态势感知的支撑和价值落地

当前态势感知现状反思，现状一个很重要的追求是界面的华丽，国内很大的一批工程实践实际上是大规模的互联网探测扫描结果或者开源的威胁情报通过可视化的手段展示出来，这种倾向性将态势感知庸俗化。现状更多的态势感知是被他华丽的可视化所掩盖，实际上我们来看一种更好的表现形式未必带来生产力，在2010年我们通过一个仪表盘的方式，观测我们后端样本分析自动化流水线的时候，可以给工程师更好的视觉感受和运维效率。当我们尝试通过一个沙盘式进行巡游遍历的时候，我们发现虽然他的接受度更好，但是毫无疑问他的生产力下降了，更好的表现力并不能带来确定性的生产力。我们在态势感知的整个领域空间，陷于迷惘之后，我们可以讲，我们需要向传统空间寻找一些威胁知识的共性和灵感，应该说我们当前很大程度上夸大了网络空间的威胁的特殊性，而忽略了他相应的共性，但实际上我们看到两个空间是打通的，那我们在传统空间中有一句很熟悉的正经格言：威胁是能力和意图的乘积。而在网络空间中，比如说我们以APT为例，毫无疑问A就是他的能力，P就是他的意图，因此APT就是能力和意图的乘积等于威胁的过程，因此在这样的一个过程中，实际上网络空间威胁之所以被如此看中，并不简单的在于他的特殊性，而在于他达成的与传统空间威胁的一个等效性的作用效果。就像我们之前比较巴比伦行动、震网行动一样。而我们进一步看，把乌克兰停电再加上这次仿“必加”勒索攻击乌克兰基础设施的事件，做一系列的要素对比的话，我们可以看到，随着整个网络空间的接触面积的加大，通过网络空间达成物理空间的作业效果实际上已经具有了相应的更低的相关成本。那么在这种背景下网络空间的规律认知不是一个独有全新空间的规律认知，而是基于他和传统空间以及传统威胁所对应的共性规律基础上的差异性认知，比如说我们在《网络防御与态势感知》这本书中可以看到，对比传统战争和网络战争他同样是基于领域、军事政策、数学定义、必要资源等一系列要素所对应的概括。那我们需要在这样的一个共性基础上来看待问题需求，我们可以看成传统的作战意义上的态势感知，其实正在为我们网络意义上的态势感知提供了一种非常成熟的前置化的实验基础，同时我们又可以在共性要素上来看待传统空间中已经解决了哪些危机，具有哪些特点。而网络空间中带来了哪些新问题。而这里面我们想进一步回归态势本源那我们就要看当前我们对于态势感知的一个技术要求。我们回归到态势感知最经典的1995年的概念的话，是在一定时间、空间内观察环境中的元素，理解这些元素中的意义，并预测这些元素在近期未来的状态。那我们可以从观察、理解、预测三个步骤思考我们需要达成的行动，而在这里面我们需要看到的是，如果把观察、理解、预测作为一个第一阶段要求、第二阶段要求、第三阶段要求的话，那么实际上我们是基于网络安全的基本需求和手工作业形成一个可视化和操作化的列表结果，而这个列表结果在大规模的感知数据支撑下的系统实现就是态势感知系统。那么也就是说，态势感知不是一个展示系统，其本质上注定是个业务系统。那么作为业务系统的支撑改善我们的采集和对象处理，那么这里来讲在同样有传统的采集和对象处理相关联的，已经有理SIEM系统和SOC系统，那我们今天看到的SIEM、SOC叠加的更好的可视化手段称为态势感知的时候，那么态势感知是SIEM加SOC的整容版吗？那实际上我们细想一下SOC是为了管理记忆存在的离散的安全环境产生的，SIEM是为了汇聚离散的系统日志、应用日志和安全日志的所产生的，他们的一个共性是先有安全产品和感知能力，而后有相关的管理系统。那么也就是说他们的存在是既有能力形成的事实，而不是基于一个自身安全价值需求而要求底层能力的重构，因此态势感知和SIEM、SOC的核心区别是态势感知要求形成怎样的感知数据支撑并反过来要求相关的安全能力环境予以相应的变化。我们已传统的IDS为例，实际上它是规则匹配加上一定的扩展结果对应的五元组结果的日志，那么也就意味着所有不被匹配到的数据将不被记录，那么这就不符合当今在大量的攻击在首次投放前不能被检测这一既定事实。