微步在线李秋石:企业如何打赢一场情报驱动的战争?
目前,企业面临的网络攻击复杂化,网络安全人才和预算短缺,企业数字化转型与远程办公常态化不断扩大攻击面,企业的安全态势正在承受巨大压力,基于威胁情报和检测驱动的主动纵深防御,提升企业的漏洞管理、攻击面管理、威胁检测和响应等核心能力,已经成为当下企业网络安全运营的焦点话题。
但企业威胁情报能力的发展也存在诸多痛点,例如人才与预算短缺、缺乏标准化和方法论难以横向集成与自动化部署等。对于以威胁情报为核心竞争力的安全厂商来说,企业威胁情报市场的痛点就是机遇,推动威胁情报与SIEM和SOAR的融合,开发情报驱动的威胁检测和威胁搜寻功能以及漏洞和风险管理技术,切入XDR和零信任的新赛道,正是威胁情报“落地”的热点所在。
近日,GoUpSec有幸邀请到国内威胁情报和威胁检测的代表性企业——微步在线的联合创始人李秋石,以及市场负责人樊江波,围绕威胁情报在国内的发展现状与趋势、痛点和热点,结合微步在线自身的业务和品牌战略升级做了在线的沟通与访谈。以下为采访内容实录:
李秋石
北京微步在线科技有限公司创始合伙人。安全市场与生态系统建设运营专家,先后任职支付宝、阿里巴巴集团、亚马逊中国,担任安全市场负责人。曾主导了亚马逊支付安全与跨境业务安全项目建设、支付宝安全支付联盟建设项目,建立了支付宝应急响应体系,推动成立国内首个安全支付联盟。是支付宝反钓鱼反欺诈体系创始成员,第三方支付安全联盟联合创始成员。
威胁情报的热点与趋势
1、威胁情报与人工智能。人工智能威胁检测和评估系统最怕“脏数据”,数据质量对机器学习算法的影响重大,因此企业倾向选择高质量的情报源,请问企业如何甄别(测试)威胁情报的质量优劣?
李秋石:现在大家对于网络安全的检测响应的效果认知还没有一个统一的标准,这个是需要靠实践来去出认知的。在一个企业里,当测试不同情报供应商的好坏时,我认为最科学和最直观的方法就是用实际的生产日志或是流量,去测不同的产品和解决方案,测完之后告警,看了告警之后到终端上去验证,看它的准确率,这个是最直观的。不要用模拟数据和测试数据,就用实际的运营数据去测,就是比较公平直观的一种方法,也相对简单。
有效的威胁情报,应该帮助企业缩短平均威胁发现时间和平均威胁响应时间。安全运营团队要关注的是,一旦有人攻击,或者一旦有人打进来了,我们是不是能具备有效的检测、发现和响应的能力?所以平均威胁发现和响应时间在安全运营当中才是最重要的核心指标。
同时,威胁检测和响应包括情报驱动的检测响应里的准确率也是一个非常重要的指标。一个企业里每年能够值得去做P0级或者最高优先级的响应事件不会很多,高危漏洞或者正在被利用的漏洞其实也就几个,就看是不是能准确发现,才能及时修复。所以,知己和知彼结合,是最有效的安全运营的机制,好的威胁情报要帮助企业完成“知彼”。
2、威胁情报与安全自动化和智能安全运营。请问威胁情报能否及如何缓解自动化纵深防御系统的误报问题?
李秋石:商业情报叫Commercial TI,跟开源情报和共享数据最大差别就是它的误报率非常低,基本没有误报,因为它每一个告警、每一个报告都是有上下文的。微步的情报准确率已经达到了4个9,这么高的准确率也会体现在我们产品中,我们的威胁感知平台TDP实测准确率是99.97%,这意味着误报率只有0.03%,非常低。那么当企业的自动化纵深防御系统引入了微步的情报或者TDP产品的时候,就能够去掉很多误报噪声。
但我们也看到,很多客户有时把威胁情报直接用在一些告警的降噪等等这些场景上,并不是很科学的应用法。比如它的价值类似于防疫中的应检定检,但应检定检的过程还是要基于优秀的检测响应的产品,它要和产品结合才是最有效的方式。
樊江波:情报的准确率和它赋能给到检测能力是非常重要的。对于客户来说,其实不光是直白的情报的给到的价值,而是情报赋能给到我们检测设备带来的准确的一些特性特质,帮助用户节省了很多日常面对的攻击和面对的安全防护,提升了效能,降低了在安全运维上的一些人力和投入。
整个行业本身对于情报的要求、检测的准确能力本身是要求很高的。微步情报和产品的准确度也是微步在线能够在获得国内外的,特别是国内头部客户认可的一个非常重要的原因,包括精准检测针对性的攻击,以及对于数百个APT组织的深入的长期跟踪的研判,包括高可信的情报加持的威胁检测能力,这些都能帮助客户在面对各种各样攻击的情况下,能够非常准确地检测到各种各样的攻击,提升整个检测的准确性。
3、如何看待包括暗网情报在内的外部攻击面管理与数字风险保护的发展趋势?二者与传统的威胁情报(CTI)在企业的本地威胁情报平台(TIP)中是什么关系?
