对于所有的安全人员来说,每天都要面临两个终极难题:到底谁在黑我?为什么要黑我?
为了避免被黑,他们往往配置了“里三层、外三层”的防护手段和安全产品。
这样造成的结果是:在发现异常情况时会有N条告警时,时间一长,人也逐渐麻木,他们不知道在众多的告警中,哪些才是真正危急和需要马上去处理的。
真要出了事,安全厂商也不会背锅---你看,不是我们没预警,是你们没有重视起来啊!
最终被劈的还得是苦逼的安全人员。
正所谓“不怕贼偷,就怕贼惦记”,令安全人员更加担心的是,有些黑客在入侵的过程中,采用的是“润物细无声”的招式,他们潜伏已久,早已对你进行了长期和有计划的摸底,知道你最关键的东西放在哪里,哪里有破绽,他们等的只不过是一个合适的时机,引爆那些早已布置好的“炸弹”,而你却对此一无所知。
今天的故事,雷锋网先从一个名为“Dragonfly”的黑客团伙讲起。
2017年,一个名为“Dragonfly”的黑客团伙被赛门铁克曝光,此前,这伙黑客是让能源行业谈之色变的“隐形人”,自 2011 年开始,能源行业就备受其骚扰,但“敌人”究竟能力有多强?武器如何?盯上了哪些国家的哪些设施?一直是个迷。
虽然安全人员此前对这伙人都早有耳闻,但在曝光之际,该团伙所具备的能力还是让业内人跌破了眼镜。
他们可以对超过84个国家的数千座发电站进行远程访问,并能针对数十家能源公司同时发动攻击,不仅能入侵能源公司的运营网络,还能操控美国本土的配电网络,这是我们第一次意识到攻击者居然能够操控如此大规模的电力系统运营。
告诉我这串数字的,是赛门铁克华东及华南区售前经理王景普。
王透露,针对能源等关键设施进行攻击的,都是有备而来的黑客,即“针对性攻击组织”,他们目标明确,而且在真正动手前往往都已经用“鱼叉”“水坑”等攻击招式掌握了攻击目标的关键信息,比如用钓鱼邮件知道了某些关键员工的邮箱用户名、密码,获取到核心数据,用“水坑”式攻击了解企业员工平时都会访问什么类型的网站,将企业经常访问并信任的网站作为攻击目标……
但与此同时,安全人员却对这些黑客不了解,尤其是每天收到 N 条告警时,他们更加分不清谁是谁,这就好比打仗时,一直处于敌暗我明的不利态势,敌方早就刺探出你的排兵布阵,而你却浑然不知对方的情况。
根据王景普多年的“战斗”经验,要想把这伙黑客揪出来,得有两个杀手锏。首先要掌握足够多的作案数据,第二就是你要能在这么多数据中根据共性,分析出这伙黑客的特点,再顺藤摸瓜的锁定他们。
要做到这两点,并不容易,第一要有充足数据,第二要有先进的算法,只有这两项都具备,才能有跟黑客叫板的资格。
对于神出鬼没的黑客,只有广撒网,才能寻觅到一些蛛丝马迹。就像一位出色的侦探往往都会在前期做大量缜密的线索搜集工作。
(图片来源:侦探游戏“9条线索2病房”)
所以对于安全人员来说,摆在面前第一件事是尽可能收集到黑客团伙充足的数据。据王景普透露,目前赛门铁克在全球覆盖了 1.75 亿个终端和 9500 万传感器,所以可以针对端点流量、电子邮件甚至是诱饵邮箱收集广泛的数据,形成了最终大数据分析的数据来源。
由于覆盖了庞大的终端和传感器,我们能对全球 157 个国家和地区的多个攻击团体进行持续跟踪,在此基础上,我们也积累了相对庞大的漏洞数据库。从二十多年前开始,该数据库至今已经记录了超过将近9万个漏洞。
有了数据仓库后,接下来最关键的就是如何分析这些数据,最终揪出黑客团伙。
王透露,最终的分析结果其实得益于于近几年开始使用的机器学习技术,工程师团队要做的,就是在海量的数据中,把有共性的攻击行为挑出来进行分析,从而锁定背后的黑客团伙。这要求这个团队既有机器学习的知识积累,还有网络安全的专业知识,王把这项“侦探”技术称为 TAA (针对性攻击分析),雷锋网编辑觉得,这更像是一个“AI侦探”的角色。
TAA 技术由攻击调查团队和安全数据科学家共同研发。
王透露,这个具有多元背景的团队正是他们得以揪出 Dragonfly 的幕后功臣,它可以让客户无需更新产品,通过定期的重新训练和更新分析来检测新型攻击手段。
那这跟之前的高级威胁分析有何不同?