而我们今天来看，如果我们把一个局部性质、匹配性质的采集转化成一个无条件采集，把这种五元组的简单采集转化为十三元组的全要素采集并扩展相应的字段。那我可以看到他就在相应的协议体系甚至是更细粒度的这种应用层协议上可以形成全要素加全向量的提取，从而来支持响应的态势。那么从这里面来看以全要素采集和全对象解析为基础，如何来提高攻击者的成本呢？因为实际上检测是一种有条件的方式，他就意味着放行或容忍不被匹配的事件，而解析和记录是一个无条件的事件，那么就意味着无论攻击者的行为是否在整个规则体系中被发现，他都将被有效的记录，从而使整个数据是可以有效的回溯和相应的回归。同时来看，在整个主机侧的采集和网络侧的采集形成大量文件对象之后，该进行怎样的处理？当前沙箱有呈现合规化产品的倾向，那么也就是简单的把沙箱视为一个鉴定器来使用，而忽略了沙箱本质是以漏洞触发、行为解释和威胁情报生产为核心目的的设备存在，更何况沙箱本身是对沙箱环境中条件运行结果的记录，因此，他所能形成的必然是整个代码行为相对局部的一个子集。我们可以看到无论是“震网”的USB摆渡还是“方程式”这种主机作业模块的搭建，对相应的这些样本沙箱注定无法取得好的鉴定效果和解析结果。因此沙箱既是一个必要性的环节又是一个极容易导致惰性的一个环节。如果沙箱的数据没有被有效利用，如果沙箱被当做一个引擎，那么实际上我们就南辕北辙了。那么为了同时弥补沙箱相应的缺损，我们可以看到动静态手段需要更好的结合。传统的威胁检测引擎需要从一个威胁的检测器转化为一个检测的分析器，就像我刚才所说的，检测是一种有条件手段，而分析是一种无条件手段。我们就可以看到无论引擎是否能形成对威胁对象的结果和标注能力，他都会形成细粒度的格式解析和向量提取并且从向量里进行相应的标签知识转化，这样我们就在下一代威胁检测引擎的实践中为整个的态势感知提供了更好的一种数据架构能力，从而使原有的简单的区分有毒格式和无毒格式转化为可识别格式和不可识别格式，并且进行整体识别一切格式和解析一切格式这样的工作努力。那这样的话，就把传统引擎从一个单一对象输入单一结果输出转化为复合对象输入和一个解析的向量结构体输出的这样一个响应的特点。刚才已经讲了，对于流量侧的处理对于对象侧的处理，而在于端点侧的处理来看，那他就不只是生成相应的文件向量而要形成相应的系统环境向量，在这种系统的环境向量中在一个整个一个资产体系中形成向量大数据空间。态势感知确实是以决策为核心的，无论是自动化的决策还是人为的决策固然重要，但预见力未必能有效转化，从2015年到2016年的多篇文档中，对于类似“Wanna Cry”使用网络军火的这种外译，包括对于勒索软件的多种传播方式以及他所带来的蠕虫回巢都做出了预见，但当我们回想起这些预见力的时候，除了转化为安全厂商自身的产品驱动力之外，是否达成的我们想要达成的社会价值效果？可以说没有。那么这里就说明在整个资源使用中，是否能使用到最佳时点是重要的，这种过前式的预见往往并不能带来效果，而恰恰实在4月14号到5月12号之间，当我们已经检测到了使用“永恒之蓝”漏洞的相关黑产工具的时候，如果我们在这个时候集中释放消息预警，相比之下反而是有效的，而恰恰在于过前预警容易导致在现实问题上出现一定的麻木性。进一步来看，如果从安全厂商来看，在响应“Wanna Cry”的过程中，我们都可以看到可以说有一条紧锣密鼓的响应时间链，从15月12号下午一直延展到接近三周的整个时间内，在这个过程中，我们可以看出一系列工具的发布，十余篇文献的编写和大量的现场的应急响应工作，耗费了巨大的应急成本。在这个过程中，我的个人观点来看，我们国家整体对这次响应工作是有效的，恰恰反应我们当前所面临的无效的防护。勒索软件不是一种应该大面积通过响应来抵御的事件。怎么样才能有效的抵御呢？假定他破快的非常彻底，加密的非常彻底，删除的非常彻底，难道要通过交赎金来响应吗？这是不可思议的！伪装“必加”事件本身就不是勒索攻击，而是伪装成勒索攻击的数据破坏，一旦破坏达成的话，他的响应成本是不可估量的。