李秋石:检测响应有很多方法和工具,情报、外网、暗网信息,包括漏洞情报都是其中的一部分,统一叫安全情报。安全情报既包括了威胁情报,又包括了漏洞情报。
而外部攻击面管理其实是一个较为基础的能力,可以帮助用户发现资产以及攻击面的梳理,我们我们已经非常广泛并且成熟地运用在我们的检测产品技术当中了,包括对暗网也有监控。2020年央视曾报道无锡网安侦破的被公安部认可的亚洲第一大暗网案件,这是继德国的丝绸之路之后,全球第三大暗网案件,也就是亚洲第一大暗网案件,微步在线也有助力侦破此案件。
TIP既是一个威胁情报中心,也是研判的工具。TIP于SOC来说是一个做知彼能力的一个产品,它具备多源情报的管理能力,其中多源情报的管理包含管理多家开源、商业,包括客户自己产生的情报源的能力。
4、随着微步在线推出全面的安全防护、检测与响应解决方案,微步也宣布完成了新一轮品牌升级。微步在线如何看待与生态伙伴的竞争合作关系?微步品牌升级的背景是什么?
李秋石:国内没有哪一家公司是靠横向的跟厂商的共享去把自己做大、把产业做大的,而是去通过产品服务好客户,才能把商业的飞轮转起来。这个其实是一个核心的方向,情报公司不是靠共享,也不是靠联动去生存的。
我们是一家威胁检测和响应的公司。公司刚成立的时候,我们不同赛道、不同纵向的产品是不断地推出的。比如情报是原料,它就像电一样,基于这个电能做出电灯,能做出新能源汽车,这对于产品化的要求和创新能力是差别很大的。情报它并不是一个通了电就能解决所有问题的能力,它是一个核心但基础的能力,但是我们也会通过产品化进程去为客户解决准确率和发现能力、狩猎能力以及分析溯源能力。我们这次品牌升级提出了新的Slogan,让安全没有边界,也是想表达我们会通过不断创新出新的产品线,来覆盖客户更多的的风险点攻击敞口。
樊江波:微步是从情报起家,并且情报的能力也持续性赋能给到我们自己的产品体系和服务体系,也输送给到我们的客户。有一个信息大概介绍一下,到现在整个单纯的威胁情报产品在我们整个营收里的占比不超过20%。我们更多的是威胁检测和响应的产品,包括流量端的产品、EDR、终端的、检测产品,包括今年新推出的这种网关一端的检测的产品。所以现在这次品牌升级也是因为很多原来的行业客户、行业同仁印象里提到微步是威胁情报的专家,这也是我们原来的一个品牌定位。
但在最近这几年,我们整个业务的架构营收来源,包括服务到客户的产品和方案,以及研究响应的服务,应急团队的服务能力、安抚的团队,原本的威胁情报专家,这个定位已经远远包不住微步现在的声量了,这也是这次在今年做全新品牌重新定位和升级的一个最内在的驱动因素。
5、内部威胁、社会工程的检测和响应正在成为企业关注的焦点,请问威胁情报在与人员交互有关的领域有哪些应用潜力?
樊江波:刚刚提到除了情报的产品API和TIP以外,有做终端安全的EDR产品,还有威胁检测响应的感知平台。TDP也是现在比较主力的产品线,这是今年重点发布的一个产品,在七八月份护网当中,也已经有一部分客户在尝试性地用,而且反馈非常好。包括安全网关的产品OneSIG,另外OneDNS的互联网安全的接入,也是非常轻量级部署的产品。这两个产品针对钓鱼邮件敲诈勒索的邮件,社工类的攻击,会有一些非常好的防护的能力。
李秋石:比如UBER这个案例,这种攻破的方式在攻防演练当中经常出现,只不过它是会重复的出现。利用社工这种方式打进去,其实还是威胁检测响应的覆盖没有办法做到面面俱到,企业为什么易攻难守,就是因为要守一个面,一个点有问题,可能整个面也就被攻破了。所以对于企业防守方来说,就是增加对于检测和响应的敞口的覆盖。譬如说他这些触达点,他收到文件或者下载payload这个场景,我们是不是能够覆盖?如果覆盖,能第一时间的发现的话,就能去阻断他的利用有权限的人用作为跳板去登录的这个行为。所以有效的检测响应在这个场景下是非也是非常适用的。
大家在各地办公,OneDNS是可以覆盖客户的远程办公的场景,是纯云化,不用放任何硬件的,在疫情期间起到了很大的作用。比如企业没有部署这个产品,有些场景下是用不同的方式覆盖的,但是可能很多企业它的信息安全建设水平也是不一样,所以也会看到不同的事件往往会层出不穷。
6、随着疫情的持续,很多企业安全预算吃紧,对于预算不足的企业,如何(尽可能)做好威胁情报工作?
