一直有读者留言要我多写写创新,虽然每次吐槽国外虚假的创新总会引来争议。拖延到现在,RSAC2019已近余波消散,再回头看看会上的热点,并以此展开写创新,是个不错的选择。本届会议,无论议题或大厂展台或初创博览,创新处处可见。如果参与者自己未曾留意或根本看不到,从而评论说缺乏创新,那未免大大委屈了此次业界盛会。当然,我们也要有慧眼,能识别那些莫须有的创新,别被带到沟里去。例如,2017年创新沙盒冠军UnifyID违背了身份识别的最佳实践,噱头只能喧嚣一时;今天,生物特征的安全应用需要额外条件的结论已被业界广泛认可;请参考《牵强的创新 - RSAC2017之二》。
创新,往往来自于对安全本质的深刻理解,才能厚积薄发。远见者从来不曾匮乏。例如,下图来自于2005年微软内部安全战略规划研究,深刻而准确地预测了十几年来安全产品的发展:当前,主机已经超越网络成为效用更高的安全控制,而数据安全的地位正在急速上升。
如果现在画一张类似的未来十年行业预测图,思考维度已经截然不同。安全的发展,与基础设施的演变息息相关。安全从业人员若沉浸于往昔荣耀光环中,不努力学习信息技术发展大潮,毫无疑问将会被逐渐边缘化。紧追热点与创新,避免被时代抛弃,对所有从业者来讲都是个巨大挑战。
接下来,笔者将挑选三个RSAC2019万众瞩目的热点,与各位读者一同探究其中真真假假的创新。
零信任 Zero Trust
本届RSAC中,零信任出镜率位居前三。之前便说过,笔者对此名词并不感冒:所有的安全架构都是基于信任的,更有可信计算框架将信任链发挥到极致。当年第一眼看到始作俑者文章时,笔者便心想这分析师为了炒作真是不遗余力造词。平心而论,此分析师颇有水准,于趋势初起时便能识别并加以利用宣传,慧眼识珠殊为不易。但“零特权 Zero Privilege”表达理念显然更加准确,只不过比不上零信任说法更吸引眼球罢了。当然笔者也非食古不化,既然零信任成了诸多大厂共同炒作的浪潮,那我们小厂也不用挣扎干脆就心甘情愿地从了。只是令笔者目瞪口呆的情形再度发生,过去半年来市场形势急转直下,零信任概念被炒作到甚至惨过态势感知。
最开始,BeyondCorp踏踏实实向Least Privilege目标努力,虽然有很多实现上的挑战,但整体架构直观易懂,与其它安全产品和业务系统的界线清晰,确实有助于降低整体风险,赢得很多赞许。之后,做身份认证的厂商纷纷跟进也在情理之中,不过产品功能难免大打折扣。在零信任架构中,身份认证只是第一步,后面还需要各种基于行为和风险的实时授权支撑,以及与网络和业务系统的配合等等。买一个身份认证产品,离实现零信任还距离尚远,莫要被忽悠了。
有趣的是,Duo在首页中的宣传语是Secure Access Starts With (Zero) Trust,读者不妨自行体会一下这到底是有没有信任。
然后是Akamai这样的也来凑热闹,擅长的web简单包装,从不验证设备,只支持cookie,没有权限集中管理,没有应用分层,没有风险评估,没有权限动态改变机制。厂商嘴上大喊零信任,产品上来就给登录用户最大权限,不如改叫Zero Reservation Trust。
最让笔者佩服的是Symantec,紧跟分析师包装Zero Trust eXtended (ZTX) Ecosystem,把零信任一锅烩成了满汉全席:零信任数据、零信任网络、零信任人、零信任工作负载、零信任设备、零信任可见与分析、零信任自动化与编排。榜样的力量是无穷的,也许很快就有国内厂商高举“零信任数据安全”的大旗了。请看下图,Symantec在谈到“零信任可见与分析”时,“呼叫中心安全”赫然在列。
本来好好的一条创新路径,在本次RSAC中硬生生被炒作成鱼龙混杂包罗万象的大一统方案,不管什么犄角旮旯产品都能盛一箩筐包装成零信任推销给客户。当然,安全行业并不缺少头脑清醒的分析,笔者也看到些十分赞同的观点,此处特意挑选两张幻灯片供大家参考。
零信任应该包含的组件:一定不能缺少设备信任管理、权限评估、策略集中管理、以及异常检测。
一些设计原则:最小权限、集中策略管理、动态授权、自适应风险。
