RSAC2024-安全是一个数据问题(Security is a data problem)


=Start=

缘由:

看到好文章时会有一些问题和想法,先及时简单记录一下,后面有时间逐步补充完整,怕突然有事打断或是拖延导致临时的一些想法不立即记录就忘了。

正文:

参考解答:

完整的2个视频还没有看完(英文听力能力水平还没达到,还需要进一步的锻炼和加强),先把在快速翻阅时看到的对于我来说有触动的片段先截出来:

你无法保护你看不见的东西。

You can’t secure what you can’t see.
你无法保护你看不见的东西。

安全是一个数据问题

Security is a data problem.
安全是一个数据问题。

三个灵魂拷问

Do you have the right data?
Do you get detections?
Can you manage it efficiently?

你有正确的数据吗?
你能检测到威胁吗?
你能有效地管理数据吗?


应对网络战,看见是1,其它是0

记者:网络战给网络安全带来前所未有的挑战,该如何应对?

周鸿祎:应对网络战,“看见”是关键。网络战最关键的是看见敌人的攻击。最可怕的是“别人来了你不知道,别人走了你也不知道,干了什么也不知道,留了什么也不知道”。没有攻不进的系统,只有不努力的黑客。如果我们不能解决看见网络攻击的问题,堆砌再多的安全产品,也如同打仗没有雷达,有再多的导弹也看不到别人的隐身飞机在哪里。这样的话谈何溯源?谈何反制?谈何响应?所以,看见网络战的攻击是1,其余都是0,只有看见了,其余才能发挥作用

那么如何实现“看见”呢?需要三个必要条件:安全大数据是看见的基础;威胁情报和知识库帮助在大数据中筛选;高级别攻防专家起决定性作用。


You can't secure what you can't see.
你无法保护你看不见的东西。

Security is a data problem.
安全是一个数据问题。

Do you have the right data?
Do you get detections?
Can you manage it efficiently?

你有正确的数据吗?
你能检测到威胁吗?
你能有效地管理数据吗?

...
参考链接:

从RSAC2024看SOC发展趋势
https://mp.weixin.qq.com/s/28Py327MM1tCco0y-LhYUQ

Revolutionizing the SOC for the Future Threat Landscape
https://www.rsaconference.com/library/presentation/usa/2024/revolutionizing%20the%20soc%20for%20the%20future%20threat%20landscape

Cisco at RSAConference™ 2024
https://www.cisco.com/c/en/us/training-events/events/rsac.html

Next-Gen SIEM: Converging Data, Security, IT, Workflow Automation & AI
https://www.rsaconference.com/USA/agenda/session/NextGen%20SIEM%20Converging%20Data%20Security%20IT%20Workflow%20Automation%20%20AI

CrowdStrike Falcon® Next-Gen SIEM
https://www.crowdstrike.com/platform/next-gen-siem/

封面人物 | 周鸿祎:网络战时代的挑战与应对
https://mp.weixin.qq.com/s/BHNQEEFBdmlnLDQQMZk6Wg

=END=


《 “RSAC2024-安全是一个数据问题(Security is a data problem)” 》 有 5 条评论

  1. cobalt
    https://cobalt.tools/
    `
    一个开源流媒体视频下载器

    Cobalt是您从社交和媒体平台下载的首选场所。没有广告,跟踪器,或其他令人毛骨悚然的废话。只需粘贴一个分享链接,你就可以下载源文件了。
    `

  2. CrowdStrike-CEO的关于下一代SIEM的演讲逐字稿

    Next-Gen SIEM: Converging Data, Security, IT, Workflow Automation & AI
    https://www.youtube.com/watch?v=jp3rzRhDyM4

    “`
    # 以下是我把文件发给 Kimi 让它给总结的核心内容:

    这份文件是CrowdStrike的CEO和联合创始人George Kurtz在RSAC 2024会议上的演讲逐字稿,主题是“下一代SIEM:数据、安全、IT、工作流自动化与AI的融合”。核心内容包括:

    1. **会议开场**:George Kurtz以自拍开场,表达了对会议和观众的欢迎,并分享了一个关于自拍的趣事。

    2. **安全挑战**:强调了防御者面临的挑战,特别是攻击者快速突破系统的时间缩短,从平均79分钟到最快2分7秒。

    3. **数据问题**:安全的核心问题是数据问题,SOC团队难以从海量数据中识别威胁,防御者拥有太多数据而时间不足。

    4. **SIEM的演变**:讨论了SIEM(安全信息事件管理)的历史和演变,以及它如何从帮助组织发现APT(高级持续性威胁)演变到SOC超越了传统SIEM。

    5. **数据悖论**:指出了组织在希望摄取和存储尽可能多的数据与成本之间的矛盾。

    6. **下一代SIEM**:下一代SIEM将与安全平台集成,解决数据悖论,融合数据和AI自动化,自动摄取和规范化数据,丰富数据,创建生成性工作流,并允许自带LLM(大型语言模型)。

