产品视角从“分析”到“响应”

1. 从“检测”到“响应”的鸿沟

“检测”和“响应”近几年日趋火热，早期市场用户认为只要检测到了威胁就可以及时做出响应，很容易接受从“检测”到“响应”的最直观的解决方案，而且这种解决方案看起来很符合大多数企业安全运营能力现状。很多厂商也迎合这种早期需求推出了简单的产品组合方案，试图将“检测”和“响应”这两个过程顺理成章地过渡起来。

然而，多年的高级威胁治理实践一次次粉碎了上述简单的想法，任何方案的落地都需要大量实践相佐证。当用户接受并部署高级威胁检测类型的产品和解决方案之后，随之而来的不仅仅是揭开了藏匿在网络中各种污垢，还带来了海量的可疑威胁告警，当运维人员接到告警处置派单时，噩梦也接踵而来。如何捕捉到“有82%只会保持一个小时的活跃性，70%只会出现一次”的恶意软件，如何分析这些恶意软件的活性？通过网络检测到的可疑威胁对象，在终端上却找不到任何留存和活动的迹象，运维人员如何判断告警的真实性？如何给出一份有价值的事件分析报告？如何制定和执行下一步响应策略？

在没有采用这些检测产品和解决方案之前，用户对于高级威胁大多眼不见心不烦，采用了这些检测手段之后，逐渐有用户开始后悔了，因为自身的技术能力、知识储备、专业技能和现有流程并不足以应对如此海量的告警。甚至绝大多数用户根本没有做好处置这些告警的准备，用户开始怀疑这些检测产品和解决方案的价值，于是，他们选择将此类产品和解决方案束之高阁，或者选择对告警置之不理，要么只挑选自己把握的告警来处理。

很多人会说造成以上现实窘相是由于高级威胁检测技术的不成熟，造成误报率居高不下，无法给予用户高质量的告警，诚然，这是问题的一面。然而，无论技艺多么高超的医生，如果不借助专业的分析工具或技术，不依靠过往的知识和经验，都不可能对一个疑似症状做出完全无误的诊断。事实上，造成这种现状的原因是早期市场对于从“检测”到“响应”过于简单的认知。

从“检测”到“响应”，必然绕不开“分析”这个关键阶段。然而，无论是Gartner还是其他第三方分析报告，对“分析”这个环节都没有给出太多的解释，Gartner甚至没有将“分析”列入其自适应防护模型的关键阶段，但无论如何“分析”所承载的正是从“检测”到“响应”的核心业务逻辑。

2. 完整的“分析”与“响应”流程

从检测产生事件线索（Event Warning）开始，到事件响应结案归档，一个完整的“分析”和“响应”流程包括以下四个步骤：

图1 分步“分析”与“响应”模型

a. 线索受理（Prioritize）

1. 降噪、去重、聚类

2. 初步分类

3. 优先级划分

b. 定性分析：验伤（Triage）

1. 确认攻击的真实性

2. 确认攻击的本质

3. 确认攻击者意图

c. 定量分析：取证（Forensics）

1. 回溯完整攻击场景

2. 判断攻击的严重性

3. 评估攻击的影响和范围

d. 响应与结案（Respond & Close）

1. 制定、下发、执行响应策略

2. 完成修复补救和结果反馈

3. 结案归档

验伤和取证过程对应的关键技术以及输入输出在上篇文章《从产品视角重新定义“检测”和“分析”》中有详细描述，此处不再赘述。第一步“线索受理”是产品工程化的内容，这里额外描述最后一步“响应和结案”，这一步的输入来自“取证”过程的输出：事件报告（Incident Report）。安全人员通过事件报告中的定性定量分析结果，可以制定、下发、执行对应的云管端响应策略，包括主机/终端/网络隔离、主机/终端文件清除/隔离、进程/服务停杀、账户冻结/注销、注册表清理，网络IP/Domain/URL拦截等修复补救措施，此外还包括云管端安全产品的策略更新，以防范同样的威胁再次发生。无论是自动化执行还是人工执行，最后都需要反馈执行结果，在确认执行结果之后完成事件结案，最终输出“结案报告”（Final Report）并进行归档。

