0
對于所有的安全人員來說,每天都要面臨兩個終極難題:到底誰在黑我?為什么要黑我?
為了避免被黑,他們往往配置了“里三層、外三層”的防護手段和安全產品。
這樣造成的結果是:在發現異常情況時會有N條告警時,時間一長,人也逐漸麻木,他們不知道在眾多的告警中,哪些才是真正危急和需要馬上去處理的。
真要出了事,安全廠商也不會背鍋---你看,不是我們沒預警,是你們沒有重視起來啊!
最終被劈的還得是苦逼的安全人員。
正所謂“不怕賊偷,就怕賊惦記”,令安全人員更加擔心的是,有些黑客在入侵的過程中,采用的是“潤物細無聲”的招式,他們潛伏已久,早已對你進行了長期和有計劃的摸底,知道你最關鍵的東西放在哪里,哪里有破綻,他們等的只不過是一個合適的時機,引爆那些早已布置好的“炸彈”,而你卻對此一無所知。
今天的故事,雷鋒網先從一個名為“Dragonfly”的黑客團伙講起。
2017年,一個名為“Dragonfly”的黑客團伙被賽門鐵克曝光,此前,這伙黑客是讓能源行業談之色變的“隱形人”,自 2011 年開始,能源行業就備受其騷擾,但“敵人”究竟能力有多強?武器如何?盯上了哪些國家的哪些設施?一直是個迷。
雖然安全人員此前對這伙人都早有耳聞,但在曝光之際,該團伙所具備的能力還是讓業內人跌破了眼鏡。
他們可以對超過84個國家的數千座發電站進行遠程訪問,并能針對數十家能源公司同時發動攻擊,不僅能入侵能源公司的運營網絡,還能操控美國本土的配電網絡,這是我們第一次意識到攻擊者居然能夠操控如此大規模的電力系統運營。
告訴我這串數字的,是賽門鐵克華東及華南區售前經理王景普。
王透露,針對能源等關鍵設施進行攻擊的,都是有備而來的黑客,即“針對性攻擊組織”,他們目標明確,而且在真正動手前往往都已經用“魚叉”“水坑”等攻擊招式掌握了攻擊目標的關鍵信息,比如用釣魚郵件知道了某些關鍵員工的郵箱用戶名、密碼,獲取到核心數據,用“水坑”式攻擊了解企業員工平時都會訪問什么類型的網站,將企業經常訪問并信任的網站作為攻擊目標……
但與此同時,安全人員卻對這些黑客不了解,尤其是每天收到 N 條告警時,他們更加分不清誰是誰,這就好比打仗時,一直處于敵暗我明的不利態勢,敵方早就刺探出你的排兵布陣,而你卻渾然不知對方的情況。
根據王景普多年的“戰斗”經驗,要想把這伙黑客揪出來,得有兩個殺手锏。首先要掌握足夠多的作案數據,第二就是你要能在這么多數據中根據共性,分析出這伙黑客的特點,再順藤摸瓜的鎖定他們。
要做到這兩點,并不容易,第一要有充足數據,第二要有先進的算法,只有這兩項都具備,才能有跟黑客叫板的資格。
對于神出鬼沒的黑客,只有廣撒網,才能尋覓到一些蛛絲馬跡。就像一位出色的偵探往往都會在前期做大量縝密的線索搜集工作。
(圖片來源:偵探游戲“9條線索2病房”)
所以對于安全人員來說,擺在面前第一件事是盡可能收集到黑客團伙充足的數據。據王景普透露,目前賽門鐵克在全球覆蓋了 1.75 億個終端和 9500 萬傳感器,所以可以針對端點流量、電子郵件甚至是誘餌郵箱收集廣泛的數據,形成了最終大數據分析的數據來源。
由于覆蓋了龐大的終端和傳感器,我們能對全球 157 個國家和地區的多個攻擊團體進行持續跟蹤,在此基礎上,我們也積累了相對龐大的漏洞數據庫。從二十多年前開始,該數據庫至今已經記錄了超過將近9萬個漏洞。
有了數據倉庫后,接下來最關鍵的就是如何分析這些數據,最終揪出黑客團伙。
王透露,最終的分析結果其實得益于于近幾年開始使用的機器學習技術,工程師團隊要做的,就是在海量的數據中,把有共性的攻擊行為挑出來進行分析,從而鎖定背后的黑客團伙。這要求這個團隊既有機器學習的知識積累,還有網絡安全的專業知識,王把這項“偵探”技術稱為 TAA (針對性攻擊分析),雷鋒網編輯覺得,這更像是一個“AI偵探”的角色。
TAA 技術由攻擊調查團隊和安全數據科學家共同研發。
王透露,這個具有多元背景的團隊正是他們得以揪出 Dragonfly 的幕后功臣,它可以讓客戶無需更新產品,通過定期的重新訓練和更新分析來檢測新型攻擊手段。
那這跟之前的高級威脅分析有何不同?
