美国军事政治思想家拉姆斯菲尔德(Donald Rumsfeld),曾两次出任美国国防部长,在海湾战争期间(2002年),他对“战争合法性”的回答语惊四座:“known knowns, known unknowns, unknown unknowns。”这段绕嘴的话有效地平息了公众舆论对于战争必要性的质疑,并迅速风靡各个领域。
上图就是据此产生的拉姆斯菲尔德矩阵,我们可以拿以下一个关于网络安全的场景来解释这个看起来象是绕口令一样的理论:
- Known knowns:人人都知道网络世界存在***A、B
- Known unknowns:人人都知道网络世界的一些***(已曝光的A、B),但也都知道永远有一些***(D、E、F)是未知的这个事实
- Unknown knowns:90%的人还知道***C,但10%的人不知道
- Unknown unknowns:没有人知道某个事先没有相关记录的***( D、E、F)会在何时以何种形式发动何种***(意味着***发动***前,一切都是未知)
“unknown unknowns”相关理论并不是由拉姆斯菲尔德自创,而是出自1955年著名心理学项目“Johari window”,目前广泛应用于众多重要行业的顶层战略规划和项目管理之中。但一直走在高科技前沿,对新技术、新理论高度敏感的IT行业似乎并没有对此理论热捧。直到九十年代中期数据挖掘技术的出现,“发现未知”才成为计算机领域的一个研究方向。互联网应用,尤其是电子商务的兴起,产生了大量的消费者数据,如何从这些数据中发掘更多有价值的商机,才使得这套理论有了成为行业“圣经”的可能(但笔者认为目前顶峰尚未出现)。
那么,为企业信息化保驾护航的企业IT安全是否也有同样的“(un)known (un)knowns”情况存在呢?答案显而易见:
1
目前企业信息安全市场上绝大多数传统的***安全产品/服务解决的都是“known knowns”场景下的安全问题,相关厂商按照同一个思维出牌:把一个企业网络可能发生的安全事件清楚描述,并列举其危害性,再详细阐述自己的解决方案,引导客户在设想的产品效果和可控成本(购买成本和使用成本)的前提下做出购买选择。这个思路是基于企业IT安全人员对企业网络处于完全“known knowns”的前提下,其核心是证明企业发生安全事件的概率之大,以及后果之严重。企业只有对这个问题非常清晰才能够快速有效地做出购买决策。
2
随着信息技术的普及及标准化,企业IT安全很快进入了对“unknown knowns”场景的需求,即一个安全事件已经在本企业或其他企业发生(业界known),但本企业IT安全人员无法做到第一时间知晓,如何防范此种安全事件呢?目前安全市场上比较成熟的病毒库/恶意代码库更新、漏洞打补丁和近两年兴起的威胁情报技术等都是由厂商提供的、试图解决企业对“unknown knowns”场景安全需求的途径。
目前,市场上对以上两种“knowns”场景的判断及对应的产品/方案相对成熟,但企业面临的安全挑战反而越来越多,安全事件层出不穷,且危害性日趋严重,为什么?因为企业IT安全除了解决以上两种“knowns”的问题,更面临着企业网络中“unknowns”的挑战。
“企业网络之unknowns”是指企业网络中隐藏的、使其IT人员或安全部门对本企业网络的某些特征和行为无法察觉的场景。虽然乍听起来有些讽刺,但实际情况却恰恰如此。企业网络日常发生的行为对IT安全人员来讲有太多监控死角,做到“known unknowns”,几乎是一个不可能完成的任务。这里面既有企业相关管理流程方面的“软”原因,也有安全技术方面的“硬”原因(本文内容所述)。
