RSA 2017观感之五：威胁情报追求精细化、人工智能走入产品化

美国当地时间2月17日，被称为安全行业风向标的RSA Conference 2017在美国旧金山落幕，360企业安全集团天眼产品总监沈华林在回顾本次RSA时认为，在威胁分析、威胁情报、人工智能和机器学习等多个方面今年RSA都呈现了一些值得关注的新趋势和新方向。

图：360天眼产品总监沈华林

威胁分析越来越重要，结合全网数据成方向

从RSA看，业界现在越来越关注威胁分析，并把威胁分析提升到了企业安全运营的一个很重要层面。

结合全网数据的威胁分析：威胁分析已经成为大数据安全分析、高级威胁检测一个非常重要的点，结合全网数据的威胁分析成为一个方向，比如IBM的Waston in QRadar就是结合全网数据来做的，它会从互联网上博客、论坛等地方把专家意见拉过来，将这些专家的意见结合到事件分析中，结合全网的数据和一些专家意见，可以提高分析的深度和分析的相关性，把整体事件的全貌还原出来。

重视场景分析：RSA有一个主题演讲关注基于人的行为的攻击链分析，这个演讲的关注点都在场景分析上，其基本意思是不光要知道这个威胁是怎么回事儿，还要非常清楚地知道整个的攻击场景是怎么回事儿，攻击链条是怎么一回事，它的来龙去脉是什么样的，分析的时候要把整个攻击的链条还原出来。

微软的sysmon、初创公司SentinelOne的attack story都是基于场景的分析，重视场景化分析也是360天眼在产品化当中重点考虑的方面。攻击事件不再是一个孤零零的事件，它应该有一个全貌，把整个黑客的攻击链条还原出来。在威胁分析的全网数据结合方面，360已经通过云数据把全网数据都结合在了一起，在新版本的NGSOC中，最重要的一个能力就是场景分析，在其中定制了大量的业务场景分析的各种story在里面。

人工智能和机器学习进入产品化

在今年RSA上，人工智能和机器学习开始进入产品化，比如Splunk推出了Aktaion组件，就是做机器学习分析的，它通过机器学习处理业务数据，能逐渐去学习业务数据当中哪些业务出现异常，然后直接报出来。

Splunk提到很典型的一个场景是如何检测勒索软件，勒索软件会有下载阶段、数控阶段、数据传输、感染等不同的阶段，不同的阶段，它的网络行为和本地行为的那些数据、日志是不一样的，通过机器学习，利用海量的正向样本和恶意样本的分类，就能够分出哪些是属于勒索软件的行为。就可以发现谁感染了勒索软件、哪些勒索软件可能已经要开始起作用了，提前感知到，然后去做一些判定。Splunk在机器学习和人工智能方面最关注的是误报率，通过对算法的调整，已经可以很好地对某些场景，比如勒索软件做到低于千分之一的误报率。

图：IBM的沃森从网上和本地数据中获取专家分析结果，应用到SIEM系统中

另外一个典型的例子就是上面提到的IBM的沃森，之前沃森在医疗方面已经成功应用，在安全方面沃森可以学习所有安全专家的意见，收集安全专家在Twitter、博客等发表的意见，尤其是在一些新型攻击发生时安全专家的意见至关重要，把这些东西形成一些专家的报告，通过人工智能学习的方式把它给结合进来，就能够给本地的数据带来一定的帮助。安全运营平台的目的是把安全专家处理的步骤自动化，不仅仅是内部的安全专家，还有全网的安全专家都能够去结合起来为我提供服务。沃森的思路本身是很好的，但相对而言，沃森的产品化的效果还是有待观察。

360的NGSOC组件里的流量探针也已经使用了机器学习技术，在检测基于服务器端的攻击，以及基于网络攻击这方面，通过机器学习去做相关的判定，相关的检出率和误判率都已经达到了比较满意的效果。

威胁情报成为必需品后，开始追求精细化

从RSA看，威胁情报已经成为一个必需品，不仅仅必须要有威胁情报，用威胁情报去连通整个环节，而且开始更多的关注怎样选择适合的威胁情报，订阅威胁情报时需要去评定它，需要知道自己的行业需要什么样的威胁情报，威胁情报的质量开始成为安全运营中关注的重点。

现在的威胁情报很多，但是不同的行业用户需要的威胁情报是不一样的，比如说能源行业、教育行业关注和政府行业关注的威胁情报是完全不一样的。360已经在这方面进行了一些实践。比如威胁情报在与防火墙结合落地的时候，中小企业根本就不关注什么是APT，而更关注于勒索软件、泄密行为或者病毒、木马等普通的威胁，但是政府机构会很关注APT，所以360会针对中小企业用户的防火墙和政府机构的防火墙推送不同的威胁情报。

图：Fireeye报告中对SOC的好坏进行了评定的曲线

Fireye在RSA上发了一个报告，对于SOC平台的好坏进行了评定，他在批判不好的SOC平台的同时，也提出了什么叫成熟的SOC平台。Fireye给出了一条曲线，在这条曲线越低级的时候，出现的误报会越多，用户就会疲于应对误报问题，不能发现一些真正有效的攻击。Fireye认为，越是成熟的SOC平台，越是成熟的安全运营团队，就会更关注于威胁情报，也会关注于威胁分析。通过威胁情报去精准地产生一些有效的线索，帮助用户去进一步做扩散，通过威胁分析去进一步扩散出来。

360去年推出了NGSOC（下一代SOC），相对于传统SOC最大的不同可以帮助企业回溯历史，因为对于企业来说回溯历史的成本是最高的。所有的事情只会发生一次，如果没有把数据记录下来，不对历史数据去做回滚分析，就无法做出评定。如果有了这些历史数据再去评定威胁情报就容易很多，直接通过历史数据回放就可以看到，知道当时发生了哪些攻击事件、通过威胁情报能够曝出多少，这可能也是最佳的威胁情报的评定方式，实践是检验真理的唯一标准。