信息來源:安全牛
2020年網(wǎng)絡(luò)安全的焦點(diǎn)是“人的因素”,重心是“安全運(yùn)營”,但是安全運(yùn)營的發(fā)動(dòng)機(jī)——SIEM,卻始終是CISO頭上的一個(gè)大包。
SANS 2019年的報(bào)告(上圖)顯示,超過70%的大型企業(yè)仍然依賴安全信息和事件管理(SIEM)系統(tǒng)來進(jìn)行數(shù)據(jù)關(guān)聯(lián)、安全分析和運(yùn)營。此外,很多企業(yè)的安全運(yùn)營中心(SOC)團(tuán)隊(duì)還圍繞SIEM配備了用于威脅檢測/響應(yīng)、調(diào)查/查詢、威脅情報(bào)分析以及流程自動(dòng)化/編排的其他工具。這就產(chǎn)生了一個(gè)問題:如果SIEM是安全分析和運(yùn)營的“重器”,為什么企業(yè)還要補(bǔ)充那么多其他工具?
研究表明,盡管SIEM擅長發(fā)現(xiàn)已知威脅并生成安全與合規(guī)性報(bào)告,但它并不適合檢測未知威脅或其他安全運(yùn)營場景。而且,有23%的安全專家表示SIEM平臺(tái)需要大量的人員培訓(xùn)和經(jīng)驗(yàn),而21%的人則認(rèn)為SIEM需要不斷調(diào)優(yōu)并消耗大量運(yùn)營資源才能發(fā)揮作用。總之,SIEM不會(huì)很快失寵,但顯然還遠(yuǎn)遠(yuǎn)不夠。
安全關(guān)聯(lián)的進(jìn)化怪圈
“痛苦金字塔”(Pyramid of Pain)
David Bianco于2013年提出的“痛苦金字塔”(Pyramid of Pain)眾所周知。位于塔尖的關(guān)注重點(diǎn)(TTP)就是檢測活動(dòng)中你需要理解的那些指標(biāo)。但SIEM檢測發(fā)展歷程及其當(dāng)前狀態(tài)中存在一些令人費(fèi)解的謎團(tuán)。本文正是要破迷解密,帶您正確認(rèn)知安全關(guān)聯(lián)的過去與現(xiàn)在,揭示關(guān)于SIEM的殘酷真相。
首先,讓我們的思緒穿越到1999年。那時(shí)主機(jī)入侵檢測系統(tǒng)(HIDS)是高大上的代名詞,“SIEM”這詞兒在Gartner分析師眼里也就是個(gè)華麗麗的新鮮玩意兒。但是,有些供應(yīng)商居然已經(jīng)開始開發(fā)和售賣“SIM”和“SEM”設(shè)備了。要知道,這可是1999年!設(shè)備可火了!
這就是第一批很快便會(huì)被稱為SIEM的工具,擁有非常基本的“關(guān)聯(lián)”規(guī)則(真的,不過是聚合和計(jì)數(shù)單條屬性,比如用戶名或源IP之類的),例如“多個(gè)目的地址同一端口的多個(gè)連接”、“包含SYNflood的思科PIX日志消息重復(fù)50次”、“SSH登錄失敗”等等。很多此類規(guī)則都非常脆弱,攻擊行為的些微改變就可以規(guī)避規(guī)則觸發(fā)。而且,這些規(guī)則還是設(shè)備依賴的(例如,你得針對(duì)每個(gè)防火墻設(shè)備編寫此類規(guī)則)。所以,SIM/SEM供應(yīng)商不得不加載成百上千條此類規(guī)則。而客戶則在啟用/禁用和調(diào)整大量規(guī)則的深淵中痛苦不堪。
1999年時(shí),Dragon Squire之類主機(jī)入侵檢測系統(tǒng)真的是90年代安全技術(shù)的一大突破,可以梳理日志,查找“FTP:NESSUS-PROBE”和“FTP:USER-NULL-REFUSED”之類的東西。
略過千禧不談,我們快進(jìn)到2003-2004時(shí)期——革命爆發(fā)了!SIEM產(chǎn)品橫空出世,放出兩個(gè)大招:規(guī)范化事件和事件分類。分析師花點(diǎn)時(shí)間將設(shè)備事件ID劃入SIEM分類事件類型中(如:Windows事件ID 1102該往哪兒去?),然后對(duì)此編寫檢測規(guī)則。SIEM檢測內(nèi)容編寫就此變得有趣!