要想对企业网络正在发生或可能发生的安全事件做出清晰、准确、及时的判断,其必要前提就是IT安全人员能够对企业网络的静态配置和日常动态行为完全可视,known knowns & unknowns。因此,如何发现“企业网络之unknowns”,就成为了企业IT安全人员工作的核心。近些年这个问题日益受到业界重视,安全态势感知平台、UEBA等分析展现技术的陆续推出实际上就是试图解决对企业网络known unknowns的问题。
关于企业网络的unknowns,一个业界非常知名的比喻就是企业网络恰似一座海上冰山,容易看到的是水面上的部分,而水下的部分多大多深不易探知,尤其近几年,随着如下几项技术在企业网络领域的飞速发展和广泛应用,更是让企业网络“看不清”部分的比重越来越大:
云技术的广泛采用
云计算在过去十年“无孔不入”的发展,使得任何企业都无法避开云计算环境。在给企业带来巨大效益的同时,云计算的使用也带来了类似企业网络边界虚化(SDP)等新课题,对企业传统IT安全的挑战更是前所未有。究其根本,对云环境的“模糊不可见”是这些安全挑战的最基本原因。
移动设备的普遍使用
笔记本、ipad、智能手机等在企业网络上大量应用,使得移动安全迅速成为企业IT安全的一个细分市场。而在企业网络上,这些移动设备的使用,使得传统IT设备管理呈现出“静态”到“动态”的转变(包括地点、IP资源等),IT安全人员对于这些移动设备的“可见”变得复杂而困难。
BYOD
为了迎合现代企业员工的需求,自带设备办公的方式日趋流行。企业原有的统一购买、配置及管理员工IT设备的标准流程正在成为过去时。但从安全角度看,BYOD设备对企业IT安全人员来说等同于一个黑盒子,其流动性给企业安全带来更多的“unknowns”隐患,对它们的“可见”成为相关安全问题发现和解决的前提。
安全手段的使用
SSL和***等加密手段的使用,这也是最荒谬的一条,正应了“是药三分毒”的中医理论。企业信息安全从诞生起就一直处在“头痛医头,脚痛医脚”的状态,殊不知已经进入了自己给自己设套的恶性循环。比较典型的场景是SSL的使用,其目的是解决网络数据传输过程中的安全问题,可正是由于它的广泛使用,给企业IT安全带来了巨大的挑战:SSL流量的“不可见”,对于一直处在网络通讯两端(终端设备和服务器)之间对网络行为进行监管的安全人员来说,是一件头疼的事情。如何看清SSL里面的内容,成为当前企业IT安全人员工作的关键点。
业务部门的IT化
企业管理的优化变革和相关技术(如SaaS)的高速发展,导致各业务部门在IT方面的自主决策权被放大。原来通用的企业集中采买、管理IT资源的方式已逐渐被各业务部门自主决策所替代。由此带来的直接问题是:这部分IT资源及其使用对于安全人员来说处于“不可见”状态。
多年IT的历史积累对企业是一种沉淀,但对企业IT安全管理却构成了很大的负担,这个完全不属于技术层面的问题,已经不知不觉地成为“企业网络之unknowns”的最大因素之一。IT安全人员的更替,相关文档的不完善及流失,新旧应用系统之间的依存调用关系等因素,都直接导致企业现有的IT安全人员对企业网络上很多实体或行为完全或部分的“unknowns”。
如何彻底解决以上所列的“企业网络之unknowns”现象,做到“known unknown”,成为目前企业IT安全领域的当务之急。这同时也是建立一套完善的企业IT安全制度的基础,没有企业网络的“全息可知”,其他的安全工作都难免有空中楼阁之嫌。
目前多数企业对信息安全事件的处理流程
1
安全事件在各方人员无感知的情况下发生,其后果影响开始出现,由第三方特别是监管单位发现并问责,企业信息安全的相关人员才知晓。然后根据事件严重程度启动事先定义的溯源流程。
2
企业信息安全人员根据第三方提供的线索,结合企业网络相关行为信息(主要是相关网络设备/服务器的日志),力图还原事件发生过程。
