談話實錄：網安三人行——威脅檢測與響應（TDR）

2021年8月28日下午，「把酒話網安」系列活動之“網安三人行——威脅檢測與響應（TDR）”直播活動在“網安小酒館”成功舉辦。

蘭云科技聯合創始人及CTO周宏斌做客直播間，與長城汽車安全專家劉濤、情報分析師馬壯，主辦方數世咨詢創始人李少鵬，分別以技術供給側、技術需求側，圍繞“TDR的大貓小貓是什么？”，“T、D、R哪個環節發揮的作用更大？”，“TDR 值多少錢？”，“TDR 的最短板在哪里？”，“如果你是攻擊者，TDR如何突破？”五個話題展開深度探討。 

以下文字是對話重點內容，分享給關注TDR的同行和用戶，期待共同交流、進步。

Summary

一、我們過去態勢感知沒有落地，或者說效果不理想，現在聚焦于解決實際問題，因此TDR是一個必然的產物。

二、TDR的核心能力：全流量檢測與分析、資產梳理、日志分析、還有專家服務等等。

三、甲乙雙方各自的短板，各自的痛處：乙方的痛點除了標準化的東西，如何給甲方提供規模化的服務是它的難點；前期建設、基礎建設等等關鍵的問題是甲方的痛點，就是乙方的機會。

部分對話實錄

數世咨詢：

威脅檢測這個詞，我們可以把它理解為，是以全流量分析或者是以NDR技術為基本支撐，聚焦于檢測和響應能力的態勢感知。我們知道態勢感知之前一直沒有很好的落地這個概念，其實這個詞被炒壞了，舉一個極端的例子，有一個做漏掃的，他說我是做態勢態勢感知的，有一個做攝像頭安全的，他也說是做態勢感知的。實際上態勢感知它是一個安全運營的閉環，T、D、R這幾個環節都要有，正因為它需要大數據平臺對接各種日志，分析，溯源，取證，響應等等，這些過程就會造成態勢感知非常難落地，那么有的用戶花了幾百萬、上千萬去購買了一個態勢感知，結果也沒用起來，也就遭到業界詬病，其實主要是它的概念太大，我們很難把一切東西都統一起來。我們會發現在大型演練活動，在HW當中，出現一種很好的東西叫做全流量分析，還有密罐，它聚焦與檢測的響應，馬上就能起作用，馬上就能得分，甲方乙方也好，攻擊方和防守方也好，都能取得很好效果的，這個技術我們把它集合成一個名詞，就是TDR威脅檢測與響應。

話題1 TDR的大貓小貓是什么？

蘭云科技：

真正最核心的，我個人理解，是專家服務，就是說它對疑難雜癥的處理能力，這才是它的核心。其實那也是可以流程化、規范化、自動化的，就目前來看，專家資源是最稀缺的，就像人生病一樣，在一個偏遠地區也可能得非常復雜的病，當地的醫生是看不了的，怎么樣把北京的專家給他賦能過去？如果有這樣一個機制的話，那才是效果最大化的，因為病人是真正遇到了真正的問題，這個時候只有一個辦法，遠程專家服務，要有這樣的體系，還得有診斷病的平臺，否則有專家沒有平臺也沒用，要有平臺，而且這個平臺是能高效去調度的。另外，專家上來以后，你在本地要有能夠全量的信息能夠獲取出來，給專家提供支撐，因為專家也不能憑空做出診斷，必須要能夠給到他足夠的信息，讓他做出正確的判斷，因此說，我認為大貓是專家服務，小貓是全流量。

而AI的話，關系可以反過來用，我們先去監測它，發現可疑點（出現的異常），這個可疑點不像傳統的方式，因為不是基于攻擊去檢測，而是基于可疑點，發現的時候不依賴于攻擊者是不是利用0day進來或繞過了我的防護防線，我即使看不到攻擊，也沒關系，只要我發現有異常，有可疑點，就可以了。就像人的身體，比如說有一些異常指標出現了，至少可能是有問題的，然后我再去找專家去看，這樣會更合適一點。AI的價值就是說發現這種可疑點，發現這些可疑線索，但真正要去做處置的時候不能基于AI的檢測結果去做處置，它只是給了一些線索。可以基于這些線索，需要后面再補上一個環節，就是人跟它去交互，就是專家的介入，這樣結合起來是一個大的環節，然后后面去做響應。

關于響應，我個人的觀點是可以簡單一點，我們前面檢測和分析完后，相當于醫生給病人看病一樣，確診后直接把藥方給你，然后你直接去藥房拿藥，按期吃藥就可以了。最后的動作，不論是網絡阻斷，還是隔離或者說把賬號禁掉，類似這樣的方式，其實可以輕松處理。