3. 产品如何实践“分析”环节？

上述完整的“分析”和“响应”流程均是以最复杂的攻击场景为例，不同类型的威胁和攻击对于“分析”环节的需求粒度各不相同，首先我们先看一下威胁和攻击的分类。

a. 威胁和攻击的三种类型

威胁和攻击从属性上大体可划分为以下三种类型：常规威胁（Conventional Threat， 80%）、大规模攻击（Mass Attack， 18%）、定向攻击（Targeted Attack， 2%）。注：百分比只表示三类威胁和攻击的大概数量级关系，并不代表绝对数值意义。在不同区域、不同行业、不同用户、不同时间，这三类威胁和攻击的绝对百分比各不相同，但量级关系基本类似，另外，随着各方形势的变化，大规模攻击和定向攻击有进一步扩大的趋势。

图2 威胁和攻击的三种类型

    i. 常规威胁（Conventional Threat，上世纪90年代至今）

主要指传统的病毒、木马、蠕虫、后门、恶意程序、恶意脚本、恶意网页和站点、恶意邮件、一般漏洞攻击等。通常此类威胁只涉及单一的威胁活动，不涉及复杂攻击场景。

    ii. 大规模攻击（Mass Attack，2014年至今）

特指勒索、挖矿、钓鱼、在线广告诈骗这几种有组织的大规模黑产活动。

    iii. 定向攻击（Targeted Attack，2000年至今）

有明确政治、经济、商业、军事等意图，针对特定价值目标长期渗透获取情报或进行破坏的有组织黑客活动。定向攻击按严重性又可以划分为三类：常规红蓝对抗（如护网）、商业级APT和国家级APT。

在实际网络环境中，一个组织会同时遭受上述三类威胁和攻击。就这三种威胁和攻击的分布而言：常规威胁非常普遍，在三类威胁和攻击的占比中据绝大多数，对于一个组织来说，通过传统的签名、特征码、信誉库、策略、规则等技术可以很容易拦截到此类威胁；大规模攻击占比居中，黑产为了尽可能多的获利，一直追求较为便捷的方式以入侵更多的主机和终端，因此，大量的僵尸网络、N Day漏洞、钓鱼邮件、无文件攻击、各类变种软件等被广泛使用，组织不得不时刻提防和应付；定向攻击最然占比最小，但检测和响应的难度最大，给组织带来的危害也最大，常常令一个组织如临大敌，但又束手无策。三种威胁和攻击的划分可参考下表：

指标

常规威胁

(Conventional Threat)

大规模攻击

(Mass Attack)

定向攻击

(Targeted Attack)

代表

病毒、木马、一般恶意软件、普通漏洞攻击等

勒索、挖矿、钓鱼邮件、在线广告诈骗等

红蓝对抗、商业级APT、国家级APT

占比

70%～80%

20%～30%

0%～3%

关注热度

SMB(中小企业)->ENT(企业)->VLE(超大企业)->CII(关基行业)

