从 M-Trends 报告的两个指标谈起

Richard Bejtlich 在一篇博客¹里提及，Mandiant M-Trends 报告有两项重要的指标：第一项指标，dwell time，统计的是攻击者首次入侵到被发现、在受害者网络中的停留（或潜伏）时间。这项指标用的中位数，旨在减少偏离值的影响。第二项指标则是对比第一时间发现事件的方式，也即内部检测与外部通告的占比。
M-Trends 历年数据汇总如下：

M-Trends历年数据.png

这组数据坏消息和好消息并存。坏消息是 dwell time 仍然高达 101 天，如果阅读 M-Trends 2018 报告里的区域数据，会发现亚太的中位数甚至高达 498 天。而在 M-Trends 2016 报告中，Mandiant 红队在获得网络环境初始访问权限的三天内，就能进一步获取到域管理员的访问权限，因此数月这个时间还是太长。而好消息则是，事件发现由内部检测到的，这一比例逐年递增。2018 年报告中统计的 2017 年这个占比已经上升为 62%，这一定程度表明了企业安全成熟度以及内部检测能力在提高。

再看另一组来自 Ponemon Institute 的数据²，我们会发现，即使检测到事件后，企业采取遏制措施平均所需的时间（MTTC）仍需66天。对应近两年兴起的勒索软件，对企业的响应时间要求则可能是秒级。

MTTC.png

上述两组数据，再次说明了攻防存在的差距。涉及的原因，在此主要探讨人员缺失的问题。M-Trends 2018报告给出了一个参考数据，一个全天候的网络防御中心（CDC），最少需要9-12名全职人员。按照事件响应经验进行架构划分，多数经验相对薄弱的人员负责处理初始的事件检测和分发，而经验丰富的人员则负责事件调查以及修复工作。随着CDC的成熟，试图在风险最终导致危害前、识别和修复风险，则要求倾斜更多投资在专业技能上，包括恶意软件分析、威胁狩猎、安全分析、自动化以及威胁情报。

而人员缺失某种程度也是效率的问题。FireEye 给出过一组数据，传统的安全运营工作，安全人员仅有 16% 的时间用于事件响应（11%）以及主动狩猎工作（5%），其中40%的时间用于告警内容丰富和验证，44%用于内部流程（36%用于Ticketing & Reporting，8%用于事件通知与升级）。这样的现状，导致很多经验丰富的安全分析人员不得不花费大量时间处理日常琐碎的重复劳动，一定程度也是对于人才的浪费，甚至可能导致人员流失。企业内部即使有一些成文的安全运营流程，而安全运营经验（尤其是安全分析和事件响应能力）往往可能更多是安全人员间的口口相传（Gartner 分析师称其为tribal knowledge，部落知识）。这些问题，其实是有必要引进先进生产力来改善的。

大家如果还有印象，《从 Target 事件看安全运营的困境》³一文中，探讨过安全运营面临的告警疲劳、告警内容缺乏上下文的问题。当时也提及了，我们需要给告警添加更多的上下文，用更快速的方式去掉误报和虚警。而在这个领域，当前国外威胁情报日益成熟、SOAR（Security Orchestration, Automation and Response）的兴起，有希望帮助我们解决这方面的问题。

2015年 ，Gartner 首次在《Innovation Tech Insight for Security Operations, Analytics and Reporting》中提出 SOAR 概念，此时的 SOAR 定义为”Security operations, analytics, and reporting" ，这类工具利用机读和有状态的安全数据提供报表、分析和管理功能来支持安全运营工作。而近两年国外安全编排和自动化、安全事件响应平台以及威胁情报平台三类技术融合，演进出新的SOAR（Security Orchestration, Automation and Response）。目前SOAR最主要的应用场景在事件检测和分发、事件响应以及威胁情报管理。这其中最至关重要的是国外威胁情报市场的日渐成熟，威胁情报不仅仅局限于提供IOC给安全设备的安全防御和检测场景，还有基于攻击组织属性、能力以及意图等运营级情报用于安全分析、取证和事件响应的场景，以及更高层面关心趋势、攻击者动机和分类的战略情报，支撑企业高层做风险评估决策。这个领域的领导厂商甚至可以提供安全咨询类服务，帮助企业构建自身的安全情报能力。参考下图，我们可以较为清晰看到SOAR 2015到2017的演进以及核心技术构成。

SOAR演进.png

源：⁴

这里主要简单介绍了SOAR市场演进的内容。之前笔者也和朋友讨论过，企业客户是否有新增一类安全平台的需求、事件响应服务是否可能产品化、对厂商的能力要求等等，这些也都是值得深入探讨的话题。关于SOAR的分析，后面会再做专门介绍。

1. Richard Bejtlich, “The Missing Trends in M-Trends 2017”，URL: https://taosecurity.blogspot.com/2017/03/the-missing-trends-in-m-trends-2017.html
2. “2017 Cost of Data Breach Study”, Ponemon Institute，2017年6月。
3. https://www.jianshu.com/p/7e20b595a82f
4. Claudio Neiva, Craig Lawson, Toby Bussa, Gorka Sadowski,
   “Innovation Insight for Security Orchestration, Automation and Response”, Gartner, 2017年11月30日。