深度解读网络安全的开源革命
任何一位网络安全专业人士都有必要深入了解开源,因为网络安全行业是开源革命最大的受益者之一,但如果你不懂得如何融入这场革命,就有可能成为被革命的对象。
一提到开源,一部分网络安全人士就咬牙切齿,因为企业在网络安全防御上动辄投资几百万上千万,而攻击者使用的却经常是免费的进攻性开源工具。
过去二十年,开源世界发生了天翻地覆的变化。一个典型的例子是微软对开源态度的180度大转弯:从2001年咒骂“开源是癌症”,到2017年后成为全球领先的开源贡献者(以服务开源项目的员工数量作为衡量标准)。
十年前,大多数开源项目都是个人管理,很少有企业出现在这个领域,能够从开源产品(例如OpenNMS)中获得收益的就更少了。但随着时间的推移,一些微不足道的项目,长成了参天大树,例如Elastic。
今天,开源已经成为数字经济的基石,超过八成的软件代码来自开源社区,越来越多的科技公司积极拥抱开源并将内部项目开源,大型企业贡献的优质开源项目大大加速了开源的发展和整个IT行业的进步,例如基础设施即代码和检测即代码。
开源如何塑造网络安全的未来
网络安全与开源有着不解之缘,除了商业安全产品中使用的大量开源代码外,网络安全行业大量网络安全框架、工具、方法、模型甚至情报都以开源方式分享和发展。
网络安全中一些最流行的开源工具(部分)
今天的开源网络安全工具如此丰富,以至于企业完全可以用开源软件搭建一个完整的安全实验室或SOC解决方案。此外,开源本身相关的供应链和应用安全威胁,也是网络安全企业的热门业务。
展望未来,开源对网络安全行业将持续产生重大深远影响,具体如下:
1、鼓励知识共享
在过去的几年里,开源产品和商业产品之间的界限开始变得模糊。我们经常看到安全厂商发布或者收购开源项目(创始人),开发开源工具的闭源“高级”版本。最重要的是,我们看到开源鼓励行业内的知识共享,从而促进最佳实践并使公司更容易加强防御。
积极回馈开源社区的公司有很多,Splunk就是一个很好的例子。Splunk的威胁研究团队公开其工作内容,使其他安全专业人员可以轻松了解他们所做的事情、他们发起的攻击以及他们如何得出检测逻辑。最重要的是,检测的内容没有限制,如果你是Elastic的客户,你仍然可以使用Splunk的检测(请注意,Elastic也提供自己的规则)。Splunk开源的另一个工具——Splunk Attack Range,在GitHub上获赞1300颗星,但Splunk并没有急于从产品中获利,而是格局打开,更关注这个项目为Splunk社区带来的人气、活力和价值。
Splunk的威胁研究团队还积极参与了另一个开源项目——Red Canary的Atomic Red Team。
Red Canary早在2017年就发布了Atomic Red Team(ART),让安全专业人员可以轻松测试企业MITRE ATT&CK框架的防御能力。ART的开源使安全行业朝着循证科学的方向迈出了重要一步,同时也巩固了Red Canary在该领域的领导者声誉。
20多年前曾宣称“开源是知识产权的破坏者”的微软,如今也为网络安全的开源事业做出了巨大贡献,微软的Azure安全团队贡献的Microsoft Sentinel和Microsoft 365 Defender等存储库就是很好的例子。
如今,开源使安全专业人员能够经济高效地访问分析和威胁情报。MISP、OpenCTI、OpenTAXII等开源威胁情报工具可帮助企业识别、评估、监控和应对不断增长的网络威胁。
这些信息资源对于刚开始使用威胁情报工具的组织尤其重要。但是,开源威胁情报也有其弊端。由于攻防双方都可以免费访问开源情报(工具),一些攻击者也会用开源情报来搜寻安全社区疏漏或者怠慢的漏洞加以利用。Sigma社区提供的检测逻辑也是如此——虽然这是一个很好的开始,但如果不能扩大覆盖范围以更好地满足企业的安全需求,则不建议使用。
2、推进网络安全标准化
作为一个科技行业,网络安全行业的标准化程度低得可怕,这导致没有企业能够开发可在整个行业范围内扩展的解决方案。开源正在帮助网络安全建立通用标准和方法,促进安全工具之间的互操作性。
MITRE ATT&CK®是由MITRE Corporation开发的用于实施网络安全检测和响应程序的开放框架,它为防御者提供了知识的编码和标准化。Atomic Red Team是一个开源测试库,将MITRE ATT&CK®框架的理论概念付诸实践,使组织能够快速、可移植和可重复地测试其组织的防御。
此外,有着数百万下载量和数十万注册用户的Snort已成为入侵防御系统(IPS)的行业标准。而Sigma则已成为网络安全检测的事实通用语言;大多数安全信息和事件管理(SIEM)提供商在某些时候都必须开箱即用地支持Sigma。
3、推动网络安全创新
开源主要以两种方式推动网络安全创新:集体智慧和对飙商业安全产品的“开源孪生”项目。
开源社区通过跨企业和组织的集体智慧,让大量有内在动力的人才合作解决复杂的安全问题,甚至碰撞出新奇或绝妙的想法。开源项目还可以填补安全产品的空白,并开拓网络防御新功能。
最重要的是,开源项目能迫使安全厂商开发更好的产品。在每个安全解决方案都有一个“开源孪生”的时代,安全厂商需要展示更强的创新能力。如果他们不能提供开源项目之外的价值或创新,将无法在市场中立足。安全厂商需要不断修正价值主张,加大研发投入力度,吸引最优秀的人才在开源基础上进行创新。产品上市速度和客户服务能力将成为重要的差异化竞争力。
随着新的一年到来,网络安全行业面临的创新压力空前巨大。我们希望在开源力量的推动下,网络安全行业的价值观能更加成熟,进一步提高技术标准化、产品互操作、市场透明度和竞争公平性,这对于企业客户和整个行业来说都将是令人振奋和期待的改变。