SIEM的這個(gè)巨大進(jìn)步為我們帶來了著名的關(guān)聯(lián)規(guī)則,例如“同一目的地址遠(yuǎn)程訪問類事件后的多個(gè)漏洞利用類事件”。這種規(guī)則開始支持跨設(shè)備通用檢測邏輯,分析師的生活從此變得陽光明媚!通用規(guī)則的適用性強(qiáng)得多(就好像“任意漏洞利用”和“任意遠(yuǎn)程訪問”與特定的攻擊(例如VNC訪問)),還能跨設(shè)備使用——只需編寫一次,隨后就算換了另一種防火墻,此關(guān)聯(lián)規(guī)則依然能檢測惡意事件。
哇哦,簡直神奇!有了這個(gè),你就(大概)能憑借幾十條好規(guī)則走遍天下,無需再在幾十個(gè)系統(tǒng)和多個(gè)操作系統(tǒng)版本類型的無數(shù)正則表達(dá)式、子串和設(shè)備事件ID間苦不堪言。在當(dāng)時(shí),SIEM可謂是安全產(chǎn)品的重大進(jìn)步,這就好比汽車淘汰了馬車。
此外,一些人對(duì)通用事件表達(dá)(CEE)計(jì)劃寄予厚望,開始努力生成現(xiàn)實(shí)可用的全球日志分類和模式(大約在2005年)。
一覺醒來還在解放前
但你絕對(duì)想不到此后發(fā)生了什么!
現(xiàn)在,我們快進(jìn)到今天,已經(jīng)跨入到2020年。實(shí)際上,當(dāng)前的大多數(shù)檢測內(nèi)容還是用的90年代風(fēng)格——匹配原始日志的狹窄而精確的風(fēng)格。看看Sigma內(nèi)容就知道,1998年的Network Intelligence enVision SIM用戶都能看懂其中大部分檢測!不可否認(rèn),我們今天也有ATT&CK框架,但這解決的是另一種問題。
還有一個(gè)特別奇怪的視角:隨著機(jī)器學(xué)習(xí)和分析的興起,如果我們想要掌握更多安全用例,而不僅僅是檢測,對(duì)干凈的結(jié)構(gòu)化數(shù)據(jù)的需求肯定會(huì)不斷上升。然而,我們恰恰是只增加了數(shù)據(jù)總量,能饋送給機(jī)器學(xué)習(xí)算法的數(shù)據(jù)并沒有多少。我們需要更多干凈的、豐富過的數(shù)據(jù),不是更多數(shù)據(jù)!現(xiàn)在不是人多力量大的時(shí)代,數(shù)據(jù)的質(zhì)量更甚于數(shù)量!
這個(gè)進(jìn)化過程就好像我們從馬車時(shí)代走到汽車時(shí)代,然后是電動(dòng)汽車,然后是噴氣式汽車,結(jié)果又回到馬車時(shí)代……
那么,這些年到底發(fā)生了什么?