3
在第二阶段的结果基础上,分析并验证该事件发生的技术原理。
4
设计解决方案以防止同类型安全事件的再次发生。
可以看到,整个流程完全是事后的、被动的溯源过程。目前企业网络上的日志获取来自于网络安全设备上的规则定义,而对未知安全事件无法做预设规则,因此缺乏相关日志,导致该流程在多数情况下无法达到期望目标。
“全息发现未知”的目的就是解决企业安全事件处理流程的“事后”和“被动”,其宗旨是争取在“事中”发现“未知”,根据对“未知”的自动分析,及时预警安全事件发生的可能性。其方法核心就是网络流量数据驱动全息关联分析,并利用UEBA(AI/机器学习)技术做到“主动”预警。
做为方法核心的全息关联分析技术是一个多维度(时间维度、网络层次维度、安全业务对象维度)、持续地关联分析,具体表现为:
同一网络实体行为在时间轴上的前后关联
当前,依赖于定义某一个维度上的静态阀值来发现安全事件已经不现实,但并不意味着专注某个维度的分析就毫无用处,因为绝大多数安全事件发生的前、中、后在某个维度上都是有行为上的变化可循的。因此在企业网络上构建单独实体(人/设备/应用/数据)的网络行为在时间轴上的画像成为及时有效分析安全事件的重要基石之一。
网络层面2到8层的信息关联
企业网络发展至今,由于需求和技术的双重原因,已远远不是一个静态、稳定、可以长期固定匹配对应关系的环境。我们需要有快速、精准地对应相互关系的能力,并在一个长时间范围内维持这种能力,也就是把2层(设备)、3层(IP/网络entity)、4层(端口/协议)、7层(应用)和8层(内容/上下文)的关联关系清晰地画像,为后续的分析工作提供丰富完整的证据链。
网络安全相关的不同维度实体之间的关联
信息技术高速发展的今天,企业的安全事件很难在某一个或两个维度的监控和分析下被发现并解决。需要将企业网络上所有与安全相关的、不同业务维度的对象(譬如人、设备、应用、数据等)之间做全息关联,才能及时高效地发现问题。
关联关系随着网络行为不断更新
目前大多数关于企业安全的关联分析,无论是数据源还是相关算法(主要是数据挖掘算法),都很少有时间轴的概念。其根源在于可供分析的数据源均来自于静态的、一次性的人为主动操作(单一事件)而产生的日志。而当前的企业安全事件往往表现为连续的、多维度关联的持续行为序列。独立地看其中每个行为似乎都很正常,只有全面系统地归纳分析该行为序列才能真正发现问题。并且,为了可以及时主动地发现安全事件,需要将这种归纳关联分析做到持续化、自动化。
一个企业网络只有做到上述网络流量驱动的全息关联分析,才能真正解决棘手的“企业网络之unknowns”问题,做到“known unknowns”。及时发现正在发生或准确预知将要发生的安全事件。使企业能够主动应对网络安全隐患,应该也是当前企业安全态势感知平台努力追求的目标。配合相对成熟的应对“known knowns”和“unknown knowns”场景的产安全品和方案,企业IT安全领域才可能进入一个良性循环的状态。至于“unknown unknowns”,应该已经不再是目前安全技术和管理层面能够涵盖的内容了,未来AI技术的突破或许可以一窥究竟,到那时企业IT安全可能会和其他一些IT领域一样进入一个成熟平稳的周期!
关于全息网御:全息网御科技融合NG-DLP、UEBA、NG-SIEM、CASB四项先进技术,结合机器学习(人工智能),发现并实时重构网络中不可见的”用户-设备-数据”互动关系,推出以用户行为为核心的信息安全风险感知平台,为企业的信息安全管理提供无感知、无死角的智能追溯系统,高效精准的审计过去、监控现在、防患未来,极大提高IT安全运维和安全人员响应事故、抓取证据链、追责去责无责、恢复IT系统的能力和效率。