我们很早就说过,身份是新边界,针对的不仅是人,设备和应用自然也都可以利用身份认证控制权限来提高安全性。此次RSAC Early Stage Expo有一家做“基于身份的应用安全”初创公司,Portshift,也号称使用零信任保护应用程序,从研发代码到运行时。其使用数字签名技术来验证和授权应用,并控制应用之间的通信;使用API与CI/CD系统集成;解决传统网络ACL配置复杂、实施缓慢、容易出错等痛点。
如果它能验证容器和应用的身份,动态授权允许网络连接,并实时评估应用的异常行为风险,叫零信任当然可以。这是个值得关注的创新方向。此类产品的出现,其实还标志着一个大趋势,笔者将会另开文章讨论。估计此公司将出现在明年创新沙盒比赛中,目前看产品尚未成熟,到明年RSAC会前再仔细分析吧。
安全运营 Security Operations
近年来,安全运营的重要性愈发彰显,导致SOC平台和应急响应IR等领域的创新不断涌现。安全人员短缺的窘境,是全球行业性的困难,此问题并无解,唯有通过使用工具提高生产效率才能得以缓和。谁见过哪个国家在陷入人口增长停滞后,能靠生育刺激政策来成功扭转局面的?这是经济和社会发展的必然规律。人力成本的居高不下,推高专有领域人才的薪酬水平,倒逼生产自动化程度的提升,造就行业结构翻天覆地般的变化,才有新技术公司因此而得益的现象。
类似地,目前安全从业人员平均薪酬水平,已经接近或超过其贡献的经济价值,此时固然能从其它行业或学生中吸引部分人才,但达到平衡点后也难以持久或突破。价值倒挂的矛盾,不仅体现在创业公司估值上,现在已经开始影响传统安全厂商的发展,不少优秀员工被大厂挖走,人才梯队捉襟见肘。互联网大厂自然能够用其它业务利润来补贴安全员工的高成本。但令人尴尬的是,当你计划输出安全能力,想跟专业厂商在细分领域竞争时,你就会被拉入至相同的毛利区间,这时候如何向管理层证明你输出安全产品商业模式的ROI,将会是件非常头疼的事情。高工资对行业是双刃剑,既有促进也有阻碍。因此,资金使用效率,即便对那些号称不差钱的大厂,也是需要正面回答的根本经营战略问题。
说到这里,便要提及颇受业内关注的含金汤匙出生的Chronicle的第一个产品Backstory,全球性安全遥测平台,用于安全调查和威胁猎捕。构建于Google基础设施之上,客户上传海量安全数据,如DNS、netflow(原文小写)、终端、代理日志等,索引并自动分析。其实这个产品相对粗糙,功能不值一提,基本上就是一个搜索引擎。有个误解必须要澄清,Chronicle不是G家安全团队,Backstory也不是G家产品,与G家其它安全产品的集成至少到目前是没有的。读者请勿盲信那些吹捧文章。Backstory完全无法与Azure Sentinel或AWS Security Hub相提并论。
首先要理解Chronicle的产品服务组合,除了Backstory外,还有威胁情报VirusTotal和安全研究Uppercase,并无新意。
业界已有共识,威胁情报厂商无法独立存在达到规模盈利。未来发展有两条路可以走:一是全力投入做重产品,例如xDR;另一条是迈半步快速横移至其它领域,例如SIEM。第一条路任重道远,几乎与新建创业公司无异,需要创业团队获得全新不同能力,不过已有类似成功案例。显然,Chronicle想走第二条路。Backstory只是半步,离SIEM或SOC平台差距甚远,缺少众多关键视图。
威胁情报直接匹配原始数据的各种缺陷,相信众多先行者已经踩过不少坑;对于未知威胁也是束手无策。眼尖的读者应该看到上图界面中US DHS AIS字样,国土安全部主导的免费威胁情报共享,已经有众多私营厂商接入,并不能作为竞争优势。
Backstory希望能赢取客户的价值提供,在于易横向扩展的数据存储空间以及可预期的低廉费用。不按时间或数据量收费,只是按人头简单计算。如下页幻灯片所示。
既然产品如此简陋,诸位看官也许会纳闷笔者为什么要专门拿出来讲。因为我好奇的是其商业模式的冲击力和可持续性。虽然笔者一直关注技术,但商业模式创新仍令人心动。去RSAC的人很多,文章也很多,但Backstory最重要的竞争特点,到底定价几何,可曾有谁提过?