李秋石:企业不会关心怎么做好威胁情报工作,关心的是如何做好,如何建设网络安全体系,如何做好安全运营?如何保证业务安全运转。
我觉得甲方更看重是如何把预算和钱花在最需要的地方,有三个维度:
第一是需要具备一些基础的安全防护能力。就好像修门肯定得有一把锁,不能没锁,没锁安全验证和基础的这个合规评估也过不了。
其次就是,要建设持续的有效的威胁检测和响应的能力,一旦发生了安全风险,应该是团队第一时间知道,第一时间能做响应,而不是用户知道、股东知道、监管知道、新闻知道,这个损失和影响肯定是不一样的。有风险先解决、发现处置了,就能把风险提前规避了,所以这点是很重要的。
第三是数据安全的能力。从早期的建设,从整个供应链和链路上或者跟整个信息安全的处理所有环节都需要保证它的体系的完善。所以我觉得这三个维度,可能对甲方非常有参考和建设建议价值的。这个其实往往被企业容易忽略。
7、如何看待威胁情报在现代网络战争和地缘政治冲突中的作用?
李秋石:我们整个国内的安全,包括相应的监管方还有行业导向都已经从传统的合规导向转换成效果和实战导向。这一点对于我们应对国际形势变化和未来不确定发展的不确定性来说是非常有帮助的。也就是说当每一个甲方都是以实战和实践的角度去建设安全体系的话,那我们自然就能建立起一套全社会的一种安全网络威胁的应对机制。所以我认为还是要从自身的建设抓起来,因为网络安全不是只有国际纠纷才会产生这事情,才会被放大。正常来说,在国际形势非常平稳的时候,网络环境一直也没有消停过,所以各种各样的威胁和也是层出不穷的。以前在新闻上各种各样都能看到,这个应该是不管是国际形势怎么样,都要去做好的一个建设的方向。
关于威胁情报人才和职场
1、威胁情报人才短缺的原因是什么,企业可以通过哪些方法培养或获取专业人才?
李秋石:网络安全类的人才在国内就相对比较稀缺,并且在此基础上再细分赛道就会加剧困难程度,也就是说一个企业它到底是不是具备这个能力,取决于我们是不是能够把人才培养成这个方面的专家。不管是国内还是国外,网络安全企业其实和医院的科室是很像的,比如医院能力最强的这几科可能就是其核心竞争壁垒,一家医院不可能做到所有的科室都是最强的,并且客户也不会只用一个供应商的产品。所以安全的异构以及核心能力的投入,这个才是培养人才和产生人才的机制,这个更重要。我认为这个才是我们跟其他企业的最大差别。我们整个公司都是在专注核心能力以及一些检测与响应能力。
2、您对有志于进入威胁情报领域的安全或IT人士有何职业发展建议?
李秋石:首先非常欢迎大家进入网络安全的行业,但是大家的心理、认知和态度一定是要端正的,如果想挣快钱、套现,或者想待几年当跳板这样是不赞成的。因为这个跟学医很像,学医本科至少都要上五年深耕,安全也是一样的。
其次是要耐得住性子,要在这个行业里深耕,要有几十年甚至很长一生的精力去投入这个行业,要有这个长期深入研究的认知和态度。这个行业的优点是它相对是一个稳步发展的行业,受外部的因素影响相对较小,并且这个行业的人才缺口和投入缺口是比较大的。
再者就是要有空杯的心态。安全的范围很大,比如业务安全、验证、数据分析或者做不同的企业,当你看待能力和方向的研究的时候,要有一个空杯的心态去面对任何一个优秀的产品或者能力,它都有其核心的壁垒。国内的网络安全市场在快速发展阶段,可能做到一定程度之后会面对各种各样的诱惑。所以能持续地保持专注,保持自己的核心航向,这个才是想成为专家的人应该做的事情。