王回应,针对性攻击的分析工具其实在 2011 年已经有了,只是各方面还没那么成熟,以前赛门铁克只把它放在情报网里,相当于“试炼”,没把它放在ATP设备里,因此无法向客户提供详细报告和信息,而现在,是把它从幕后拉到前台,让用户直接看到分析结果。
分析结果的体现方式是一份份详细的分析报告,解决的正是文章开头所遇到终极难题,你被哪些黑客组织盯上了、他们以前有哪些黑历史、惯用套路是什么、什么时候盯上你的、对你的攻击进行到哪步了、接下来你需要采取哪些措施……
这些工作成果,都来自这位“AI”侦探,而这项技术之所以能实现,数据上云是一个关键点。
王景普解释,由于原来的引擎一直在赛门铁克自己的数据中心运行,所以计算能力有很大的局限性。现在凭借云端庞大的计算能力和大数据分析平台,人工智能和高级机器学习专家的想法才得以实现,之后再做成有效的机器学习模型,最终输出正确的分析结果。
你以为用了“AI侦探”就能叫板黑客了?
NONONO,你用AI,黑客也用AI,说不定人家的装备不比你差!
其实,赛门铁克在去年就曾预测,黑客将会利用人工智能和高级机器学习等手段发动攻击,而安全人员能不能占上风,将取决于监测范围和数据量的大小,以及对于数据的处理分析。
对于做安全产品的企业来说,监测范围、数据量以及分析引擎都是缩短抓到黑客时间的关键,这也是为什么我们要把整套系统从原来自己的数据中心全部迁移到云上的原因,如果没有云计算超大计算能力和大数据分析平台的配合,我们也无法处理数据如此庞大的分析。
王景普告诉雷锋网,为了使数据更加全面,质量更高,他们除了自研,近几年也在不断的收购新公司,比如针对IOT、移动终端和云的安全,都收购了相关的产品和技术,黑客攻击一个目标企业时可能利用到的传统方式、通道和新的方式、通道都要覆盖。
那么,如此大规模的收集数据,是否对业务会产生影响?是否会侵犯客户的隐私?
王回应,第一,不会对用户的终端产生影响。对于企业的端点,在客户明确允许的情况下,赛门铁克会通过 SEP 收集来自企业端点的数据。由于ATP设备只接受从其他来源复制的流量,而不参与网络中数据的交换,所以它不会对网络本身的性能产生影响。
第二,在端点方面,赛门铁克的软件一旦打开某个事件,收集的只是日志,量非常小,所以电脑运行速度不会因为记录日志而变慢。此外,由于收集这些数据不需要另外安装客户端软件,所以不会导致它跟端点上的其他应用产生冲突或者导致操作系统崩溃。
第三,会确保匿名性。他们所收集的数据只是事件日志,而不会记录企业真正数据,所以不会涉及到企业机密相关信息的收集。针对企业端,在收集数据之前,客户需要自行去配置功能,得到客户明确允许后,才能进行数据收集,由客户决定哪些数据可以被收集,并且不会收集客户名字,也就是说,数据上传后赛门铁克也不知道这究竟是哪个客户的数据,所以能够确保匿名性。