雾帜智能傅奎:以AI增强的SOAR技术解放一线安全人员生产力

首页 / 业界 / 资讯 /  正文
作者:藏青
来源:安全419
发布于:2022-07-21
近年来,随着数字化和信息化的蓬勃发展,新技术、新应用的普及带来了无所不在的信息和数据流动,同时也带来了错综复杂的网络安全风险。在更复杂的攻击手段面前,传统的被动式安全防御手段已经无法满足企业的安全需求,如何以更智能化、主动化的安全技术和产品实现对安全威胁的快速感知、主动捕获、关联预测、动态对抗,成为了企业当下的核心需求。

面对越来越多的网络安全威胁,为了帮助企业更快速的响应安全事件,SOAR技术应运而生。Gartner 对 SOAR 概念的定义是,Security Orchestration, Automation and Response, 即安全编排、自动化与响应,以编排和自动化技术为核心,助力安全团队加速应急响应。
 
在安全运营领域,SOAR技术因其在安全自动化响应方面独具优势,在业内受到了很高的关注,但同时我们也听到了正反两个方面的声音,一部分人认为,网络安全和攻防对抗离不开“可持续的安全运营”,而SOAR就是安全运营发展的必然方向,SOAR能够极大的缓解误报问题给安全运维人员带来的工作负荷,被视为解放安全运维人员的福音;但也有一部分业内人士认为,虽然SOAR的概念十分火热,但在国内处于炒概念和试水阶段,在落地层面安全厂商还不能拿出好的实践案例。


 
为了探究国内企业用户对安全运营的真实需求,以及SOAR技术在国内的发展和落地情况,安全419邀请到了上海雾帜智能科技有限公司(以下简称“雾帜智能”)CTO傅奎为大家分享自身对安全运营的理解,以及雾帜智能围绕SOAR技术做出的探索和实践。
 
关于雾帜智能:
 
雾帜智能成立于2019年,核心成员主要出身于唯品会、小米、千寻位置、华为等高度重视网络安全的甲方企业,业务方向主要专注于将人工智能和现实应用场景结合,通过提升自动化水平助力企业解放生产力。
 
由雾帜智能打造的HoneyGuide智能风险决策系统是业内首款AI+SOAR为核心的安全协同作战平台,通过虚拟作战室、AI机器人和可视化剧本编排,帮助安全团队加速威胁响应与处置,提升运营自动化,实现风险自适应治理。产品已广泛应用于政府、银行、证券、运营商、石油石化、电力和互联网等多个行业。
 
为何说SOAR是打通安全运营最后一公里的关键技术?
 
傅奎告诉我们,在2019年决定加入雾帜智能团队创业之前的十多年中,自己一直坚持在一线安全岗位,感受到了作为一名安全工程师在运维工作中一点点增长起来的高负荷工作压力。
 
他为我们分享了一个自己曾经亲身经历过的典型安全应急场景:
 
临近中午饭点时,大家刚准备放下手头的工作去吃饭时,公司安全监测系统突然告警,显示服务器正在遭到黑客攻击。发现攻击事件后,安全团队第一时间启动了安全响应流程,开展应急处置工作。他表示,当时所在的安全团队共6人,事发当天只有4人在岗,最为紧要的关卡,负责主机安全的同事恰好请假,只好一人兼顾多项工作,最终先是花了40分钟止血,又用了4个小时复盘,并重新梳理业务流程后,才解决了这一次攻击问题。
 
他表示,在安全工程师日常的安全运营过程中,这样的应急处置场景经常发生,每一次应急处置的处理逻辑几乎是一样的,但因为每次参与的人员或者状态不同,导致处置的技巧、方法和经验很难传承。“在甲方的安全建设工作中,一个最现实的问题就是,安全人员的在岗状态、安全专家的技术水平都是变量因素,很难保证企业遇到的每一次安全事件,都由相同经验和水平的专家去做处置,也很难保证个人每次都高水平发挥,这些是不可控的。”
 
在当前的网络安全形势下,企业的网络边界不断扩展,企业用户面临的安全威胁日益复杂化,攻击者的攻击手段也更加自动化、智能化,在这种情况下,传统的基于安全专家式的人工应急响应工作方式,几乎难以在真正的攻防实战过程中赢得时间窗口。
 
“反观过去二十年中,企业用户的安全建设都是围绕着安全增强、安全保障出发,从安全检测、加固、预防等方面展开安全建设,因此,今天,大家或许能够非常快速的发现一起安全事件,但想要在极短的时间把这个安全事件给处置掉,仍然面临着非常大的挑战。前面我们发现攻击行为后,触发大量的告警后,我们要问自己一句:这些告警都及时处理了吗?”
 
