安全“望樓”的黑科技

李勤

不知道你還記不記得“烽火戲諸侯”的故事，在古代，烽火臺會根據不同的敵情傳遞不同顏色、濃度等形式的狼煙，完成最原始的情報監測和傳遞。到了《長安十二時辰》里，情報監測和傳遞的黑科技玩得更溜了：長安城108坊，每300步設1望樓。遍布整個長安的瞭望塔，樓上的兵卒時刻俯視街面；如發現任何異常，立刻向臨近望樓傳遞信息，一樓接一樓，片刻即可傳回靖安司總部，呈于李必面前。有的觀眾不服氣了，這都是馬伯庸和編劇瞎編的：“望樓在唐代是有的，但它只是野戰時軍營里搭建的瞭望塔，一般是由木頭搭建的。電視劇里的情節應該是作者虛構的，它可以起到瞭望作用，但不叫望樓，也沒有那么復雜的信號系統。”好吧，雖然歷史上的“情報的監測與傳遞”沒有電視劇這么酷炫，但“情報監測”演化到現代企業的攻防對戰中，可要比電視劇華麗多了。13年前，有一家叫作網神的安全公司推出了國內最早的安全管理平臺（SOC），那會兒傳統SOC 經歷了“烽火臺”一般的初期發展，主要對企業的安全日志進行分析，然后促進一下合規管理。 “烽火臺”——傳統 SOC 慢慢發展，10年后，2016 年奇安信（網神母公司）推出了其中一個“迭代版”——新一代態勢感知與安全運營平臺（NGSOC）。NGSOC 終于達到了比“劇版望樓”更黑的黑科技成就：應用大數據、威脅情報、流量分析和機器學習等多項新技術，對海量日志實現存儲計算、高級威脅檢測及響應處置閉環。而且，它是能動手就絕不嗶嗶的實干派。奇安信集團大數據與安全運營公司總經理馬江波稱，NGSOC 更重要的是支撐實戰化的安全運營工作，經過了200多家企業實際使用的蓋章認定。在一次實戰化攻防演練的過程中，NGSOC 作為部分政企機構的安全攻防作戰平臺，發現了數百起攻擊行為。至此，你可以把它理解為，這次“劇版望樓”終于運用到了現實生活中。

放羊的孩子也很難

這要從企業資產中數據越來越值錢開始說起。自打黑客和內鬼紛紛認識到了數據的重要性，他們的黑手就伸過來了。里外都有黑手盯著自家寶貴的數據，企業也很頭疼，一旦重要數據因為網絡攻擊或是意外事件而泄露，將會導致組織的數據資產和聲譽遭受嚴重損失。這是第一個需求。第二，外部攻擊越來越厲害了。厲害到什么程度？以前，可能只是小毛賊黑客單兵作戰，現在他們的攻擊越來越組織化——黑客組團出擊，分工明確，目標長遠，現在在網絡上已形成了制造木馬、傳播木馬、盜竊賬戶信息、第三方平臺銷贓、洗錢這一分工明確的網上黑色產業鏈。企業已經不能夠再像以前一樣防御這種武器和黑客的進攻，單純地被動防守已經扛不住了。監測、防御、響應和預警得一條龍跟上來，主動地發現自家的薄弱之處，實現主動防御。而第三個不得不面臨的大環境是，新的法律法規明確提出了安全監測預警的要求。不是嚇你，捅了婁子就要被警察叔叔抓進去，就問你擔心不擔心？企業可能面臨這種終極困擾的人生哲學：你說得都對，但是到底什么是主動防御，什么是監測、防御、響應和預警形成閉環？我們以兩類處置方法進行對比：第一種，聽到了狼的叫聲，狼好像朝這邊過來了，放羊的小孩自己干不過狼，他想直接去叫村里的防衛隊過來，但沒有權限，人家說一個小孩懂什么，萬一不是狼你聽錯了怎么辦？當然是要聽村長的命令。小孩只能去找村長，誰想到村長正在開會，誰也不能打擾，等到村長開完會找人處置時，羊圈已經被掃得一干二凈。第二種，狼來了，村里安置了報警器和各種自動的陷阱，狼一踏進來就被捉了。“過去攻擊來了，判斷后你要找一個安全研究員，把防火墻再加強，這個周期非常長，現在檢測出攻擊以后，第一反應就是阻斷，一鍵響應，自動給防火墻下指令，阻斷這個報警，這就是一種主動防御的能力。”馬江波說。另一層主動防御是，小孩長大了，具備了自己分析判斷的能力，可以自己進行不太復雜的判斷，減輕村長判斷的負擔，只有在情況比較復雜時才需要村長出馬。“NGSOC把調查的上下文為安全分析的人準備好，比如相關的流量，甚至終端日志的多維度關聯，讓安全分析員的效率有很大的提升，這是一種主動。”馬江波說，在這錯綜復雜的分析中，一部分是自動處置，其他依靠人工，但這已經大大減輕了安全分析員的工作量，但在本質上，要建立以人為中心的安全監測預警體系。

