作者简介:刘志诚,乐信集团信息安全中心总监、OWASP广东区域负责人、网安加社区特聘专家。专注于企业数字化过程中网络空间安全风险治理,对大数据、人工智能、区块链等新技术在金融风险治理领域的应用,以及新技术带来的技术风险治理方面拥有丰富的理论和相关经验。
在上篇文章中(百家讲坛 | 刘志诚:哲学角度对安全运营的再思考),以及最近在两个会议上分享了关于安全方法论存在的问题,提出了如何从还原论的泥沼中转身,从系统论的角度去思考安全的本质,把复杂问题简单化,通过运营底层能力的建设,提升安全保障的实际效果。收到亚信C3安全大会的邀请,继续对安全运营这个主题分享,总觉得仅停留在方法论思考的层面上意犹未尽,如何在运营实践中落实系统论的思维模式,如何建立有效的运营目标和指标考核体系,才能让安全走的更远。想到这个问题,如鲠在喉,夜不能寐,突然灵光一现,想到了这个Far Away模型,分享给大家。
一、 安全运营目标(FAR)
安全运营运营什么,运营已经完成建设的安全能力的工具、平台与系统,运营建设和更新组织的组织机构和规章制度,这些都是运营职责的范围与范畴,也是运营的基础设施,安全运营的目标还是针对安全风险与安全事件,实现安全风险与事件的发现、分析与响应。
从这个角度而言,安全运营本质上就是数据在安全领域的运营,我们需要构建一个安全领域的数据应用要素体系,定义出数据以及数据源,实现基于数据的分析体系,通过专家的人工模式和人工智能的无监督学习模式,实现对风险和事件的发现、分析以及响应。
图二 风险与事件
风险和事件是安全的阴阳两极,相互演化与发展,当风险得不到控制就演化为事件,当事件得不到响应与处置,就会演化为新的风险,安全的本质就是关注安全风险与事件的发现、分析与响应。
在安全圈有个内部推动工作的驱动理论,事件驱动还是风险驱动,在风险意识,以及风险评估,处置能力或信息安全能力保障体系建设不足时,往往是事件驱动的,一个安全事件引起亡羊补牢式的反思,痛定思痛开启相关安全能力的补充建设,虽然这种模式有效,但对安全从业者来说,如果总是事件驱动,那么背锅侠势必难免,安全行业成为高危行业,显然不符合安全从业者工作性质的本质。风险驱动是近年来的主流认知,是网络信息安全体系建设进入一定阶段之后的必然趋势,今年李少鹏老师的数世咨询的第三次数字安全大会的主题词就是风险驱动。我在csop大会分享中现场加了一段词,是关于制造事件的事件驱动,风险驱动仍然过于抽象,不够形象和具体,但基于风险通过红蓝对抗,渗透测试制造安全事件,即起到安全演练,又形象的通过制造事件实现事件驱动,事件驱动生动形象,确实是比较好的驱动方式,前提是制造事件的可控以及未造成企业的实质伤害。
风险的本质是资产的脆弱性暴露在威胁面前的被威胁利用的概率,以及演化成事件后造成的损失。这里的资产关注的不是财务属性而是安全属性,无论是外部资产暴露面管理还是扩展的资产暴露面管理,概念的定义都是为了表达资产脆弱性的风险,显然以安全属性定义的资产范围远超财务属性和运维属性的资产,而且资产属性的动态性也难以以传统的静态CMDB资产管理系统可以覆盖和跟踪其中的安全属性。资产可以是主机、网络,也包括代码、组件、配置、账号、数据,这些资产的脆弱性既包括漏洞,也包括传输、存储、应用过程中载体、内容存在的脆弱性,而脆弱性的数据即包括内部发现也包含外部威胁情报,尤其是标准资产的脆弱性,主要源自于外部情报。威胁同样包括外部的专业化、职业化的黑客、组织和无差别攻击者,也包括内部员工的恶意和失误的操作或行为,外部威胁的数据源同样高度依赖外部威胁情报。所以在风险的威胁和脆弱性能力建设过程中,外部威胁情报的价值不容小觑。
相对于外部威胁和脆弱性,数据能力和质量依靠威胁情报数据源的准确性、及时性,通过多源数据源可以最大可能发现外部的威胁和脆弱性,从而降低外部威胁通过公开暴露的脆弱性风险引起的安全事件。内部的威胁和脆弱性依赖于内部安全能力体系的建设,内部的脆弱性、威胁的发现需要技术研发安全能力,业务流程安全能力,组织建设和管理体系安全建设能力的支撑,具备这些检测和监测的数据源,方能具备内部脆弱性和威胁的数据源。
相对于风险的威胁和脆弱性具备单点的特征,数据的采集和应用相对而言,基于特征的检测和监测,准确率相对可控,安全事件的数据源建设就比较困难,安全事件是未知威胁利用一系列的脆弱性突破安全控制措施造成的风险暴露,实现安全事件的检测与分析,就难以通过单点实现特征的检测,现有的安全检测和监测能力,本质上只是对脆弱性和威胁的发现。而SIEM、SOC、xdr类的产品通过OLAP数据的模式,希望通过关联分析实现事件的发现和追溯,这种模式时间上事件已经发生了,仅能追溯降低损失,难以实现实时的预警和响应。有一种思路通过对ATT&CK攻击向量对APT组织的攻击手法进行建模,通过内部适配,实现对攻击流量和发现,这种威胁狩猎(TH)的模式,对攻防对抗的内部适配建模的要求比较高,实践效果仍有待验证。不同厂商产品的异构,以及还原论主导下的产品体系,实现关联分析,仍需要进一步努力实现兼容与整合,不然,安全事件的数据源和质量依然是一个重大难题。
