长亭科技郭世超:网络安全回归免疫疗法

网络安全正在进入无边界、无规则、无差别(企业规模)的智能化战争时代,面对混合云环境中高度敏捷、复杂、多态和智能的网络犯罪和APT攻击,被动式网络安全防御的护城河模式已经失效;漏洞武器化速度不断提速,使得依赖规则的威胁检测顾此失彼;生成式人工智能的滥用和身份数据的大规模泄露,使安全能力较差的中小企业和行业用户开始暴露在大规模针对性攻击的射程范围内。

工具蔓延、误报和过劳,仍然是网络安全运营的三大顽疾。虽然零信任扛起了主动安全的大旗,但同时也推动了“加密蔓延”,导致企业加密流量激增,对加密流量的异常检测正成为企业新的痛点。

面对智能化时代新旧技术债的叠加和威胁态势的快速恶化,嗅觉敏锐的网络安全创新企业纷纷调整策略,产品驱动的增长(PLG)、整合、智能化成为重塑网络安全检测工程(免疫力)的三大趋势。

近日,GoUpSec走访了国内网络安全创新势力的代表性企业长亭科技的产品总监郭世超,深入沟通了长亭科技产品与“疗效”驱动的增长策略、下一代检测工程热点——NDR的产品化和智能化,以及无边界、无规则、无差别攻防时代的用户痛点、技术趋势和强调“免疫力”的主动安全能力建设策略。鉴于本次访谈内容极具深度,公众号将分为上下两篇文章进行展示,上篇《长亭科技郭世超:网络安全回归免疫疗法》,下篇《长亭科技眼中的未来云安全运营》。

郭世超,长亭科技首席安全产品专家、产品总监,毕业于国防科大计算机与中科院人工智能专业,曾是战斗在国家网络安全前线的指挥员,拥有多年安全建设、安全管理和攻防实战经验;也是Tea Deliverers战队成员、hackerone白帽子,曾获hackerone季度全球第92名、年度中国区第9名、Airlock Hall-of-Fame第1名,为Alibaba、Starbucks、TikTok等知名厂商提交过安全漏洞,多次参加国家级沙盘推演、强网杯、DEFCON CTF等活动。

聊聊全悉产品理念与能力

GoUpSec

主流的信息安全厂商对于产品孵化和商业化是有一定的规划,长亭本身是做红蓝和渗透安全服务起家,对于产品化的决策是如何考虑的?对于全悉的产品定位在怎样的?

郭世超

长亭是做红蓝攻防起家的,在安全技术领域有很强很深的积累,长亭做安全产品的理念或者说落地安全能力产品化的路径,一直秉持的核心就是“三个优质”,即优质的技术自研创新能力,优质的攻防实战能力,优质的产品服务或安全服务理念。长亭多年的攻防实战经验为产品孵化奠定了优质的技术底座,产品从出生就做精品、基于攻防实战避免闭门造车,核心就是以技术创新为立身之本、用智能代替规则、用实战效果说话。

长亭的产品已经从单点向体系发展,单点产品的最优化,或者说“单点极致”,仍是产品研发追求的首要考虑。而产品体系的迭代升级,无论是当下还是未来,我们仍然会以“攻、防、知、查、抓”为关键面展开,每个面我们都会持续不断的优化核心产品能力。未来在某些关键面上,还会孵化多款产品,但我们更加关注的是内在的关联和联动,关注产品间能力的流通。长亭未来不会去做100款产品,我们追求的核心点是单点极致,单品的单点压强最大化。

刚才聊了聊长亭做产品的思路、节奏和步伐,第二点关于全悉的定位,我用三个短句来表达:第一句是产品的目标,也就是“险胁全明辨,伏兵尽知悉”;第二句是产品的定位,全悉是高级威胁分析预警系统,英文为T-Answer,也就是Threat-Answer,表达了我们对高级威胁的应答;第三句是产品的赛道,全悉属于NDR(Network detection and response)赛道,焦点在于流量侧的威胁检测与响应,聚焦检测、狩猎、溯源、响应全流程。

GoUpSec

全悉和常见的IDS、IPS有哪些区别?对比同赛道产品它又具有哪些核心特点?