這是一個整體的響應過程，無論自動化部分是五個動作也好，兩個動作也好，或者一個動作也好，其實這些都是確定的，而中間的專家介入處理這部分是存在最大不確定性的，網絡安全這些年最難的，其實就在這中間那個不確定性的東西。因為不確定的東西，如果說我們希望它去做它的自動化，那一定會帶來非常大的風險。企業的各種場景比較復雜，沒有可以通過單純方式就能搞定的事情，我不覺得它可以自動化去響應，“破案”這個過程是非常復雜的，類似朝陽大媽報案這種情況，是絕對不可以直接自動化去處置的。自動化處置最核心的點，就是在如何把這個playbook寫好，但是由于現實環境太復雜，各種情況太復雜，所以不可能標準化，我覺得這是要深入思考的。

長城汽車：

關于專家服務我不太認同您的那個點，我覺得把“服務”倆字兒給去了比較好，怎么理解呢？這個理解的話，“專家”就代表他是甲方的人，“專家服務”就代表是乙方的人。我們更希望有安全專家在我們自己的團隊里邊兒，而且不希望是那種比較高端的。說的稍微可能有點片面了，我們其實更希望去儲備自己的能力，關鍵是專家服務有一個問題點，就是你們是針對一個事件（而不是整個業務流程）。就比如說我們碰見什么事兒處理不了了，這時候才去找專家服務，對吧？然后呢，你們對甲方情況都不知道，只是在我們這邊兒留存了一些數據，是業務什么都不太清楚，比如說勒索軟件，你們只是解決勒索軟件這個事兒就ok了，你們做不了特別全的一些東西，所以我覺得TDR的話我們在迫不得已的話可能會用這個專家服務，但是我們更多的可能是希望用專家去做這個事兒。

我認為大貓的話是日志分析——首先得有數據。例如對系統日志，包括業務服務做一些應用層的攻擊檢測，然后后邊再轉到響應，我們還可以做一些針對注入或者越權的數據庫日志分析，我們拿到了日志以后這些東西都可以去做，當然這塊兒前提條件就是我們的基礎建設比較完備，所有的日志節點我們想要的他們都能留存，而且分段給我們做好，其實這日志分析后邊兒衍生出來能做好多東西，應用，服務，系統都可以去做了，但是網絡那邊兒還是去靠流量做的，所以說小貓的話，我們看好全流量檢測與分析，相當于把網絡策略也弄過來，而且這兩個產品也可以做一些用戶的行為建模，出現問題的話都可以及時告警，由專家去介入。

這里要稍微注意一下，其實要網絡鏡像是一個非常困難的一個事情，因為網絡基礎架構肯定是在信息化最初建好的，但是安全介入可能在五年、十年之后，這個時候一是設備比較老化，你如果跟他要一份鏡像的話，對他來說，風險是很高的，因為它本身這個消耗性能是非常大的。

（少鵬：那就做旁路鏡像。）

對，他設備可能還有一種方案，比如說用一些分光設備，但是大家都知道這個設備是非常昂貴，所以我覺得可能日志恰恰比這個要容易一些，要轉移的更容易。

最最關鍵的一點問題就是說的專家要去確認這個事情，我要確定這個性質的時候，我的信息是不全的，就說我要完成這個事件分析，就得像公安一樣。我的證據鏈要構建全，這個過程是不能缺失的，那無論是流量也好日志也好，一定要支撐100%流量，不能說90%~95%。

（少鵬：對，可能這個是真的是一個特別理想的狀態，往往企業發展做到這個狀態太少了，這個配合度有多高，我一直就有疑問，你知道流量有多大嗎？即使有工具來分析，怎么從全流量中分析出問題呢？）

（蘭云科技：我覺得這是一個策略的問題，就像我剛才提到的，比如說我們去取并不是說所有的，如果要存的話也是按需存，而且是有時效的，比如說存一天或者存一周，因為你看正常我們1Gbps的實時流量，如果說所有的都存在1G的流量，實時流量一天就是10個T，那確實是無法支撐的。所以說我們這里取的是元數據，元數據基本上在實時流量的5%以內，這個是可承受的范圍，然后當我確實發現有可疑的點以后，針對那個目標再去找那個流量，當你你基本上可以判定它確實有問題的情況下，再讓設備自動存指定目標的全部流量，也可以由專家來記錄，也可以結合起來。）