    7. **AI在SIEM中的作用**:AI可以帮助自动理解、摄取、解析和规范化数据,解决不同供应商数据模式的差异问题。

    8. **数据丰富和工作流**:下一代SIEM将帮助将警报转化为事件,通过数据丰富和工作流自动化简化分析师的工作。

    9. **合规性报告**:AI可以帮助简化合规性报告的生成,节省时间并减少手动映射框架的工作量。

    10. **AI原生SOC**:下一代SIEM将成为AI原生SOC的操作系统,支持多种安全用例并允许组织在其上构建自己的应用。

    11. **SOC转型**:讨论了从传统SOC到AI原生SOC的转型,强调了先进的威胁检测、自动响应、预测性安全、工作流自动化、自适应安全态势和上下文安全情报的重要性。

    12. **AI对SOC分析师的影响**:AI不会取代SOC分析师,而是将他们从繁琐的工作中解放出来,使他们能够专注于更高价值的任务。

    13. **安全领域的希望**:George Kurtz认为AI是安全领域的希望之光,可以帮助SOC更有效地阻止漏洞。

    演讲强调了AI和自动化在提高SOC效率和效果方面的重要性,并展望了下一代SIEM和AI原生SOC在安全领域的革命性作用。
    “`

    “`
    2. **安全挑战**:强调了防御者面临的挑战,特别是攻击者快速突破系统的时间缩短,从平均79分钟到最快2分7秒。

    Now one of the main problems, and in my view the main problem in security, is a data problem.

    3. **数据问题**:安全的核心问题是数据问题,SOC团队难以从海量数据中识别威胁,防御者拥有太多数据而时间不足。

    12. **AI对SOC分析师的影响**:AI不会取代SOC分析师,而是将他们从繁琐的工作中解放出来,使他们能够专注于更高价值的任务。

    **攻击路径在哪里?基于威胁环境、威胁行为体、我的资产、我的漏洞、我的配置,潜在的攻击路径在哪里?当你考虑如何确定修复的优先级时,这就变得非常有趣了**。因为在安全领域,你知道,所有坏事都有可能发生。然后当你把它推给 IT 团队时,他们关心的是什么?门票。我多快能关闭它,我需要修补什么?因此,必须优先处理这些问题。

    其次是工作流程自动化。我之前提到过一点。想想看,上班时,你不再是八小时不停地点击,做很多琐碎的工作,而是开始询问下一代 SIEM 和 SOC 的功能。你知道,我的环境中存在哪些威胁吗?对我所在的行业有何实际影响?对我所在的公司有何影响?哪些资产面临风险?哪些易受攻击?顺便说一句,易受攻击的系统会创建 PowerShell 脚本并部署该 PowerShell 脚本。这些都是今天正在发生的事情,对吗?

    **当我们考虑到对手的移动速度有多快,以及他们如何使用生成式人工智能时,你知道他们在另一侧会做什么吗?他们会把微软的补丁自动拆解,自动创建漏洞利用程序,自动将其放入漏洞利用工具包,然后再投放到灰色市场。这样一来,时间就会从几天缩短到几小时。这就是拥有这种自动化水平的重要原因。**

    然后是自适应安全态势,对吗?人工智能原生 SOC 可以自我学习,对吗?这是一个很大的领域。作为一家公司,你有很多关于员工、威胁和自身环境的知识。你不应该仅仅依赖供应商来为你做这些。系统应该真正了解恶意内部人员在你的组织中是什么样的,它应该了解你所面对的威胁以及这些威胁是如何被利用的。随着时间的推移,这也是系统自适应再训练的一部分。

    **掌握的信息越多,就能更好地保护自己**。

    因此,**要深入了解事件发生的原因、起因和潜在影响**。

    很多人问我,“这是不是意味着,SOC 分析师要失业了?” 不,你知道这意味着什么吗?这意味着你可以把一级分析师变成三级分析师。你可以把 8 小时的平凡工作变成 10 分钟。你可以把需要花费大量时间的情况报告、坐席代表放在一起,**你可以让他们做得更好,做得更快**。