因此,在企业的这一现实问题面前,SOAR编排和自动化技术的价值得到了极大的凸显。它能够通过可视化编排的方式让安全人员能够快速的把知识、经验、和专家能力沉淀成可视化的剧本,当下一次事件发生的时候,这个剧本能够自动化应急响应,并且根据企业自身发展的情况,能够及时对剧本进行调整、编排和复制复用。因此在他看来,SOAR技术将是打通安全运营最后一公里的关键技术。
 
他表示,“在甲方安全建设的视角下,之所以安全能力很难提升,就在于过去甲方安全过于依赖专家个人的能力和水平,但个人的安全经验又很难传承,这几位专家一走,几乎相当于又要从头重建安全响应流程,但如果有可视化剧本来帮忙沉淀这些经验,让每一届的安全专家团队不断优化响应剧本,那么安全事件响应的水平就能始终维持在一个较高的水平之上,减少对于个人能力的过度依赖。”
 
提及安全运维,告警和误报是安全运维工作中无法绕过的话题。众所周知,处理海量的告警信息,已经成为了一线安全运维人员在日常工作中的最大挑战,误报率居高不下给许多安全运营团队带来了数不尽的烦恼,安全运营人员被淹没在数量庞大的工单中,将大量的时间和精力都消耗在了验证告警真实性这件事情上,导致安全运维工作的效率极大降低。
 
傅奎表示,安全产品大多数都是基于某一个特定的环节去解决问题,只能够在单一的节点上准确的检测出一次异常行为,但在一个单点上注定无法看清一次安全事件的全貌。“当IDS检测到一次攻击行为的时候,可能并不真正代表着黑客成功地实施了一次攻击,或者就算攻击事件真正发生了,但也有可能被攻击的目标设备不存在攻击利用的漏洞,是一次无效攻击,在一次安全事件中,有很多种上下文信息需要安全运维人员结合更全面的信息和整体的业务逻辑去判断,去核实告警信息是否为误报。”
 
在他看来,早先的SIEM产品的出发点,也是希望能够把多个安全产品的事件型告警信息汇集起来进行关联分析,但在后面的发展过程中,今天许多做SIEM、SOC以及态势感知的厂商都将重心转移到了单个异常行为的检测能力上,并没有真正做到把企业业务场景下的各种安全事件进行有效地关联分析。深究其背后原因,其一是过去行业内没有这方面意识,其二是安全厂商之间彼此隔离,下游安全产品不对外开放API接口,导致SIEM产品无法从其他安全产品中获取数据,上游安全系统发的日志又缺乏统一的标准,导致关联分析困难重重,最终难以发挥价值。
 
傅奎表示,编排自动化技术的出现,正是为了有效的解决这一困扰安全运维人员的难题。“编排自动化技术的原理是,当上游的告警信息出现后,SOAR产品就能够通过编排的手段帮助安全人员自动化的联动下游的产品,其中既包括入侵检测、情报系统、杀毒软件这类的安全产品,也包括资产管理系统、内部HR系统等,通过收集多方信息来帮助安全人员判断告警信息是否准确,通过这样的方式来提升告警的准确性,给安全运维工作降噪,以减少被大量工单覆盖的压力。”
 
企业数字安全运营三部曲——从救火到量化风险计算
 
在采访中,傅奎分享了一个雾帜智能提出的的安全运营理念。他谈到,雾帜智能将企业的安全发展分为三个阶段:快速止血和灭火、盘清家底和量化风险,最终走向数字化指标化的安全运营。


 
傅奎为我们打了一个形象的比方:“比如一个已经在交通事故身受重伤的人来到医院,医生不可能说你平时要多锻炼,出门骑车带护膝戴头盔,注意观察路况等等,在这个时候说这些是不合时宜的,所以首先要解决的是救命和止血的问题。在成功止血之后,医生会马上送病人去做CT、做全身检查,确定病人身体的各项指标,器官的健康状态,包括红细胞、白细胞都要测量,甚至还需要对病人进行实时的监测,看心跳、血压等等指数,再继续给出下一步的治疗方案,网络安全运营也同样如此。”
 
