新的SOAR(Security Orchestration, Automation and Response)技术。后面会专门写一篇文章《小议SOAR》,届时再做更多分享。
- Bruce Scheiner, “The Future of Incident Response”, 2014年11月10日,URL: https://www.schneier.com/blog/archives/2014/11/the_future_of_i.html
- https://www.jianshu.com/p/15f2d92fc9c3
- https://www.jianshu.com/p/0106fdb67086
网友评论