    我认为,**在我看来,只有那些不真正拥抱人工智能的 SOC 分析师才会被淘汰出局。因为人工智能并不能完成所有这些工作。你仍然需要人来驾驶飞机。我们还没到那一步**。但我想说的是,**考虑一下,拥抱它**,我相信你们很多人都在拥抱它。但对我来说,这是安全领域的一盏明灯。
    “`

  3. Splunk副总对于革新SOC以应对未来威胁形势的思考

    Revolutionizing the SOC for the Future Threat Landscape
    https://www.youtube.com/watch?v=fO3YKkEwZhQ

    “`
    # 以下是我把文件发给 Kimi 让它给总结的核心内容:

    这份文件是Splunk的执行副总裁兼总经理Gary Steele在RSA会议上的演讲稿,主题是“革新SOC以应对未来的威胁形势”。核心内容包括:

    1. **合作与进步**:Splunk与Cisco的合作,以及Gary Steele在Proofpoint超过20年的领导经验。

    2. **安全运营中心(SOC)的挑战**:当前SOC面临的挑战,包括威胁行为者的优势、数字足迹的增长、复杂的地缘政治环境、内部和外部威胁、以及全球不同的隐私规则。

    3. **可见性的重要性**:在安全领域,可见性是关键,因为无法保护看不见的东西。

    4. **数据问题**:安全问题本质上是数据问题,需要处理大量数据源,包括网络、端点、云和设备数据。

    5. **安全操作的演变**:SOC需要能够快速检测威胁,并且必须在复杂的数据环境中进行大规模检测。

    6. **分散化问题**:当前环境的分散化导致了数据隐私法规、数据引力、多云环境和点解决方案的复杂性。

    7. **未来的SOC模型**:提出了三个基本支柱:单一平台、自动化(通过AI实现)、以及数据联邦化。

    8. **单一平台**:需要一个集成环境提供上下文、洞察和AI驱动的行动,而不是多个工具。

    9. **自动化与AI**:通过AI实现自动化,让分析师专注于真正重要的事项,提高效率。

    10. **数据联邦化**:理想的SOC应该能够跨整个企业访问数据,无论数据存储在哪里。

    11. **数字弹性**:保护企业免受威胁和中断,确保系统正常运行,并在出现问题时快速恢复。

    12. **经济性**:通过在数据所在位置进行分析,可以节省成本并提高效率。

    13. **合作与集成**:安全团队和IT团队之间的合作对于实现数字弹性至关重要。

    14. **未来展望**:SOC的未来是帮助组织实现数字弹性,提高盈利能力、客户体验和竞争力。

    Gary Steele的演讲强调了SOC需要革新以应对不断变化的威胁形势,并提出了实现这一目标的具体方法和理念。
    “`

    And we need to move analytics to the data versus moving data to the analytics. And that’s a fundamental different view. Moving from centralized, where we’ve been, to highly distributed. And the future security operation center must handle all data at machine speed and scale wherever that data is. And that unlocks a tremendous amount of potential and allows you to bend time and drive the right kinds of detections and outcomes that security operation centers have always wanted.

    我们需要**将分析转移到数据上,而不是将数据转移到分析上**。这是一个完全不同的观点。从集中式,到高度分布式。**未来的安全操作中心必须以机器的速度和规模处理所有数据,无论数据在哪里**。这就释放了巨大的潜力,让你可以节省时间,实现安全运营中心一直想要的正确检测和结果。

    ==

    3. **可见性的重要性**:在安全领域,可见性是关键,因为无法保护看不见的东西。

    9. **自动化与AI**:通过AI实现自动化,让分析师专注于真正重要的事项,提高效率。

    11. **数字弹性**:保护企业免受威胁和中断,确保系统正常运行,并在出现问题时快速恢复。

    ==

    **归根结底,在安全方面取得进展的关键是要有可见性,这绝对是至关重要的。因为你显然无法确保你看不见的东西**。

    **那么,好的安全性是什么样的呢?它实际上是关于在整个组织中提取上下文。以及快速从噪声中分离信号的能力。确保你真的有你需要的东西。你能看到所有正确的数据吗?你的检测结果正确吗?你是否在进行正确的分析?你能有效地管理它吗?你能做到不倾家荡产吗?**