在快速灭火和止血的阶段,企业CSO和安全团队首先要做的是利用不同的产品、方法、技术来快速解决当下已经发生或即将发生的安全问题,先解决掉灭火的工作。
 
灭完火后,安全团队紧接着需要尽快盘清家底,实时盘清企业网内的各种信息,资产,构建一张全息的实时资产动态图。评估在下一次安全事件爆发时,哪些资产哪些资产会受到影响,受影响之后哪些资产还会受到关联性的影响,在这个基础上才能够开展安全运营工作。
 
傅奎谈到,“在走完前面的止血和盘清家底两个环节后,无论是安全团队还是安全运营官都会立即遇到新的难题,如何考核安全工程师的效率?他们是否尽职尽责的第一时间处理了所有的安全事件?对上汇报时如何说服CEO认可过去安全工作的价值?对于任何一个组织来说,组织的一切活动都是围绕业务来开展的,如果业务不存在,那么安全也将毫无价值。因此,安全运营最终要服务于企业的业务运营,安全运营要通过可量化的指标来跟业务发生关联,体现出安全运营的价值。”因此雾帜智能认为,数字安全运营的最后一部曲应该围绕帮助企业量化风险的计算展开。
 
他表示,在安全的维度上,企业CEO往往会更关注整体信息安全的风险系数是多少,一旦发生安全事件会对业务造成多大的损失,从ROI的角度去评估安全价值。因此,雾帜智能在给到用户的安全运营建设方案中,会以监控视图的形式将当前内部的安全检测能力、安全事件响应耗时、平均处置时间等进行展示,以帮助企业管理者衡量自身安全团队的安全能力指标。同时在量化风险决策方面,将安全风险通过货币财产损失的方式呈现出来,告知企业管理者当前可能面临的安全风险和你接下来的安全损失的概率,让企业管理者能够以更直白更清晰的方式认知到安全的价值。
 
“雾帜认为,这是企业安全建设必须迈过的三个阶段,在完成快速止血灭火、实时盘清家底和量化风险三大基础能力之后,企业才能够真正进入到一种安全运营的状态。安全是一件没有终点的事情,安全的最终归宿是保持一个动态的平衡,而持续的安全运营必然是组织安全建设的最终方向。”
 
据他介绍,对应企业数字安全运营三部曲的不同阶段,雾帜智能打造了AI+SOAR产品HoneyGuide、智能资产管理系统AssetWise,以及即将发布的量化风险计算产品来分别解决安全事件快速响应、智能资产数据管理和风险量化方面的痛点和需求。
 
从甲方的视角出发——打造一线安全人员普遍呼唤的好产品
 
谈及自身在SOAR技术方面的优势和独特之处,傅奎认为主要体现在三个方面:分别是甲方互联网企业出身的创始团队、AI技术能力的落地和领先行业水平的工程化能力。
 
前文我们在介绍雾帜智能时曾提到,雾帜智能创始团队均出身唯品会、小米、千寻位置、华为等企业。傅奎认为,甲方企业的多年一线从业背景和让雾帜智能团队更贴近客户安全运营的视角,设身处地的思考一线安全人员的所思所想,以最接地气的实践经验去解决大家在一线面临的困境和难题。


 
在AI技术能力的落地层面,雾帜智能利用AI机器学习中的迁移学习方法,打造了业内首个具备NLP自然语言处理、OCR图片处理和ASR语音识别能力的NLP机器人,使得SOAR产品HoneyGuide得到了极大的增强。在傅奎的演示中,安全人员能够直接与智能机器人雾宝宝进行人机互动。该机器人能够如“天猫精灵”一样开展语音交流对话,识别安全人员下发的语音指令,执行相关的安全操作,协助安全人员迅速开展应急处置工作。
 
他介绍,除了协同作战的场景外,雾帜智能的AI能力在剧本自动化编排的场景中也得到了很好的落地。当一个安全事件发生后,HoneyGuide产品会根据安全人员的操作历史来主动推荐剧本编排或动作,根据过往的上下文、事件、处置场景等条件进行剧本相关动作的关联分析,让剧本式安全应急响应更加流畅和便捷。
 