笔者专门去展台聊过,回答是,每用户每年45美元。2000用户的企业每年只需花费9万美元。即使我们只计算存储成本,无视CPU等计算能力投入,拿AWS EBS最便宜的磁存储做比较,45美元成本只够56G,分到每用户每天才150M日志,显然远远不够用。由此可见,Backstory便宜到令人发指。笔者推测,即使对G家来讲,这也已经接近成本线,也许Chronicle有内部补贴。此价格一出,简单日志分析的SaaS服务商再无生存空间。
能用更低的成本结构提供相同水准甚至更好的产品,竞争对手只剩下绝望。
在RSAC上发布的另一个云上SOC产品Azure Sentinel,其思路更受专业人士认可,不仅着眼于未知威胁检测,还更加注重提高效率。
Backstory提高安全运营效率的程度十分有限,而AWS Security Hub从设计之初的目标就是降低安全团队工作量。
篇幅时间所限,具体内容笔者就不展开细讲了。
此外,本次RSAC中,基础设施架构变化所带来的安全产品演进趋势,也是引人注意的热点之一。例如下面幻灯片讲述了IR侧重点的变化,也颇有指导意义。
ATT&CK 模型
在笔者看来,过去三年中,ATT&CK是安全行业最耀眼的创新。2017年开始,笔者就将公司内的威胁检测技术研发路径图重新规划调整到ATT&CK,并在行业会议演讲中多次提及并推荐,本公众号文章也每每谈到。今年RSAC上ATT&CK内容议题明显增多,受到许多业内人士追捧,场场爆满,而这只不过是滔天巨浪到来前的一波先行浪花。
ATT&CK是真正的厚积薄发。研究项目始于2010年,2013年第一个ATT&CK模型问世,2015年正式公开,迄今为止已历经8年持续投入。仔细跟踪其发展历程,就会意识到此创新受益于广泛的安全研究,多年积累才有水到渠成的今日成就。创新之难往往便在于天时地利人和缺一不可。其初始知识框架来源于由DHS发起后来转给MITRE孵化并于2007年公开发布的CAPEC项目。2013年Mandiant发布APT1报告,带起了整个行业公开披露威胁分析报告的风潮,ATT&CK模型的完善离不开这些报告中攻击手法的知识积累。而其发展恰好吻合了威胁检测从特征转向行为的大趋势,才得到众多行业内有识之士的鼎力支持。虽然不像威胁情报那般有众多厂商炒作,没有市场宣传投入,但还是稳扎稳打一步步走成了明星项目。
ATT&CK是政府资金投入引领行业发展的巨大成功。MITRE是家非营利性公司,运营多个美国联邦政府资助的研究和开发中心,其任务驱动的团队使用财政拨款建立政府和私营企业之间的商业关系纽带,以解决挑战国家安全、稳定和福祉的问题。独有的模式优势使其能够在国防和情报、航空、民用系统、国土安全、司法、医疗保健和网络安全领域提供创新实用的解决方案。MITRE运营着NIST指定的唯一的专注于网络安全的FFRDC。反观国内,虽然财政资金投入同样巨大,但产出创新并引领行业发展的成效却差强人意。
ATT&CK对安全实践落地有着无与伦比的指导意义。ATT&CK并不是基于理论假想,而是忠实记录总结了攻击对手在真实环境中所使用技战术。每个TTP都有详细的描述,包括手法、组织、应对、恶意软件等等大量丰富信息。一个最高等级的研究机构,不画高高在上的炫酷顶层设计,不用精美花哨的态势感知专业术语,不伙同分析师制造噱头炒作概念,而是踏踏实实收集各厂商报告,细致分析最基础的攻击手段,组织从业者贡献检测方法,编写开源代码辅助使用模型。我们应该扪心自问,乐此不疲地画那些大数据处理架构图就臆想能解决安全问题现实吗?不积跬步,无以至千里;不积小流,无以成江海。
ATT&CK在美国的广泛应用能使其获得至少5年额外领先优势。攻击防御两方的入门或高阶不同水平人员在学习后都能快速提高,厂商更是能直接受益。原来,高级威胁的检测发现,严重依赖且受限于安全运营团队的水平;现在,只需依照ATT&CK模型逐步落地,即使只覆盖10%也能看到防御能力的明显增长。更重要的是,CISO们对未来几年检测能力建设路径前所未有的清晰,能准确评估市售产品功能或自研工具差距,不用再听信厂商天花乱坠的吹嘘。此种能造成行业水平全面提升的现象,无论是在国家战略层面,还是行业竞争层面,都会转变成对国内各方的巨大压力。
真真假假的创新便是这样:有些风头一时无两,还没经过什么雨打风吹,过两年自己就不见了;有些默默无闻少人关注,待到惊蛰一声,已然悄悄改变了整个行业格局。读者不妨想想,分析师前两年热炒的“创新”欺骗Deception产品,卖货可以,对安全行业的影响是不是可以忽略不计。
MITRE、Microsoft、Pfizer、Target共同讨论实际应用ATT&CK的体会。
从RSAC众多议题内容中不难看到,在攻击模拟领域,无论是渗透测试工具,还是培训机构课程,都在向ATT&CK对标。
即便是ATT&CK缺乏覆盖的macOS场景,研究人员也习惯性应用其模型框架。
ATT&CK逐渐成为政府机构内部承认并使用的最佳实践。
ATT&CK已经扩展至工控领域。
厂商vmware对自己产品检测ATT&CK模型中TTP的能力测试。
ATT&CK还在持续发展中,目前短板也很明显,例如,Linux和macOS平台覆盖不够,云环境还是空白,等等。无论如何,一条正确的创新道路,将会给行业带来颠覆式的改变。让我们拭目以待。
时间篇幅所限,匆匆收尾。创新的话题永远谈不完,敬请关注本公众号并期待未来更多内容。