    **试着去理解发生了什么,试着去推动正确的结果。**

    **你需要考虑一个全新的世界,它看起来与我们过去所处的地方非常不同。**

    我们所看到的模型是,**数据是至关重要的**。**我们需要将分析转移到数据上,而不是将数据转移到分析上**。这是一个完全不同的观点。**从集中式,到高度分布式。未来的安全操作中心必须以机器的速度和规模处理所有数据,无论数据在哪里。这就释放了巨大的潜力,让你可以节省时间,实现安全运营中心一直想要的正确检测和结果**。


    **在我们深入研究SOC真正的样子之前,我们需要对今天的威胁形势进行评估。**

    **SOC的中心是你获得见解并能迅速采取行动的地方**。

  4. 大企业搞安全,重点得是开放场景下的数据安全风险
    https://mp.weixin.qq.com/s/6na_N9Pqp07rsCQh3w32Xg
    `
    下面是一张包罗万象的企业数据安全建设大图,看起来很复杂,其实一点都不简单。此图是个人过往经验的粗浅总结,不权威、不完善、也肯定不严谨,读者请小心参考,遗漏部分请留言提醒。

    一家企业倘若把自身数据安全建设玩出花来,可能也逃不出这张图了。

    这张图尝试把很多维度和视角聚合在一起,目标是把看似纷繁复杂的内容整合到一眼的范围,给复杂的数据安全减负,给吹牛逼的打回原形,给不知道自己在干嘛的找准定位。

    图中最难以一看就懂的,是对“生态”的定义,到底什么是生态呢?

    1、一家大型企业,收购了很多投后公司,这些投后公司按惯例被叫做母公司的生态企业。
    2、一个电商平台,要同时和商家、物流、工厂、分销渠道、线下商铺等打交道,他们都是电商平台企业的生态。
    3、一家新能源车企,要和供应商、保险公司、4S 店、车辆维修厂等打交道,他们都是车企的生态。
    4、移动、电信、联通运营商,有大量的合作渠道,很多小超市、报亭等能充值买卡的都是,他们就是运营商的生态。

    总结一下,一家企业的生态指的就是和企业有业务往来,要使用企业开放出去的应用系统和数据的第三方个体和企业,都是出让数据的企业的生态。

    01—内网玩出了花,数据安全不一定有保障

    从图里可以看出来,在企业内部如果 CEO 任由 CSO 做主,那么数据安全真的是能被玩出花来,安全的世界实在是太丰富多彩。每一个黑框都能被拿出来,制定出个 3 年计划 5 年目标,安全永不打烊。
    很不幸,图中的每个产品,每项技术,作者都做过了,单项来看都有合理性,甚至是必要性,组合来看,企业是可以做出一些最佳方案组合的,而不是一股脑全上,下面是给甲方安全团队的一些不踩坑建议:
    1、上了 DLP 就别上透明加解密了。
    2、上了虚拟桌面,就别往里面再装杀毒和 DLP 了,如果装了一定是你方案搞错了,别找资产盘点的借口了,你就是没想清楚。
    3、不要做 UEBA 的美梦了,除了搞出些待离职的风险模型外,你还能有几个模型能拿得出手的?
    4、能买就别自研了(这条可能更多得是 CEO 看才行),别做那种不切实际的自研后还能对外“赋能”和商业化输出的美梦了,醒醒吧。少养一个研发,就能买一套牛逼得不行的商业化产品了,看看外面多卷。
    5、员工安全考试,不如墙上多贴几张安全提醒海报。
    6、钓鱼邮件监测,别费功夫了,把邮件限制到 RBI 或者安全浏览器里效果最好。
    7、非结构化数据分类分级,除非你是想做两年就跳槽,否则收手吧,不信可以去考古一下多年前海外 DLP 祖宗的文件指纹,听起来更牛逼的技术是不是,为什么如今再无人提及?他遇到什么困难了吗?

    02—一眼空白的生态,企业安全的法外之地

    同企业内部的热闹比起来,生态侧的安全建设实在是过于寂寥。是因为内部的安全远远重要于外部吗?是内网的威胁远远大于外部吗?都不是,只是因为外部的安全风险治理之路,实在在太难走了。有道是覆水难收,泼出去的水还能怎么管?给出去的数据,还能怎么管?