從揮舞關(guān)聯(lián)“魔法棒”15年的ArcSight老手,到用現(xiàn)代工具運(yùn)營檢測團(tuán)隊(duì)的安全主管,對(duì)安全同行的調(diào)查給出了答案。
但在揭曉最終答案之前,我們不妨回顧一下調(diào)查數(shù)據(jù)收集過程中同行們都是怎么想的:
原始搜索贏了
缺乏事件規(guī)范化或規(guī)范化做得很差(或懶惰到依賴客戶去做規(guī)范化工作)的產(chǎn)品,因不相干的原因贏得了市場(比如所收集數(shù)據(jù)的總量等),而新一代安全運(yùn)營中心(SOC)分析師從沒見過別的工具。于是,分析師用手頭的工具勉強(qiáng)應(yīng)付。好吧,我們暫且將此推理邏輯稱之為“原始搜索贏了”。
獵手贏了
威脅獵手春風(fēng)得意,把傳統(tǒng)檢測人員逼到墻角,一腳踢出窗外。現(xiàn)在,威脅獵手試圖用自己狩獵未知威脅的方式來檢測搜索已知攻擊的蛛絲馬跡。這可稱之為“獵手贏了”。
誤報(bào)贏了
另一種想法是:對(duì)“誤報(bào)”(FP)的容忍度下降了(由于不斷惡化的人才短缺狀況),所以編寫更窄的檢測規(guī)則降低誤報(bào)率開始流行起來(“漏報(bào)”是萬萬不可的——我們只能編寫更多規(guī)則來阻斷漏報(bào))。規(guī)則狹窄了也更容易測試些。不妨將這種思路稱之為“誤報(bào)贏了”。
數(shù)據(jù)多樣性贏了
還有一種假說與現(xiàn)代威脅和所收集數(shù)據(jù)更多樣有關(guān)。由于我們需要檢測更多種類的更多東西,規(guī)范化事件和分類事件就被擠到了后面。這種思路可稱之為“數(shù)據(jù)/威脅多樣性贏了”。
以上結(jié)論您認(rèn)同哪個(gè)?您在檢測工作中遇到過類似情況嗎?
顯然,上述解釋都是盲人摸象,直覺告訴我們,SIEM的魔法并不存在,當(dāng)所有碎片拼接在一起,我們逐漸看清了SIEM的殘酷真相:
SIEM中的規(guī)范化和分類化方法從未切實(shí)起效!在其誕生之初的2003年就沒用,此后的每一年里都毫無效果?,F(xiàn)在的環(huán)境中依然如此。除非某些事情來個(gè)大逆轉(zhuǎn),否則SIEM中規(guī)范化和分類化方法無效的事實(shí)不會(huì)有任何改變。
認(rèn)識(shí)到這一點(diǎn)真是令人傷心,尤其是對(duì)構(gòu)建、宣傳、改進(jìn)和試圖全球標(biāo)準(zhǔn)化該方法(通過CEE)的人而言。
事情的真相真的有這么糟嗎?很不幸,還真是!SIEM事件分類其實(shí)……
-
總落后于時(shí)代,現(xiàn)在比之前落后得更多;
-
跨多個(gè)事件和日志源時(shí)不一致——當(dāng)今每家供應(yīng)商均如是;
-
各供應(yīng)商之間差異很大——無法達(dá)成只學(xué)習(xí)一次的效果;
-
隨時(shí)間流逝積累的錯(cuò)誤和遺漏越來越多;
-
無法有效測試當(dāng)今面對(duì)的真實(shí)威脅。
所以,我們甚至不能說“SIEM事件分類已死”,因?yàn)樗蜎]真正活過。舉個(gè)例子,某SIEM供應(yīng)商的“身份驗(yàn)證失敗”事件類別可能漏掉新版軟件(比如Windows更新引入的新型事件),漏掉不常見日志源的事件(SAP登錄失敗),或者漏掉錯(cuò)誤映射到別的東西上的事件(例如“其他身份驗(yàn)證”類別)。
人們總會(huì)自欺欺人,編寫愚蠢的字符串匹配和基于正則表達(dá)式的內(nèi)容,而一旦涉及性命攸關(guān)的入侵檢測,沒有人會(huì)把希望寄托在事件分類上。