話題二：T、D、R哪個環節發揮的作用更大？

長城汽車：

我認為不管前面做任何檢測也好，威脅情報也好，我們最終的目的是要消除威脅，消除威脅肯定是在最后一個環節的動作，在消除威脅的過程中，我可能也會發現前面的一些不足，包括我的規則寫的好不好，誤報高不高，然后反過來反哺，比如說第二個環節，檢測環節，然后把規則優化掉。就是說不管我們做什么工作，最后的閉環才是最重要，假如說前面你檢測結果沒人去看，沒有運營人員去跟，就是你立了案了，最后你不抓人也不行，醫生你最后開了處方，他不做手術，不打針、不吃藥也不行，就是最后這些話題做的不好的話，前面肯定也會出問題，比如案子會越來越多，你可能到一個時間點，這整個就會要崩了，要崩了，所以我認為是最后一個環節，是最重要發揮也是作用最大的一個環節。

蘭云科技：

我覺得應該是“D（檢測）”是比較重要的。因為安全有一句話就是我無法保護看不到的東西，所以說我必須得所有東西都要能看得到。比如你發現了一個漏洞，其實發現有點兒像檢測這個動作，就是我挖掘了一個漏洞，然后給研發報過去。我一定看清楚問題，我檢測出來問題我得我得知道它是啥情況，這也非常重要。

（少鵬：專家服務呢？不重要嗎？）

蘭云科技：

因為專家的成本是極其昂貴的，但是專家又不是每時每刻它的價值都能夠發充分發揮出來的，就舉個例子來說吧，一個頂尖專家可以七八百萬甚至近千萬年薪的一個待遇，那個專家是很厲害，對不對？但是比如說我們把他挖過來，他能時時刻刻發揮作用嗎？其實不是的，他這種專家其實應該大家共享，真正的頂尖者應該大家共享，要讓最高能力者解決真正最難的問題。

（長城汽車：另一方面，那個專家可能擅長解決某個技術點，但是他可能解決不了所有根本問題，大部分場景下，我甲方的專家，要對自己的業務十分了解。舉個例子，比如說誤報這個概念，要是你們乙方可能就不知道怎么回事兒，但我們自己的事件分析師一看就知道這是誤報，因為誤報就是安全專家去提規則的時候一定是基于我的安全場景來提的。）

安全專家是基于攻擊的樣本，而且是能收集到的樣本來做判斷的，不可能把所有的客戶場景都能去試一遍。可能它檢測有效的，但再你的場景下，規則和業務系統的某些行為沖突，沖突的情況下，是應該質疑這個誤報，直接把這個規則刪了，或者說是怎樣的一種機制，能讓這個誤報以后在我這個場景下產生告警了，因為我已經確定了它是沖突而已。

應該建這樣一個機制，誤報消除機制，但不是說去刪規則，因為規則安全人員他提出來一定是有道理，一定有很多場景它是有效的。類似誤報這種場景，如果能處理好，其實很多問題就解決了了，慢慢的經過一段時間以后，安全專家和業務專家結合起來以后，慢慢就進入理想狀態，處理需要的時間可能不用一天，只要幾次短時間就行了，那我就可以喝茶了。真正出現的威脅，其實沒那么多。一年幾次，一二十次，那我就可以喝著茶然后再處理就行了，悠哉悠哉。

話題3 TDR 值多少錢？用戶愿意花多少錢買？廠商想賣多少錢？

長城汽車：

用戶愿意花多少錢買，然后呢這個具體多少錢我也沒法兒說，然后我只能跟你說一個就是百分比。工信部三年網絡安全發展規劃中明確，安全投入要提升到10%，上海已經提到10%。我之前也在金融公司，基本上金融公司的話整個投入應該在6%左右，還算是一個比較高的一個點，然后在長城的話只能說我們現在投入還是比較大的。

蘭云科技：

安全公司肯定要掙錢，但是我覺得最關鍵的一點就是，從我的角度來說，我們還是要賣工具，就真正賦能給甲方。然后剛才說到賣能力這一塊，其實實踐中我們把它做了拆分，分為一線，二線、三線，真正的三線事務，最高端的專家服務，是我們來承擔最后端你們處理不了的問題，但是一線、二線能力其實就是你們自己的，就是說技術運維人員，還有你們自己的專家。一線、二線可以通過我們去培訓等方式培養，建立起來這個能力以后，我們工具再幫助提升你們效率，因為你們自己去開發這些東西是不劃算的，我們可以降低這些成本，其實工具也好，情報也好，這是我們應該去做的，包括最上面那一層我們來做其實就可以了。至于說賣整體解決方案，我們肯定是想，但是我覺得最關鍵的是能否解決問題，結合你這個場景解決問題，中間我們不管說賣一個工具好，兩個工具也好，三個工具也好，結合你們的場景，能發揮價值，這個也跟多少錢沒關系了，反正盡量賺的越多越好（笑）

