大數(shù)據(jù)、智能機(jī)器和分析工具，都需要人來掌舵。

隨著高針對性網(wǎng)絡(luò)攻擊成為新常態(tài)，公司企業(yè)逐漸發(fā)現(xiàn)，以往沒什么存在感的安全運(yùn)營中心(SOC)，真真切切成了公司的堅實依靠。

SOC以各種形態(tài)存在了數(shù)十年，最近幾年才因企業(yè)地理分布和技術(shù)組成的日趨復(fù)雜對集中安全監(jiān)視有需求，而蓬勃發(fā)展起來。

將專業(yè)技能集中到一個地方，或者跨區(qū)域虛擬化它們，可以很好地應(yīng)對安全威脅的快速增長。但在已知安全威脅逐漸讓位于全新未知威脅的世界里，使用傳統(tǒng)工具和產(chǎn)品并不能取得曾經(jīng)的輝煌戰(zhàn)果。

盡管很多成功的安全突破案例是以相對簡單的技術(shù)和常見漏洞實現(xiàn)的，但結(jié)合了這些常用技術(shù)與未知漏洞的新型攻擊出現(xiàn)的概率也已大幅增加。

很難估測新攻擊涌現(xiàn)的規(guī)模，但未知威脅可以是非預(yù)期內(nèi)部人攻擊，也可以是內(nèi)部憑證濫用，或者是幾個零日軟件漏洞利用。從SOC的角度看，最近的例子就是2017年影響了多個行業(yè)數(shù)千家公司企業(yè)的WannaCry和NotPetya攻擊了。

面對攻擊，SOC的有效性以響應(yīng)、緩解和清除來衡量。在幾分鐘甚或幾秒內(nèi)做出反應(yīng)是有差別的，安全響應(yīng)計劃的質(zhì)量也決定著SOC的有用程度。檢測不再是唯一的博弈；SOC需要快速響應(yīng)，否則將陷入長期應(yīng)付各種混亂的泥潭，難以脫身。

AI應(yīng)用正當(dāng)時

現(xiàn)實如此艱難，我們毫不意外頂著AI名頭的各種技術(shù)好像救世主一樣帶著不甚明朗的種種承諾漸次降臨。

傳統(tǒng)SOC依靠各層安全傳感器及系統(tǒng)，所有這些傳感器和系統(tǒng)都會產(chǎn)生日志和事件之類的信息。多年來對這些信息的處理，都是盡可能地導(dǎo)入安全信息及事件管理(SIEM)之類系統(tǒng)所用的存儲庫中。隨著事件和日志數(shù)據(jù)的增長，分析與決策的復(fù)雜度也在上升，進(jìn)而導(dǎo)致威脅檢測與響應(yīng)時間上的挑戰(zhàn)。

但如今響應(yīng)時間就是一切，因為公司企業(yè)必須接受自己終會被攻破的事實。這就讓公司企業(yè)在可產(chǎn)生過多誤報的過度檢測與導(dǎo)致漏報的檢測不足之間坐立難安了。而且，檢測、分類、響應(yīng)和必要時升級威脅事件的人才需求，還在進(jìn)一步惡化本就極度短缺的安全人才供應(yīng)現(xiàn)狀。

AI，更確切的說，機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析，被認(rèn)為是走出這一泥沼的通途——因為AI可以做到人們用SIEM難以做到的事，也就是自動化快速關(guān)聯(lián)并識別異常。問題在于，AI不是一種標(biāo)準(zhǔn)化技術(shù)，而是一組概念和算法，人們很難區(qū)分市面上主打AI牌的產(chǎn)品到底是不是概念炒作。

如果非要給AI重新定義一下，或許叫“增強(qiáng)智能”更合適。人工智能這個概念太容易被誤解了。

真正與SOC相關(guān)的部分，是大數(shù)據(jù)結(jié)合AI來輔助分析。

除了響應(yīng)，AI的另一個重要好處，是可以學(xué)得更快(或者說，是可以學(xué)習(xí))——說回到我們上面提及的未知威脅問題上了。網(wǎng)絡(luò)攻擊一直在進(jìn)化，運(yùn)用各種不同方法找尋并利用漏洞，但這種進(jìn)化終歸是漸進(jìn)式的。如果可以用AI分析器來理解這些微小改變中蘊(yùn)含的深層模式，防御者就能發(fā)現(xiàn)跟上攻擊進(jìn)化腳步的方法。