    03—开放场景下的数据安全保护

    企业的生态办公场景下的安全防护,实则讨论的是在开放的办公场景下的数据安全保护。

    开放场景,一个企业与外部的结构或者个体产生合作的关系,同时合作的维持,有赖于企业开放自身的应用系统和数据,如此合作方消费和使用开放数据的场景,即可定义为在开放场景下的办公。

    企业常见的开放办公场景,如外包、渠道合作、供应商合作、咨询机构合作、法务机构合作、高校合作、员工远程办公等等。

    开放场景的数据安全难做,而不是没得做,从技术手段上来讲如今一共只有 4 个选择,企业按照自身实力和精力的不同选最优解即可:
    1、虚拟桌面:依赖虚拟化打造专属的办公环境,甲方企业得很有钱,且舍得花钱。
    2、远程桌面连接(向日葵这种):只适合企业员工的远程办公场景,不可能给渠道、供应商等外部机构使用。
    3、基于浏览器的办公空间:新兴的技术路线,也是作者正在努力的方向,收口办公业务系统访问和办公,仅适合 B/S 架构的应用安全保护。
    4、终端数据安全沙箱:这是理论上最优,但是技术挑战和运维压力又是最大的选择。目前几乎还找不到可以快速且规模化满足企业要求的产品。
    `

  5. 通义千问
    https://tongyi.aliyun.com/qianwen
    `
    question
    假设你是一个资深的数据安全专家,请详细说明一些可以及时发现公司内部人员有外部咨询访谈的方法

    answer
    作为一名资深的数据安全专家,要确保能够及时发现公司内部人员是否参与了外部咨询访谈,可以采取多种技术和管理措施。以下是几种可能的方法:

    ### 1. **电子邮件监控**
    – **方法**:设置电子邮件监控系统,以监控员工的电子邮件通信。
    – **工具**:使用邮件过滤软件,识别包含特定关键字或短语(如“咨询”、“访谈”)的邮件。
    – **注意事项**:确保遵守当地法律法规,并告知员工邮件可能会被监控。

    ### 2. **网络流量分析**
    – **方法**:监控公司网络流量,识别异常的外部通信行为。
    – **工具**:使用网络监控工具如IDS/IPS(入侵检测/预防系统)来捕捉异常流量。
    – **注意事项**:关注流量峰值、非工作时间的流量变化等。

    ### 3. **社交媒体监控**
    – **方法**:通过社交媒体平台(如LinkedIn)监测员工的活动,特别是与外部咨询相关的动态。
    – **注意事项**:注意隐私法律的要求,确保不侵犯个人隐私。

    ### 4. **内部沟通平台监控**
    – **方法**:利用内部通信工具(如Slack、Teams等)的管理功能来查看员工间的交流记录。
    – **注意事项**:确保透明度,并获得必要的同意。

    ### 5. **异常行为检测**
    – **方法**:部署行为分析工具来识别与常规行为不同的员工活动。
    – **工具**:使用UEBA(用户与实体行为分析)技术来识别异常登录、数据访问模式等。
    – **注意事项**:结合具体情境分析,避免误报。

    ### 6. **访问权限审查**
    – **方法**:定期审查员工的访问权限,确保其仅能访问执行工作所需的资源。
    – **注意事项**:实施最小权限原则,并在员工离职或角色变更时立即更新权限设置。

    ### 7. **数据泄露防护(DLP)**
    – **方法**:使用DLP工具监控数据流动情况,特别是向外部环境的数据传输。
    – **注意事项**:合理配置规则,区分正常数据流动与潜在泄露行为。

    ### 8. **内部报告机制**
    – **方法**:建立匿名举报机制,鼓励员工报告可疑行为。
    – **注意事项**:确保举报人的匿名性和举报内容的保密性。

    ### 9. **定期安全培训**
    – **方法**:通过培训提高员工的安全意识,教育他们如何识别并报告可疑活动。
    – **注意事项**:培训内容应包括实际案例分析,使员工更容易理解和应用。

    ### 10. **物理访问控制**
    – **方法**:对于敏感信息的物理存储介质实施严格的物理访问控制。
    – **注意事项**:确保只有授权人员能够接触这些介质。

    ### 11. **员工访谈**
    – **方法**:定期进行员工访谈,了解他们的工作状态和可能存在的问题。
    – **注意事项**:建立信任关系,让员工愿意分享信息。

    ### 12. **日志审计**
    – **方法**:维护完整的日志记录,并定期审计这些日志,以发现异常活动。
    – **注意事项**:确保日志系统能够覆盖所有关键系统和数据源。

    通过上述方法和技术手段的综合应用,可以在一定程度上减少由于内部人员参与外部咨询访谈而导致的数据泄露风险。不过需要注意的是,所有措施都应在遵守相关法律法规的前提下进行,并且尊重员工的隐私权。
    `

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注