郭世超

说到全悉与常见的IDS、IPS类产品的区别,主要有三点:一是IDS、IPS属于被动防御阶段的产品,主要基于特征或签名检测技术做检测。传统安全设备通过特征或者正则匹配的方式,存在规则更新滞后、误报高等不足;二是IDS、IPS通常基于规划检测,面对0day、APT、攻击变种等未知威胁可以说是无能为力了;三是IDS、IPS通常也只能提供告警日志,无法利用网络流量进行分析溯源。

而全悉我们把它定义为NDR产品,是在攻击专业化和定向化趋势下的主动防御型产品,具备高级威胁、内部威胁、0day、变形攻击的检测能力,侧重在基于准实时或长时流量做威胁与异常检测和主动的威胁狩猎。

说到对比同赛道产品的核心特点,首先我想表达的是,各家都有各家的产品思路和产品理念。再说到国内外市场,欧美市场ID/PS、WAF以及NGFW产品高度成熟,因此新兴的NDR产品并不强调覆盖这几类成熟市场,而是侧重发展异常检测与事件响应能力。国内厂商则试图将WAF、IDPS、NDR的检测能力完整集成在一起,提供all-in-one的方案。

对于长亭来说,全悉不会做all-in-one,我们把它定义为“假设失陷”、“数据驱动安全”背景下的时代产物。如果没有充分认识其技术的高度复合性和挑战,以及由此对产品团队能力的要求,一味的走大而全的路,最后可能的风险是产品大而不精、堆砌若干功能、徒增产品复杂度而实效很差。

全悉的产品演进迭代路径为保持“小而美且专”的初心思路。小,首先我们不做大而全、大而不精的堆砌;美,我们紧盯“聚焦智能”和“攻防实战”这两个点,寻求检测能力的突出,实现“低误报、低噪声、真告警、可运营”的目标,不断追求单点极致;专,我们还是专注于流量安全检测这条赛道,也就是NDR的赛道。回归到刚才提到的差异化特点,还是收敛到全悉产品化贯穿始终的两句话,一是聚焦智能,二是攻防实战。全悉充分吸收长亭科技多年来网络攻防实战经验,融合长亭智能语义分析、人工智能、机器学习、知识图谱、攻防模型以及大数据智能引擎等核心技术能力,聚焦对流量的全面威胁感知,具备对0Day/APT、恶意加密流量、红队武器库威胁、恶意文件威胁、内网渗透威胁、攻击杀伤链等检测能力,能够帮助企业消除南北东西向流量威胁盲区,聚焦安全运营升级需求,成为安全风险运营的流量“情报官”、高级威胁检测与响应的“指挥官”、智能溯源分研判的“分析师”。

GoUpSec

长亭业内最早提出了“语义分析”技术,全悉这次新提出的“语义分析2.0”有哪些变化和升级?对于新变体和新威胁的识别能力如何?

郭世超

我们知道长亭业内首创的“智能语义分析算法”,为安全产品嵌入“智能大脑”,通过词法分析、语法分析、语义分析具备自主识别攻击行为的能力,摆脱了对传统正则特征库的依赖,能够有效检测0day攻击、变种攻击。全悉在基于HTTP协议的“智能语义分析1.0”基础上升级模型算法,推出“智能语义分析2.0”,主要有三个方面的提升:

一是,从http协议扩展支持更多非http协议,实现“http+非http协议”的智能语义分析能力。比如weblogic t3、iiop等序列化-反序列化协议,mysql、mssql、pgsql、redis等数据库协议等等;

二是,从语义分析的南北向流量扩展到“南北+东西向流量”的应用场景。东西向流量场景更复杂,攻击类型更多样,全悉实现了这部分的突破;

三是,增强和完善“语义大脑”的实战分析能力,攻防实战能力进一步提升。全悉的安全能力与长亭安服、红队横向拉通,做到优质安全技术能力、攻防实战沉淀的流通和丰富。

全悉的升级版语义分析实战能力已经在实际应用中得到验证。在去年国内某大型实战攻防演习当中,全悉帮助长亭的防守队捕获了演习期间公司的第一个0day。于此同时,在两周的实战演习中,有效检测出了多个0day,0day捕获总数占演习期间长亭安全运营团队监测漏洞总数的近10%。全悉还能在不升级的情况下对0day变形进行检测,比如前期爆发的某办公系统0day与Nday绕过、Zimbra Collaboration路径穿越导致的RCE,还有前期Apache Commons-Text远程代码执行漏洞的多层嵌套与递归,以及微软通报的Microsoft Exchange Server ProxyNotShell SSRF漏洞等等。

GoUpSec

全悉使用了AI技术、智能技术,能力体现在哪些方面?能力如何?有什么案例数据吗?

