深信服張星:從人工到AI,5個階段看被動資產識別的步步升級!
2022年9月19日,XCon2022 安全焦點信息安全技術峰會在北京昆泰酒店成功舉辦。作為網絡安全界的權威盛會,XCon 品牌已歷 21 載,仍舊充滿朝氣與活力。本屆大會以“為技·敢破”為主題,對 10 場高級別演講主題進行了長達 3個月的征集與嚴格篩選,每一個議題都代表著專精領域的最新風向。
來自深信服創新研究院的北大博士張星在峰會上給大家分享了他與創新研究院安全研究員黃子恒共同實踐的議題《被動資產識別:從人工到 AI》,提出在資產識別中,最關鍵的并不是如何構建資產識別引擎,而是當面對大量未識別 IP 時,如何提升尋找規則的效率和效果。同時,張星博士現場分享了未知資產被動識別五個階段技術的演進路線,以及演進中如何實現資產識別效率和效果的逐漸提升。
未知資產被動識別成網絡安全剛需
現場,張星博士通過對主流資產識別類型的回顧、對比與分析,認為未知資產被動識別占據著關鍵的地位。“You Can’t Protect What You Can’t See.”只有先知道有什么資產,才能去談后續的安全防護。
企業安全中的漏洞管理正在向攻擊面管理發展,而要做好攻擊面管理,資產的識別與管理是基礎。2021年Gartner給出的安全運營的技術成熟度曲線出現外部攻擊面管理(EASM)和網絡資產攻擊面管理(CAASM)。不僅如此,近幾年很熱門的XDR和零信任更是將“資產”識別放在了核心的定義內容中,并對資產識別能力提出了更高要求。
張星認為,資產識別的關鍵在于對未知資產的自動化識別。未知資產給組織帶來了重大的安全風險。當這些資產未經識別且未受保護時,它們為攻擊者提供進入公司網絡的入口點。一旦這些資產被破壞,它可能允許威脅橫向移動,造成更大范圍的威脅傳播。
前三階段演進:“規則體系”下的效能提升
目前,國內對于資產識別存在兩大不足,首先是研發“重引擎,輕規則”,但引擎已經相對成熟。其次是項目交付需要很多人力寫規則。國內大部分資產識別產品和方案能力都有待提升。“總有一些新資產是規則未覆蓋到的”、“存在找不到規則的資產”、“需要體系化的未知資產識別能力”……已經成為行業面臨的最大痛點。
對此,深信服提出了被動資產識別技術的“五個階段”演講路線,通過這五個階段的逐步落實,能夠實現資產識別效率和效果逐漸提升。
實測結果顯示,在完成人工為主、工具為輔、提升人效的前三個階段的演進之后,亦即實現分析平臺結合指紋推薦的被動資產識別后,相比人工 Wireshark 的方式,協議覆蓋度可達 14 種可能存在指紋的應用層協議的分析,標準協議分析時間從 15 分鐘左右提升到 3-10 分鐘,時間節省 33% 到 80%,非標準協議從 30分鐘-1小時提升到 5-15分鐘,時間節省75%以上,且誤報概率極低。
這三個階段都依賴有資產識別經驗的研發來提取指紋,屬于“規則體系”,該體系雖然存在很多不足,但就深信服來看仍然存在“確定性”更大的優勢。
第四、五階段演進:“AI體系”下的發展方向
在此基礎上,深信服探索了通過 AI 對未識別資產的流量特征進行建模,不依賴有經驗的研發,只需人工標記相應的資產是什么(設備類型、設備廠商等)即可實現對資產的識別,也就是第四個階段。目前在醫療物聯網場景,該方案進行的測試中,收集到33類設備的142個IP,識別準確率為89.1%。
到這個階段,張星指出資產識別仍然有一個問題沒有解決,那就是如何知道一個 IP 是什么。無論是規則體系還是AI 體系,都只能做到把某類資產識別出來,但是該類資產是什么(如邁瑞的監護儀、惠普的打印機),則可能需要去客戶現場分析,或者問客戶等。那么,如何做到這一類資產的自動識別呢?
這就到了深信服提出的第五個階段,也就是全自動資產識別階段。該階段也是未來的資產識別發展方向,全自動(全面,快速,準確)是終極目標。目前來看,要實現這個目標還有很多難題需要解開。深信服認為對“未知資產識別”保持敬畏之心,看到其難度和復雜性是未來行業發展的前提。
張星認為,AI 體系與規則體系有著迥然不同的思維和方法,也有著規則體系難以比擬的優勢。但是,這并不是說二者是替代的關系,在深信服看來,AI 體系和規則體系是互補的,規則更準確,但AI能覆蓋找不到規則的資產,另外,AI 免去了人工尋找指紋的時間,可以提升資產識別的效率。因此,將二者進行有機結合,通過規則引擎、AI 引擎等多個引擎驅動,以及主動探測、被動收集等方法結合,才能發揮最大能效,實現更加高效、精準的未知資產識別。
作為“五個階段”的提出者,深信服千里目安全技術中心-創新研究院一直致力于安全和云計算領域的核心技術前沿研究,推動技術創新變革與落地,擁有安全和云計算領域500+ 專利,實現攻擊和檢測技術的相互賦能,并及時把能力輸入到業務線中,實現自身產品的迭代優化。未來,深信服千里目安全技術中心也將不斷提高專業技術造詣,深度洞察網絡安全威脅,持續為網絡安全賦能。