高階“望樓”也有難處

說了半天，還是需要高級分析人員的參與？是的，但我們先看看NGSOC還能為人做些什么。馬江波稱，NGSOC建立在大數據技術架構之上，運用 Hadoop、Spark、ES等大數據組件，解決海量數據的采集、存儲和計算的難題。傳統的數據庫只能處理億級數據且查詢速度在分鐘級，以前可能安全分析人員抽了根煙回來，平臺還沒算完，但現在NGSOC支持分布式大數據架構，可以處理百億級數據，查詢速度達到秒級，這是第一個技術創新點。第二個創新點是，將威脅情報和全流量分析技術引入安全運營平臺。第三個是搭載首個分布式事件關聯引擎，關聯引擎每秒可以處理高達10萬條安全事件，支持彈性業務擴展，也就是說將兩件看上去沒什么關系的事情挖個底朝天，結果發現了其中的勾連，就好比讓人的思維發散式延展，平臺自動幫你呈現其中的關系，建立精準的模型。馬江波提到，NGSOC是重服務的——以人為核心的安全運營服務，但是一般企業哪有那么多經驗豐富的高級分析人員？NGSOC的客戶屬于政企端，客戶將大數據嚴嚴實實地揣在懷里，要想通過第三方供應商運營分析數據，很多客戶猶豫了。但是，總體上高級運營分析人員數量有限，到底分配給誰？馬江波原來想的是，在每一個省建立一個一級運營中心，大概配備10人的高級分析團隊，在市級設立二級駐場分析人員，因為這些政企單位在省和市的內部通道可以打通，那么，二級的數據可以流向一級，一級的分析能力能流向二級，這樣的模式能從一定程度上打消客戶的顧慮。這種模式目前還在試行中。但是，NGSOC 運營服務的終極思路還是“云端運營”：實現30%—40%的云端運營，客戶有疑問時，派高級分析人員實地“上課”。面對謹慎的客戶，馬江波還想再勸說一下：“如果甲方慢慢認可這種模式，其實對他們的響應效率、能力的提升、成本的降低都有幫助的。真正運營起來需要的是人才，人才不足的情況下，企業也應該解決人才匱乏的問題，為什么我們不做呢？我覺得不光對乙方好，對甲方也好。”NGSOC在為這種終極思路鋪路：奇安信在青島和綿陽的安全人才培訓基地招募了很多種子選手，計劃在2019年培養超過1500名安全服務工程師。“現在這些種子選手像學徒一樣進入中心和高級的人才在一起。如果能夠堅持下來，他們不就慢慢從初級變成中級了嘛。”在人不夠和急需人的矛盾下，NGSOC 的另一個目標是自動化響應。馬江波說，這事馬上就提上日程，2020年上半年，NGSOC計劃推出SOAR組件。除了人和工具，企業要想真的用好安全運營平臺，日常隨手拎出潛伏的妖魔鬼怪，還要靠自己。睿智的將軍看清了一切，做好了神勇的決策，但是調動不了士兵作戰，這是將軍的悲劇，也是大廈傾覆的前兆。