（碰杯喝酒）

話題4 TDR 的最短板在哪里？

蘭云科技：

我要提供能力，需要你們能夠給予我的工具開展工作，進而為你們的人賦能。這就是說我的產品也許現在不能100%解決問題，但是其實我就是奔著100%這個目標去的，70%~80%可以達到的，剩下的20%~30%就說真得結合場景的，只有幾個行業一聊或不同的客戶一聊以后，那可能會有共同的部分需要定制化，但定制化更多的是由我們自己主導的。

（少鵬：我有一個點，就是如果我要想象有一個短板，不知道您那邊兒有沒有什么體會，就是在講在和供應側對接這點，比如說TDR里邊有的產品，其實有很多廠商很多產品留有接口來對接，把整個鏈條跑通，然后你們存不存在著個別的廠商不去給你們提供，肯定會有。你覺得這個算不算你的一個短板？）

這是廠商的一個痛點，但是現在我覺得廠商跟以前不一樣，十年前的廠商這些接口不開放的，比如說以前的防火墻，因為大廠肯定是想所有東西我都自己做完了。我一開放了，那你也可以搶一杯羹了，對不對？但現在不一樣了，像NGFW中這些標準接口其實都提供了，因為像我們現在很多客戶，響應那一塊的防火墻也好，網管也好，或者是其他的平臺也好，我們就跟他對接，他其實會愿意開放這些接口的。

還有一個短板就是“跟IT部門打交道”。我們CSO們的地位低呀，上面是IT，再上面是業務，我們地位低，這就回到剛才說的，為什么說我們要去接流量，因為你插裝到應用中去，比如說你要記什么日志，還要去應用部門協調，對不對？包括要采用哪些關鍵行為都要去登記，因為要看業務系統那些關鍵行為是不是必要的，大量無效的東西都記得話，你也損失性能嘛，對吧？

業務系統肯定會有性能損失，所以說為什么我們要基于流量直接去分析。是想在流量里直接去解析，解析出來以后那個字段我都有了，然后我在平臺里面我就有了，這樣的話你分析起來就方便。所以你看我們做的思路，對我們廠商而言，我需要理解你每一個業務系統，這是我做不到的。當然我可以給一個插裝的標準模式，比如說我這個插裝給到你，然后你們交給業務說，你這到什么環節你覺得需要調的時候你調這幾個函數，然后那幾個字段給過去，但這個東西需要應用部門配合才行，如果他做不到，咱就沒有辦法了。當然如果他能給，就是最有效的，因為給了以后不管什么樣的攻擊，0day漏洞也好或者其他的攻擊，攻進來以后，造成業務的異常以后，第一時間就能發現了。

為什么說我們想要把分析過程變成一個標準化流程？比如說誤報過多，就是過度依賴安全分析人員的經驗，這個就是我們著力去發力的點，把經驗標準化化，固化下來形成標準流程。舉個例子，針對勒索軟件這一類的，專家分析過一遍以后，他是不是在傳播？它會造成什么影響？我會定幾個環節，標準化的流程，定完以后，分析人員只要按照這個流程去做就可以了，中間還有很多交互過程，但這個交互就比較簡單，比如說你點點選選就行了，我希望在一個平臺或者一個機子上能夠完成大部分的工作，尤其是對于威脅事件產生以后，情況是比較緊急的。

長城汽車：

沒錯。對于“R響應”來說，事件處置的過程需要去聯通各個部門，這時候必須得有一個標準的一個手冊出來，這個手冊需要說清楚哪個部門做什么工作，大家全都認同了，在那個很急的時間點他可以去配合你，而不能說去拖著你。在TDR里邊兒處置的關鍵是在這個點，一旦出什么事兒，所有人都去積極去響應這個事情，這個還可以延伸出去。比如說就像有如果說就一個釣魚郵件進來吧，我們檢測到了，我們的標準流程是我給這個接收者我要發份郵件告訴他這是一個釣魚郵件，當然也可以阻斷，但是這個過程中從安全的角度，安全企業可以給出來在哪個環節應該做什么樣的處理，比如說防火墻，做診斷，或者說業務系統應該進入什么賬號，能做什么事情，不能做什么事情，需要做什么事情。

話題5 如果你是攻擊者，TDR如何突破？

該部分談話實錄略，總結四點：

第一，社會工程學。

第二，就是比如說結合內鬼或者間諜的方式

第三，聲東擊西

第四，釣魚郵件