郭世超

刚才提到了长亭做产品的原则之一就是“用智能代替规则”,我们的期望和目标也是从更智能和更高的维度和视角去实现对威胁的降维打击。就全悉而言,AI与智能技术的运用有这几方面体现:比如基于智能语义分析的威胁检测能力、基于人工智能模型的恶意加密流量检测能力、基于word2vec+聚类算法的恶意域名检测能力、动静态智能联动的恶意文件与webshell检测能力、基于知识图谱的攻击链智能聚合图谱、智能拟态防护的联动响应能力等等。

这里我就AI加密流量检测这一场景展开几句。长亭在攻防实战的研究上有这很纯正的基因,在AI加密流量检测上,我们聚焦和收敛关注了3大类场景,分别是针对加密反弹shell、隐匿隧道、C2黑客工具加密通信与行为的检测。我们通过构建人机交互行为特征、步态特征、流量的指纹特征、网络行为、证书交互、包大小特征、包时序特征、载荷字符特征、攻击工具特征以及等关键要素建立特征集合,利用人工智能算法构建智能分析判别模型,同时关联异常事件,能够在加密流量不解密的场景下,实现对恶意加密流量进行检测,这跟传统的深度包检测比较大的区别。

对于AI模型检测的漏报率与误报率的问题,这确实人工智能模型泛化能力迭代优化的一个关键点,我们的解决思路先聚焦与我们能够收敛的问题场景。以加密反弹shell检测为例,在某客户流量环境实测最终效果为误报率0.05%、漏报率0.6%,可以看到效果是非常不错的。当然我们不能保证所有客户都能一下达到这样好的效果,还需要我们去做相关的学习调优、训练、再应用,实现一个闭环优化的过程,这也是我们正持续投入的方向。再比如针对ICMP、DNS隐匿隧道的检测,实战中已经通过我们的智能模型发现一些位置工具利用和恶意行为。还比如,针对C2黑客工具,像Cobalt Strike、Matesploit、Antsowrd、Behinder等加密通信、加密webshell命令执行都能被全悉很好捕获,得到了许多客户的认可。

像全悉联动长亭牧云(主机防护)、谛听(蜜罐)构建的“网-端-蜜”拟态防护体系,去年还登上了BlackHat Europe,并入选Arsenal。

GoUpSec

全悉提出的“红队武器库检测”,为什么会提出这个点?实际的能力如何呢?

郭世超

正所谓“未知攻,焉知防”,随着网络安全实战化演变,漏洞视角已不再是简单的验证或利用,而是逐步向武器化的趋势演变,漏洞从概念验证(POC)、漏洞利用(EXP),再到武器化(Weaponlized)的进程最快能在24小时内完成。与此同时,红队攻击与入侵技术能力的武器化对攻击效率、入侵能力有极大提升,相应的防守方防御难度、防守压力也极大增加。假若防守方对攻击者、入侵者使用的武器弹药不了解、不可察,那将会极大缺失真正站在红队攻击者视角开展安全防御的能力,难以有效防御红队依托红队武器发起的信息收集、密码破解、载荷利用、横向移动、隧道代理、远程控制等一系列威胁操作,更难以在攻击链发起阶段或者中间环节采取有效的检测与响应。所以,防守方做到知己知彼,补全实战攻防背景下的红队武器视角,在网络安全实战中有效检测和识别红队武器,才能够清晰掌握攻击手段、技术、红队意图等信息,从而建立攻防信息优势进行高效防御,奠定攻防战场优势局面。

长亭的红蓝对抗、实战攻防经验,以及公司优质安服力量和红队在这点上都助力了全悉实战能力的积累。我们提出针对红队武器库检测,是希望帮助客户做到做到知己知彼、补全实战攻防背景之下的红队武器库视角,提升针对红队威胁的对抗能力。全悉目前支持超过260种红队武器检测,覆盖军火级、商用级、工具级、开源级4个等级,如FireEye、Equation、APT34等泄漏工具集、Canvas、N-Stalker、BruteRatel、CobaltStrike、Metasploit、Behinder、Neo-reGeorg、Mimikatz、FRP等等,还包括一些工具的二次开发和变形的利用。同时,全悉超过3000种实战检测规则和基于红队武器行为的智能检测模型,也能有效覆盖信息收集、密码破解、远程控制、隧道代理、漏洞利用、域渗透等多个攻击阶段。

在去年某国家级攻防实战演习期间,我们帮助某大型交通客户,从FrameMaker模板注入的0day,抓到了冰蝎加密webshell连接,再到构建http隐匿隧道恶意行为,到最后内网横移与扫描,发现和溯源完整攻击链,从红队工具和攻击链的角度,将整个从外到内的入侵链做了溯源,有力支持了客户和防守方后续的响应动作。

当然攻防对抗是一个动态持续的过程,我们还会持续研究迭代该专项能力,帮助企业补全实战攻防背景下的红队武器视角,提升企业风险运营、实战攻防演练中的红队威胁对抗能力。

前一篇Verizon发布2023年度数据泄露调查报告:人为错误是主因
后一篇本田电商平台API漏洞暴露客户数据