在工程化能力方面,雾帜智能团队核心技术人员的互联网从业背景和各大电商平台技术开发基因,决定了其团队整体的研发能力和工程架构能力领先于行业水平。“作为正规研发军出身,我们十分熟悉当前最新的技术架构和研发理念,天然具备对各种主流开发流程、技术架构的理解能力。因此,像业内大家关注的高可用、高并发、容器化部署、支持国产信创设备等要求,雾帜智能打造的产品都能够很容易实现,这是雾帜这样一支专业技术团队的优势和底气。”
 
具体到产品层面,傅奎表示,在打造HoneyGuide产品之初雾帜智能就格外注重和强调AI增强的人机协同和自动化协作能力,并将其在剧本编排中进行了落地。相比业内部分厂商采用的改造电子流系统和采用开源的流程系统的做法,雾帜智能自研的自动化编排引擎显然拥有更强的可扩展和可编排能力,能够在画布编排、后台调度、动作执行、AI处置等多个场景中将安全编排自动化技术落地。
 
在解释产品命名时傅奎解释称,“HoneyGuide”源于自然界一种鸟类的命名,在非洲草原上生活着这样一种鸟,它们经过几十万年的进化,和人类已经达成了一种非常默契的协作关系。人类听着它的声音,就能寻找到很大的蜂巢,找到蜂巢后会分一部分蜂蜜给它们,这种鸟就很乐意与人类保持这种协作关系。
 
因此,雾帜智能也是希望这款产品像“HoneyGuide”一样,能够成为未来IT、运维和安全相关人员的智能队友,与他们一起协同作战。
 
解决底层协议的隔离和不开放API问题 是SOAR技术落地的下一个突破口
 
最终回归到SOAR技术在国内未来发展趋势的话题,傅奎也分享了自身的一些观点。他谈到,相较于国内安全市场来看,国外SOAR技术落地要更快,主要原因是国外的安全厂商本身提供规范性的接口和文档,为新技术的落地提供了更成熟的环境。
 
但反观国内市场,没有可调用的API接口、没有规范性的标准文档、底层协议不互通已经成为了历史遗留问题。为SOAR产品与上下游安全产品的对接带来了阻碍,导致产品在具体落地的过程中面临很多挑战,需要花费大量的精力去实现跨厂商、跨产品之间的交互。
 
在他看来,缺乏开放的意识和生态,是当前国内安全行业面临的一个重要发展瓶颈。“作为一个在这个生态下的安全厂商,在打造一款产品之初就应该考虑到开放与协作的问题,任何一款产品将来都会涉及到与其他系统之间的互动,所以我们需要考虑到我需要什么样的下游能力,我的上游需要我什么样的能力,我要开放什么样的API给别人?只有提升行业的开放意识,建立更加开放的生态,提供更加开放和标准化的通讯方法和协议,中国网络安全市场才能迎来更好的发展。”
 
但同时他也谈到,在国内安全市场中已经看到了一个很好的发展趋势,一方面,从外在的驱动力方面,相关的主管单位和行业协会在积极推动互联互通和标准化的建立;另一方面,从企业发展的内生驱动力来看,新生代安全厂商正在摒弃传统的玩法,如果传统安全厂商继续固步自封,那么在客户的环境下终将被替代和淘汰,在他看来,新生代安全厂商的加入,会倒逼着潮水向正确的方向改变。
 
谈及未来发展规划,傅奎表示,作为一家新兴的安全厂商,雾帜智能希望通过创新的技术手段,将AI和自动化技术精准的落地到现实的应用场景中,以更接地气的方式解决客户面临的需求和痛点问题。
 
“我们雾帜智能希望尽量去走一条创新的道路,用更前沿的方法和手段解决传统安全无法解决的问题。大家常说安全是一个非常依赖于经验的行业,但在我们看来经验是一把双刃剑,经验的确能够帮助大家更快速的处置和响应,但超出经验以外的问题靠传统思维是难以解决的。因此雾帜的做法是,往行业内部引入一些新的人才,包括数学人才、数据分析人才、AI研究人才,以跨学科的能力来解决传统安全看不到的问题,引领行业创新,摆脱传统安全思维的束缚,以新方法打破痼疾,引领整个行业不断去创新,做出更多新的尝试”,傅奎最后谈到。