王回應,針對性攻擊的分析工具其實在 2011 年已經有了,只是各方面還沒那么成熟,以前賽門鐵克只把它放在情報網里,相當于“試煉”,沒把它放在ATP設備里,因此無法向客戶提供詳細報告和信息,而現在,是把它從幕后拉到前臺,讓用戶直接看到分析結果。
分析結果的體現方式是一份份詳細的分析報告,解決的正是文章開頭所遇到終極難題,你被哪些黑客組織盯上了、他們以前有哪些黑歷史、慣用套路是什么、什么時候盯上你的、對你的攻擊進行到哪步了、接下來你需要采取哪些措施……
這些工作成果,都來自這位“AI”偵探,而這項技術之所以能實現,數據上云是一個關鍵點。
王景普解釋,由于原來的引擎一直在賽門鐵克自己的數據中心運行,所以計算能力有很大的局限性。現在憑借云端龐大的計算能力和大數據分析平臺,人工智能和高級機器學習專家的想法才得以實現,之后再做成有效的機器學習模型,最終輸出正確的分析結果。
你以為用了“AI偵探”就能叫板黑客了?
NONONO,你用AI,黑客也用AI,說不定人家的裝備不比你差!
其實,賽門鐵克在去年就曾預測,黑客將會利用人工智能和高級機器學習等手段發動攻擊,而安全人員能不能占上風,將取決于監測范圍和數據量的大小,以及對于數據的處理分析。
對于做安全產品的企業來說,監測范圍、數據量以及分析引擎都是縮短抓到黑客時間的關鍵,這也是為什么我們要把整套系統從原來自己的數據中心全部遷移到云上的原因,如果沒有云計算超大計算能力和大數據分析平臺的配合,我們也無法處理數據如此龐大的分析。
王景普告訴雷鋒網,為了使數據更加全面,質量更高,他們除了自研,近幾年也在不斷的收購新公司,比如針對IOT、移動終端和云的安全,都收購了相關的產品和技術,黑客攻擊一個目標企業時可能利用到的傳統方式、通道和新的方式、通道都要覆蓋。
那么,如此大規模的收集數據,是否對業務會產生影響?是否會侵犯客戶的隱私?
王回應,第一,不會對用戶的終端產生影響。對于企業的端點,在客戶明確允許的情況下,賽門鐵克會通過 SEP 收集來自企業端點的數據。由于ATP設備只接受從其他來源復制的流量,而不參與網絡中數據的交換,所以它不會對網絡本身的性能產生影響。
第二,在端點方面,賽門鐵克的軟件一旦打開某個事件,收集的只是日志,量非常小,所以電腦運行速度不會因為記錄日志而變慢。此外,由于收集這些數據不需要另外安裝客戶端軟件,所以不會導致它跟端點上的其他應用產生沖突或者導致操作系統崩潰。
第三,會確保匿名性。他們所收集的數據只是事件日志,而不會記錄企業真正數據,所以不會涉及到企業機密相關信息的收集。針對企業端,在收集數據之前,客戶需要自行去配置功能,得到客戶明確允許后,才能進行數據收集,由客戶決定哪些數據可以被收集,并且不會收集客戶名字,也就是說,數據上傳后賽門鐵克也不知道這究竟是哪個客戶的數據,所以能夠確保匿名性。
雷峰網原創文章,未經授權禁止轉載。詳情見轉載須知。
