2022年9月19日,XCon2022 安全焦点信息安全技术峰会在北京昆泰酒店成功举办。作为网络安全界的权威盛会,XCon 品牌已历 21 载,仍旧充满朝气与活力。本届大会以“为技·敢破”为主题,对 10 场高级别演讲主题进行了长达 3个月的征集与严格筛选,每一个议题都代表着专精领域的最新风向。
来自深信服创新研究院的北大博士张星在峰会上给大家分享了他与创新研究院安全研究员黄子恒共同实践的议题《被动资产识别:从人工到 AI》,提出在资产识别中,最关键的并不是如何构建资产识别引擎,而是当面对大量未识别 IP 时,如何提升寻找规则的效率和效果。同时,张星博士现场分享了未知资产被动识别五个阶段技术的演进路线,以及演进中如何实现资产识别效率和效果的逐渐提升。
未知资产被动识别成网络安全刚需
现场,张星博士通过对主流资产识别类型的回顾、对比与分析,认为未知资产被动识别占据着关键的地位。“You Can’t Protect What You Can’t See.”只有先知道有什么资产,才能去谈后续的安全防护。
企业安全中的漏洞管理正在向攻击面管理发展,而要做好攻击面管理,资产的识别与管理是基础。2021年Gartner给出的安全运营的技术成熟度曲线出现外部攻击面管理(EASM)和网络资产攻击面管理(CAASM)。不仅如此,近几年很热门的XDR和零信任更是将“资产”识别放在了核心的定义内容中,并对资产识别能力提出了更高要求。
张星认为,资产识别的关键在于对未知资产的自动化识别。未知资产给组织带来了重大的安全风险。当这些资产未经识别且未受保护时,它们为攻击者提供进入公司网络的入口点。一旦这些资产被破坏,它可能允许威胁横向移动,造成更大范围的威胁传播。
前三阶段演进:“规则体系”下的效能提升
目前,国内对于资产识别存在两大不足,首先是研发“重引擎,轻规则”,但引擎已经相对成熟。其次是项目交付需要很多人力写规则。国内大部分资产识别产品和方案能力都有待提升。“总有一些新资产是规则未覆盖到的”、“存在找不到规则的资产”、“需要体系化的未知资产识别能力”……已经成为行业面临的最大痛点。
对此,深信服提出了被动资产识别技术的“五个阶段”演讲路线,通过这五个阶段的逐步落实,能够实现资产识别效率和效果逐渐提升。
实测结果显示,在完成人工为主、工具为辅、提升人效的前三个阶段的演进之后,亦即实现分析平台结合指纹推荐的被动资产识别后,相比人工 Wireshark 的方式,协议覆盖度可达 14 种可能存在指纹的应用层协议的分析,标准协议分析时间从 15 分钟左右提升到 3-10 分钟,时间节省 33% 到 80%,非标准协议从 30分钟-1小时提升到 5-15分钟,时间节省75%以上,且误报概率极低。
这三个阶段都依赖有资产识别经验的研发来提取指纹,属于“规则体系”,该体系虽然存在很多不足,但就深信服来看仍然存在“确定性”更大的优势。
第四、五阶段演进:“AI体系”下的发展方向
在此基础上,深信服探索了通过 AI 对未识别资产的流量特征进行建模,不依赖有经验的研发,只需人工标记相应的资产是什么(设备类型、设备厂商等)即可实现对资产的识别,也就是第四个阶段。目前在医疗物联网场景,该方案进行的测试中,收集到33类设备的142个IP,识别准确率为89.1%。
到这个阶段,张星指出资产识别仍然有一个问题没有解决,那就是如何知道一个 IP 是什么。无论是规则体系还是AI 体系,都只能做到把某类资产识别出来,但是该类资产是什么(如迈瑞的监护仪、惠普的打印机),则可能需要去客户现场分析,或者问客户等。那么,如何做到这一类资产的自动识别呢?
这就到了深信服提出的第五个阶段,也就是全自动资产识别阶段。该阶段也是未来的资产识别发展方向,全自动(全面,快速,准确)是终极目标。目前来看,要实现这个目标还有很多难题需要解开。深信服认为对“未知资产识别”保持敬畏之心,看到其难度和复杂性是未来行业发展的前提。
张星认为,AI 体系与规则体系有着迥然不同的思维和方法,也有着规则体系难以比拟的优势。但是,这并不是说二者是替代的关系,在深信服看来,AI 体系和规则体系是互补的,规则更准确,但AI能覆盖找不到规则的资产,另外,AI 免去了人工寻找指纹的时间,可以提升资产识别的效率。因此,将二者进行有机结合,通过规则引擎、AI 引擎等多个引擎驱动,以及主动探测、被动收集等方法结合,才能发挥最大能效,实现更加高效、精准的未知资产识别。
作为“五个阶段”的提出者,深信服千里目安全技术中心-创新研究院一直致力于安全和云计算领域的核心技术前沿研究,推动技术创新变革与落地,拥有安全和云计算领域500+ 专利,实现攻击和检测技术的相互赋能,并及时把能力输入到业务线中,实现自身产品的迭代优化。未来,深信服千里目安全技术中心也将不断提高专业技术造诣,深度洞察网络安全威胁,持续为网络安全赋能。