周五参加了北京站的EISS峰会,听完大佬们的分享后感受颇丰,做安全要不断研究当前趋势和业内成果,持续学习并自我输入。
首先最宏观的感受就是UEBA、SIEM、SOAR以及机器学习这四个大点了。上午的分享中无一不提到这四点,而其中的核心似乎仍在机器学习。UEBA(User and Entity Behavior Analytics)其核心价值在于提供事件调查的上下文,目前主要对于多源低频、拟人伪装等攻击行为有显著效果。SIEM(Security information and event management)源于日志管理,它将安全事件管理(实时分析日志和事件数据以提供威胁监视、事件关联和事件响应)与安全信息管理(收集、分析并报告日志数据)结合起来,将多种数据进行实时智能联想、全局数据分析、关联分析、威胁画像,第一时间定位到关键威胁事件。SOAR(Security Orchestration,Automation and Response)实现安全与运维事件的自动化编排和快速响应。机器学习则全程伴随着不同的技能点,在UEBA、SIEM、SOAR中都被引入机器学习算法,不断推动自动化分析。但由于标注样本的难度以及场景的多元化,机器学习技术难以应用。
其次,以往的防护理念都是防止黑客攻击,通过边界防护、系统隔离来进行安全措施,但现在的边界越来越模糊,因此需要从边界层面到其他层面来管控(这里IOT安全就是最典型的例证),通过资产管理、监控风险点、解决状态等多维度因素来判断当前安全状况,了解整个流量链路以及相关配置,以用户为视角进行行为分析,让数据可分析可理解。
而目前的难点及痛点在于如何快速定位攻击并解决问题。从日志采集到告警产生再到威胁整个流程都需要进行归一化处理,从海量告警中找出真正的威胁,对威胁进行不同程度划分,判断事件的严重程度,然后将事件与事件进行关联,通过历史资产回溯问题。
网友评论