因此，当前来看，比如说勒索病毒，他必然会进行批量化的文件的读取和处理，一旦一种恶意行为具有一种形式化的概括就可以建立整体的防护，我们可以看勒索病毒是可以通过激励型防护，包括木马的MBR写入是可以进行激励型防护，那么加入说都能这样在威胁发展之中即使没有得到有效的支撑通过激励型防护带来有效的防御性就是整个态势感知的成本收敛。国内的能力型安全厂商基于安全实践共同推相应的滑动标尺模型，那么在滑动标尺中安全体系有架构安全、被动防御、积极防御、威胁情报来构成。有效防护在基于底层收窄了需要态势感知做出动作的决策事件数量，同时他也构成了态势感知所形成的情报下行的有效落地手段，而态势感知是基于上层的高价值的奢侈的顶层资源，如果没有有效防护使下层的事件数量迅速的有效的收敛的话，那么态势感知将是无异议的。过去来看，我们是基于大规模的互联网扫描来形成相应的态势，那我们可以说他是一个脆弱性视角，那么如果我们把这种流量侧的检测数据叠加到感知系统中，那可以说他是个事件性视角。但实际上，我们进一步从更广阔的认识的角度来看这个问题的话。在整个网络空间中，其实就和社会的认知论一样，存在着主体，包括攻击者、防御者、安全厂商等等，存在的客体就是相关的资产以及攻击方使用的相关资源以及公共资源，存在的关系，主体和主体之间，比说攻击者和被攻击者之间存在的关系就是意图，那么攻击方所拥有的基础设施和发起的攻击到达防御方的资产这种关系就叫做事件。所以说我们究竟是以事件为核心的、以脆弱性为核心的态势感知，还是以资产价值评价、资产威胁的有效性为核心的态势感知。我认为，应该是以资产为中心并连带扩展他关联的主体关系的这样的一个态势感知，这更逼近我们的目的更逼近事件的本质。从我们过去来看威胁检测的话，是单纯的把恶意代码也好，攻击数据流量也好，当成一个单纯的技术事件来处理，在如今“大玩家”入场的情况下，那么实际上网络攻击者本身以及他相应的意图就变得更为重要。因此威胁检测需要向威胁认知来提升，从我们来认知威胁的话，我们把他分成：载荷（相关的恶意代码和工具）、行为（通过这些恶意代码和工具做了什么）、攻击者使用的相关资源无论是投放点，还是他所使用的装备比如说攻击平台，攻击者本身是一个什么样的性质，他是为何目的发动攻击，被攻击的人是谁，受到的资产有哪些，以及对他相应的量损。这样的话就形成一个N维度的威胁认知，不再是传统的事件记录所能概括，他需要一个知识体系来支撑。那我们以南亚次大陆对我方发动的一系列网络攻击，过去我们已经公开了两篇报告并有一些相应的内部报告，那么实际上我们可以维持一个威胁认知的图谱来理清相应的威胁。那么他就使整个态势感知透过了传统的统计意义开始深达本质。毫无疑问今天的网络威胁不再是简单的以事件次数累计为统计，那些号称在重大的时间阶段防御住了上亿次的攻击，其实很大比例是其他政府职能部门和安全企业承担安保任务的扫描包。而真正意义上的像APT这种威胁的，完全不能用事件数量这种维度来进行统计，而是要有效的评价量损、朔源、和威胁关联。为什么我们今天的态势感知更多的就是基于互联网的普遍性威胁探测和可视化叠加？为什么他远离我们的关键基础设施和重要的保护目标？很大程度上是我们缺少相应的敌情相应，我们认为物理隔离加好人假定加规定推演实际上就可以保证我们的安全，但事实上就等于是断开了内网安全体系的有效链接能力，而放任攻击者进来可以为所欲为。在这种背景下，总书记在419网信工作座谈会上特意告诫我们物理隔离防线可被跨网入侵，因此，如果建立一个面向基础设施和重要目标的态势感知体系，他需要在有效敌情响应下来建立，他需要立足于：内网已被渗透、供应链被上游控制、运营商网络关键路由节点被控制、物流仓储可以被渗透和劫持、关键人员可被定位摸底、内部人员有敌特的派驻人员或发展人员。需要立足于战时的高烈度对抗、平时的持续性对抗、和平战的无点性对抗和高成本对抗。态势感知从来不是单纯的防御技术，他本身就是从军事领域过度来的技术，那我们从美方的“COME DADA”计划上来看，是通过在运营商已经形成持久数据化探测体系，在这个数据获取的能力之内来探索他的攻击目标和安全厂商之间的通讯来判别自己的攻击是否已经被用户感觉到和暴露。所以说态势感知也好，人工智能也好，威胁情报也好，从来任何的安全技术都是攻防双方的公共地带。