信息來源:安全牛
2020年網(wǎng)絡(luò)安全的焦點是“人的因素”,重心是“安全運營”,但是安全運營的發(fā)動機——SIEM,卻始終是CISO頭上的一個大包。
SANS 2019年的報告(上圖)顯示,超過70%的大型企業(yè)仍然依賴安全信息和事件管理(SIEM)系統(tǒng)來進行數(shù)據(jù)關(guān)聯(lián)、安全分析和運營。此外,很多企業(yè)的安全運營中心(SOC)團隊還圍繞SIEM配備了用于威脅檢測/響應(yīng)、調(diào)查/查詢、威脅情報分析以及流程自動化/編排的其他工具。這就產(chǎn)生了一個問題:如果SIEM是安全分析和運營的“重器”,為什么企業(yè)還要補充那么多其他工具?
研究表明,盡管SIEM擅長發(fā)現(xiàn)已知威脅并生成安全與合規(guī)性報告,但它并不適合檢測未知威脅或其他安全運營場景。而且,有23%的安全專家表示SIEM平臺需要大量的人員培訓(xùn)和經(jīng)驗,而21%的人則認(rèn)為SIEM需要不斷調(diào)優(yōu)并消耗大量運營資源才能發(fā)揮作用??傊琒IEM不會很快失寵,但顯然還遠遠不夠。
安全關(guān)聯(lián)的進化怪圈
“痛苦金字塔”(Pyramid of Pain)
David Bianco于2013年提出的“痛苦金字塔”(Pyramid of Pain)眾所周知。位于塔尖的關(guān)注重點(TTP)就是檢測活動中你需要理解的那些指標(biāo)。但SIEM檢測發(fā)展歷程及其當(dāng)前狀態(tài)中存在一些令人費解的謎團。本文正是要破迷解密,帶您正確認(rèn)知安全關(guān)聯(lián)的過去與現(xiàn)在,揭示關(guān)于SIEM的殘酷真相。
首先,讓我們的思緒穿越到1999年。那時主機入侵檢測系統(tǒng)(HIDS)是高大上的代名詞,“SIEM”這詞兒在Gartner分析師眼里也就是個華麗麗的新鮮玩意兒。但是,有些供應(yīng)商居然已經(jīng)開始開發(fā)和售賣“SIM”和“SEM”設(shè)備了。要知道,這可是1999年!設(shè)備可火了!
這就是第一批很快便會被稱為SIEM的工具,擁有非?;镜摹瓣P(guān)聯(lián)”規(guī)則(真的,不過是聚合和計數(shù)單條屬性,比如用戶名或源IP之類的),例如“多個目的地址同一端口的多個連接”、“包含SYNflood的思科PIX日志消息重復(fù)50次”、“SSH登錄失敗”等等。很多此類規(guī)則都非常脆弱,攻擊行為的些微改變就可以規(guī)避規(guī)則觸發(fā)。而且,這些規(guī)則還是設(shè)備依賴的(例如,你得針對每個防火墻設(shè)備編寫此類規(guī)則)。所以,SIM/SEM供應(yīng)商不得不加載成百上千條此類規(guī)則。而客戶則在啟用/禁用和調(diào)整大量規(guī)則的深淵中痛苦不堪。
1999年時,Dragon Squire之類主機入侵檢測系統(tǒng)真的是90年代安全技術(shù)的一大突破,可以梳理日志,查找“FTP:NESSUS-PROBE”和“FTP:USER-NULL-REFUSED”之類的東西。
略過千禧不談,我們快進到2003-2004時期——革命爆發(fā)了!SIEM產(chǎn)品橫空出世,放出兩個大招:規(guī)范化事件和事件分類。分析師花點時間將設(shè)備事件ID劃入SIEM分類事件類型中(如:Windows事件ID 1102該往哪兒去?),然后對此編寫檢測規(guī)則。SIEM檢測內(nèi)容編寫就此變得有趣!
SIEM的這個巨大進步為我們帶來了著名的關(guān)聯(lián)規(guī)則,例如“同一目的地址遠程訪問類事件后的多個漏洞利用類事件”。這種規(guī)則開始支持跨設(shè)備通用檢測邏輯,分析師的生活從此變得陽光明媚!通用規(guī)則的適用性強得多(就好像“任意漏洞利用”和“任意遠程訪問”與特定的攻擊(例如VNC訪問)),還能跨設(shè)備使用——只需編寫一次,隨后就算換了另一種防火墻,此關(guān)聯(lián)規(guī)則依然能檢測惡意事件。
哇哦,簡直神奇!有了這個,你就(大概)能憑借幾十條好規(guī)則走遍天下,無需再在幾十個系統(tǒng)和多個操作系統(tǒng)版本類型的無數(shù)正則表達式、子串和設(shè)備事件ID間苦不堪言。在當(dāng)時,SIEM可謂是安全產(chǎn)品的重大進步,這就好比汽車淘汰了馬車。
此外,一些人對通用事件表達(CEE)計劃寄予厚望,開始努力生成現(xiàn)實可用的全球日志分類和模式(大約在2005年)。
一覺醒來還在解放前
但你絕對想不到此后發(fā)生了什么!