重点阐述了数据源,关注的是发现和分析的问题,分析是大数据技术在安全领域的应用,专家模式的经验规则是基础,AI的无监督学习是补充,最近流行的AGI通用大模型在安全领域的AIGC,是否能在分析领域如虎添翼,需要进一步验证。响应,这个是需要自动化能力和安全控制措施联动的能力,安全控制措施的阻断、追溯、反制,既需要运营人员的专业能力,也需要安全工具的自动化能力,而且,会越来越依赖于自动化。
二、 安全运营的内核(WAY)
安全运营的内核,首先是保障(Warrant),这个保障是保障战略的实施和执行,是保障业务的发展与成长,是保障安全体系的运转与平衡。在安全领域一直有一个深入骨髓的误区,就是安全对业务的影响,并且想当然的认为,安全就是实现业务发展与安全的平衡,就是要领导决策牺牲易用性与性能保障安全目标的优先级决策,这从本质上有悖于安全的目标和内核。“皮之不存,毛将焉附”,在任何时候,都需要做到安全战略与业务战略,与企业战略的高度一致,安全从业者就是要寻找创新、发展、解决安全措施与业务冲突的事实,任何导致业务风险的安全措施,都有违安全保障的本质。为什么安全保险作为一种安全措施未来空间很足,就是因为安全保险可以在充足认知、理解风险的前提下,可以实现风险转移的控制措施,可以降低控制措施对业务的干扰。
所以,调整(Adjust)即是从PDCA(计划、执行、检查、纠正)经典项目管理理论中的借鉴,也是实现保障的必然路径。业务是动态的,技术发展是动态的,风险是动态的,需要根据风险和事件的趋势,在安全运营的数据驱动下,不断地优化和调整发现、分析、响应的能力和机制,不断地优化控制措施,从而实现安全运营的动态循环。这个调整不能仅是自发的、被动的,需要主动的,并且建立调整的机制,在自动触发、周期化的基础上建立系统化的调整机制。
最后一个需要关注却容易忽略的要素是收益(Yield),最近这两年,很多场合我提到有效性的问题,这个有效性的话题容易引起偏差和争议,基于BAS产品的安全有效性验证是个方向,对安全基线、配置管理、安全策略和措施的有效性验证,即使有理念,也难以落地成产品和服务。我在这里用了一个金融的词汇,安全运营关注的是收益,从投入产出比(ROI)的角度,安全运营需要关注最终的效果。
这个收益,即包括安全的有效性,也是对安全能力建设不断累加,做加法的尽头在哪里,需要安全从业者做减法,通过调整不断优化包含发现、分析、响应的运营能力和安全控制措施的建设,把复杂问题简单化,实现安全投入的最大化。收益也包括对业务、企业价值的收益,无论是提升业务的运营能力,增强业务的核心竞争力,还是对企业市值管理和公共关系的增益,都是安全投入的价值。
三、 分析、决策与行动
(AI&Automation)
数字世界的类脑人工智能(AI)除了承担分析的能力,承担生成和决策也是近在咫尺的未来趋势,今年ChatGPT带动的AIGC(人工智能生成)能力领域的爆发,让人们慨叹人工与人工智能边界的模糊,以及未来工作的可替代性越来越令人担忧,而AGI(通用人工智能)能力在大模型时代以一种并不被普遍看好的技术路线出人意料的形态涌现,进一步加速了奇点临近的紧迫感。对安全从业者而言,数据驱动渐成共识,算力发展提升了数据的采集、处理能力,算法决定风险和事件的发现、分析与响应,人工智能是绕不开并且需要All In投入的领域,AI决定了分析和决策能力,直接决定了安全风险和事件的发现、响应速度和成本。
自动化(Automation)是安全从策略、措施到落实、行动必不可少的一步,而人工智能对人类工作的替代也会逐渐延伸到执行领域,就像我们在AIGC对编码领域的担忧和思考一样,未来当AIGC取代了编码工作的蓝领工作,人类的开发工程师更多是高端的架构师和设计师,可是架构师和设计师,往往是编码工程师成长和历练的结果,而丧失了这个岗位,架构师和设计师从何成长,这需要对我们目前的教育模式和知识结构做颠覆式的设计,没有了企业的自然训练环境,就需要仿真的模拟环境进行训练,而这个窗口期,是一个痛苦的转型过程。同样,一线的安全服务工程师,安全操作员也面临这样的困境,自动化从人才结构、发展空间和发展趋势而言都是一种必然。无论是RPA(软件流程自动化)还是SOAR(安全运营自动化编排)都是自动化的一种技术实现,在异构的产品和缺少API支持的安全产品和工具平台上,实现自动化都需要一个漫长的周期,但这是不可逆转的趋势。
“道阻且长,行则将至”,安全运营从认知到方法论,从理论到实践,都需要针对VUCA时代的数字化过程做相应的优化和调整,相信沿着Far Away模型的指引,我们必将远航。