攻击来源

恶意软件作者、脚本小子或历史遗留

有组织黑产

有组织黑客、网军

属性

1.以破坏和恶作剧为主、哗众取宠

2.具有普遍性

1.黑色产业完善、分工明确

2.有明确的经济诉求

3.面向各行各业、企业及个人，偏向有价值目标

4.具有普遍性

1.有组织、有蓄谋、长期隐藏

2.以政治、经济、商业、军事为目的

3.国家与国家之间通讯、能源、政府、商业、军事等关键基础设施与关键情报信息

4.有极强的针对性

攻击链

短

中（常利用僵尸网络、N day漏洞、钓鱼邮件、变种软件、无文件攻击等）

长（常利用0 Day漏洞、社交工程邮件、黑客工具等）

连续性

低

中

高

隐蔽性

低

中

高

危害程度

低

中

高

表1 三种威胁和攻击的划分

b. 验伤取证场景需求分析

对于产品而言，不同的用户类型，不同的威胁和攻击类型，对于验伤取证的需求也截然不同：

图3 验伤取证场景需求模型

    i. 对于普通企业用户

对于占比80%的普通企业用户而言，他们大多数对高级威胁缺少概念，他们不关心APT（当然他们也不是APT的目标），他们最关心的是业务连续性，关心大规模攻击是否影响他们的业务系统，关心能否及时检测和拦截此类攻击，关心业务被破坏后能否快速修复补救，他们不太注重攻击事件的来龙去脉，因为事件调查的成本或许比遭受的损失还要高。因此，对于检测所产生的事件线索，最好的响应方案是以自动化的方式确认攻击的真实性和攻击的性质（验伤），并辅助联动响应以完成后续的修复补救，整个过程以用户无感为佳。考虑到较为特殊的案件场景，用户还可以借助第三方提供的MSS（Managed Security Service）/AMSS（Advanced Managed Security Service）安全服务来完成。

    ii. 对于CII行业用户

关键信息基础设施行业（CII）的核心信息资产、关键基础设施以及重要业务，是定向攻击（尤其是APT）重点关注的目标，CII行业用户不仅关注数据安全、业务安全以及运营安全，还关心攻击事件的来龙去脉、起因、经过和结果，不仅关心攻击本质和攻击者意图，还关心攻击组织和攻击者本身，他们希望通过完整的事件调查查明真相，了解攻击者是谁（who），因何遭受攻击（why），如何遭受攻击（how），何时遭受了攻击（when），遭受了何种攻击（what），哪里遭受了攻击（where），攻击的严重性、影响和范围（severity、impact & scope），造成多少损失（how much），如何修复补救（what to do next）以及如何避免下次遭受同样的攻击（what to do for the next），进而查缺补漏，调整防护策略、补足防护欠缺，不断提升现有防护能力。因此，CII用户对于所遭受的三类威胁和攻击，可采用三种不同的分析和响应方式：

    1）针对占比2%的定向攻击，需提供完整的事件调查，完成验伤、取证并给出修复补救建议。由于定向攻击的特殊性以及攻击链的复杂性，通常无法做到自动化，此时需要MDR（Managed Detection & Response）安全专家介入，辅以验伤取证的工具、技术、规则和经验，快速而准确地完成事件调查；

   2）面对占比18%的大规模攻击，通常可按照预设的脚本自动化完成验伤、取证以及快速修复补救整个事件调查以及分析响应过程。这个自动化过程也就是我们常提到的SOAR，预设的脚本也就是Playbook；

    3）对于占比80%的常规威胁，通常按照预设脚本自动化完成验伤和快速修复补救即可，无需触发事件调查，这个自动化过程也需通过SOAR和Playbook预置。

对于后面两种威胁和攻击中SOAR无法自动化响应的场景，可通过MSS/AMSS安全服务进一步辅助解决。

4. MDR服务产品化定义

MDR在“分析”过程中扮演着异常重要的角色。和国际上第三方对于MDR的定义略有不同，同时也为了和MSS/AMSS做出明确区别，个人对MDR的定义有以下五点：

a. 面向关键信息基础设施行业及各行业重点用户

b. 为保护核心信息资产、关键基础设施及重要业务

c. 以攻防为核心

d. 针对定向攻击

e. 提供高级安全专家服务

这里主要强调MDR是以解决定向攻击问题为服务核心，因此，MDR服务也可称作攻防专家服务。而面对大规模攻击提供的安全服务可以划归到高级安全服务（AMSS），面对常规威胁提供的安全运维服务划归到一般安全服务（MSS）。当然，每个厂商对此的定义会各有不同。

MDR攻防专家服务的核心能力体现在以下三个方面：

a. 事前：针对潜在发生的攻击，提供持续分析（Continuous Threat Hunting）

b. 事中：针对正在发生的攻击，提供攻防对抗（Attack & Defense/Red & Blue）

c. 事后：针对已经发生的攻击，提供事件响应（Incident Response）

5. 小结

至此，结合上篇文章，把高级威胁治理过程中产品需要的核心能力模型以及核心业务流程做了较为完整的梳理，下篇将从产品视角进一步定义“安全运营”。

（未完待续）