現(xiàn)在,我們快進到今天,已經(jīng)跨入到2020年。實際上,當(dāng)前的大多數(shù)檢測內(nèi)容還是用的90年代風(fēng)格——匹配原始日志的狹窄而精確的風(fēng)格??纯碨igma內(nèi)容就知道,1998年的Network Intelligence enVision SIM用戶都能看懂其中大部分檢測!不可否認(rèn),我們今天也有ATT&CK框架,但這解決的是另一種問題。
還有一個特別奇怪的視角:隨著機器學(xué)習(xí)和分析的興起,如果我們想要掌握更多安全用例,而不僅僅是檢測,對干凈的結(jié)構(gòu)化數(shù)據(jù)的需求肯定會不斷上升。然而,我們恰恰是只增加了數(shù)據(jù)總量,能饋送給機器學(xué)習(xí)算法的數(shù)據(jù)并沒有多少。我們需要更多干凈的、豐富過的數(shù)據(jù),不是更多數(shù)據(jù)!現(xiàn)在不是人多力量大的時代,數(shù)據(jù)的質(zhì)量更甚于數(shù)量!
這個進化過程就好像我們從馬車時代走到汽車時代,然后是電動汽車,然后是噴氣式汽車,結(jié)果又回到馬車時代……
那么,這些年到底發(fā)生了什么?
從揮舞關(guān)聯(lián)“魔法棒”15年的ArcSight老手,到用現(xiàn)代工具運營檢測團隊的安全主管,對安全同行的調(diào)查給出了答案。
但在揭曉最終答案之前,我們不妨回顧一下調(diào)查數(shù)據(jù)收集過程中同行們都是怎么想的:
原始搜索贏了
缺乏事件規(guī)范化或規(guī)范化做得很差(或懶惰到依賴客戶去做規(guī)范化工作)的產(chǎn)品,因不相干的原因贏得了市場(比如所收集數(shù)據(jù)的總量等),而新一代安全運營中心(SOC)分析師從沒見過別的工具。于是,分析師用手頭的工具勉強應(yīng)付。好吧,我們暫且將此推理邏輯稱之為“原始搜索贏了”。
獵手贏了
威脅獵手春風(fēng)得意,把傳統(tǒng)檢測人員逼到墻角,一腳踢出窗外?,F(xiàn)在,威脅獵手試圖用自己狩獵未知威脅的方式來檢測搜索已知攻擊的蛛絲馬跡。這可稱之為“獵手贏了”。
誤報贏了
另一種想法是:對“誤報”(FP)的容忍度下降了(由于不斷惡化的人才短缺狀況),所以編寫更窄的檢測規(guī)則降低誤報率開始流行起來(“漏報”是萬萬不可的——我們只能編寫更多規(guī)則來阻斷漏報)。規(guī)則狹窄了也更容易測試些。不妨將這種思路稱之為“誤報贏了”。
數(shù)據(jù)多樣性贏了
還有一種假說與現(xiàn)代威脅和所收集數(shù)據(jù)更多樣有關(guān)。由于我們需要檢測更多種類的更多東西,規(guī)范化事件和分類事件就被擠到了后面。這種思路可稱之為“數(shù)據(jù)/威脅多樣性贏了”。
以上結(jié)論您認(rèn)同哪個?您在檢測工作中遇到過類似情況嗎?
顯然,上述解釋都是盲人摸象,直覺告訴我們,SIEM的魔法并不存在,當(dāng)所有碎片拼接在一起,我們逐漸看清了SIEM的殘酷真相:
SIEM中的規(guī)范化和分類化方法從未切實起效!在其誕生之初的2003年就沒用,此后的每一年里都毫無效果?,F(xiàn)在的環(huán)境中依然如此。除非某些事情來個大逆轉(zhuǎn),否則SIEM中規(guī)范化和分類化方法無效的事實不會有任何改變。
認(rèn)識到這一點真是令人傷心,尤其是對構(gòu)建、宣傳、改進和試圖全球標(biāo)準(zhǔn)化該方法(通過CEE)的人而言。
事情的真相真的有這么糟嗎?很不幸,還真是!SIEM事件分類其實……
-
總落后于時代,現(xiàn)在比之前落后得更多;
-
跨多個事件和日志源時不一致——當(dāng)今每家供應(yīng)商均如是;
-
各供應(yīng)商之間差異很大——無法達成只學(xué)習(xí)一次的效果;
-
隨時間流逝積累的錯誤和遺漏越來越多;
-
無法有效測試當(dāng)今面對的真實威脅。
所以,我們甚至不能說“SIEM事件分類已死”,因為它就沒真正活過。舉個例子,某SIEM供應(yīng)商的“身份驗證失敗”事件類別可能漏掉新版軟件(比如Windows更新引入的新型事件),漏掉不常見日志源的事件(SAP登錄失?。蛘呗┑翦e誤映射到別的東西上的事件(例如“其他身份驗證”類別)。
人們總會自欺欺人,編寫愚蠢的字符串匹配和基于正則表達式的內(nèi)容,而一旦涉及性命攸關(guān)的入侵檢測,沒有人會把希望寄托在事件分類上。