異常響應(yīng)

究其核心，SOC安全有賴于異常識別——發(fā)現(xiàn)不正常或非預(yù)期的孤立數(shù)據(jù)點。工具、過程、人力響應(yīng)等等全基于此。但異常不僅僅各網(wǎng)絡(luò)、各設(shè)備、各系統(tǒng)不同，還是不可避免的。個別用戶的大部分異常行為，或其產(chǎn)生的網(wǎng)絡(luò)流量，往往都是完全無辜的。反而正常流量中也可隱藏有攻擊者濫用被盜特權(quán)憑證所制造的異常流量。傳統(tǒng)邊界安全方法非常難以發(fā)現(xiàn)這種異常，因為此類頂著特權(quán)憑證保護(hù)傘的異常流量看起來完全合法。

想要在SOC中有效使用AI，需要建立起綜合考慮各種因素的基線以識別異常。理論上，有必要基于多個數(shù)據(jù)點而非單一用戶或資源來建立基線。AI的強(qiáng)大之處在于，可用于定義基線和偏離值的數(shù)據(jù)點在理論上是沒有任何限制的。

AI引入的是學(xué)習(xí)的能力，也就是隨時間進(jìn)程不斷調(diào)整這些參數(shù)的能力。AI將能分辨出這些異常是否是安全團(tuán)隊需要關(guān)注的。但如果安全人員突然發(fā)現(xiàn)有異常是誤報，那AI系統(tǒng)就應(yīng)反饋給分析系統(tǒng)，告訴分析系統(tǒng)此類異常是預(yù)期行為，不用報告。

這其中不可替代的一個角色，是人類決策者，包括從檢測、響應(yīng)、緩解到高級取證的各層人才。AI可以向他們報告問題，但還不能告訴他們該怎么做。

AI不是神，搞不出機(jī)器全權(quán)接管網(wǎng)絡(luò)防御工作的神奇轉(zhuǎn)變。它就是個工具，人類才是那個永恒的決策者，利用機(jī)器智能提供的分析來做出更快更好的決策。

AI本身不是安全問題的答案。人類應(yīng)該用學(xué)習(xí)系統(tǒng)反饋進(jìn)推理引擎和分析器。概念上而言，數(shù)據(jù)分析器和AI能提升數(shù)據(jù)分析的速度。是否啟動網(wǎng)絡(luò)響應(yīng)計劃的最終決策權(quán)，在SOC經(jīng)理手上。

SOC新世界

所有這些都沒真正闡述清楚AI到底怎么搞定SIEM難以解決的問題——簡單添加傳感器和安全層可能導(dǎo)致更多警報，增加SOC的評估和響應(yīng)負(fù)擔(dān)。如果沒有一定的參考點，安全經(jīng)理如何判斷哪些警報需要跟進(jìn)而哪些直接無視就好？

而這，正是用戶行為分析(UBA)和更新的用戶及實體行為分析(UEBA)的長項所在。對UEBA而言，最重要的不單單是基線的概念——所謂的可供識別異常的“正常”，而在于這是建立在與網(wǎng)絡(luò)用戶及賬號相關(guān)聯(lián)的行為基礎(chǔ)之上。

用戶監(jiān)視可不是什么新概念，早已存在多年，但近年來興起的機(jī)器學(xué)習(xí)賦予了它各種可能性，增強(qiáng)了用戶監(jiān)視對于SOC的效用。與基于規(guī)則的系統(tǒng)不同，UEBA利用機(jī)器學(xué)習(xí)的基線建立過程，可隨用戶的行為變化調(diào)整對用戶行為的整體認(rèn)知，更深入地理解用戶行為。如果需要的話，這一原則還可延伸到應(yīng)用程序和設(shè)備上。

這簡直就是為機(jī)器學(xué)習(xí)量身打造的工作：這種應(yīng)用場景里，安全分析就是簡單地將各種算法應(yīng)用到另一種大數(shù)據(jù)難題上而已。而機(jī)器學(xué)習(xí)，正好是大數(shù)據(jù)沃土里成長的樹苗。不過，雖然概念聽起來都很明智合理，此類系統(tǒng)卻還只是出于發(fā)展初期階段，它們的有效性還需經(jīng)由處理現(xiàn)實世界安全事件來體現(xiàn)。

SOC防御者有時間來完善UEBA，但鑒于時代的變遷和威脅的升級，留給他們的時間或許不像有些人想象的那么多。