信息來源:FreeBuf
1.前言
筆者做了多年的安全服務(wù),這幾年集中精力在做安全分析類引擎或產(chǎn)品���,關(guān)于大數(shù)據(jù)時代信息安全的三點個人看法,作為引言��。
(一) 聚焦細分市場���,圍繞核心競爭力�,合作的模式來做平臺���。
大數(shù)據(jù)時代數(shù)據(jù)的采集���、存儲、分析�����、呈現(xiàn)等等��,很少有一家能完全做的了�,通吃也真沒必要也沒能力,從細分看�, 做采集的可能有集成商或服務(wù)商A來完成實施工作;做存儲的有擅長存儲的B來做;做分析層的需要有懂業(yè)務(wù)��、了解安全的服務(wù)商C來完成�����,數(shù)據(jù)的呈現(xiàn)又是專門的團隊或開發(fā)商D來做���。做自己最擅長的���,其他的找合作伙伴,能夠最快速的形成整體來滿足用戶的需求至關(guān)重要��。市場競爭大部分時候拼的就是時間�����,天下武功唯快不破�����。
(二) 從關(guān)注“平臺”搭建到關(guān)注分析建模的“內(nèi)容”建設(shè)
航母是一個平臺�,自己不產(chǎn)生進攻能力,讓航母上的艦載機具備強大進攻能力�����。對信息安全行業(yè)依然如此。�,“建平臺+補內(nèi)容”是國內(nèi)目前安全建設(shè)的基本路子。在網(wǎng)絡(luò)完成初期的平臺建設(shè)(數(shù)據(jù)的采集��、集中存儲)后一定會走向精耕細做的數(shù)據(jù)分析上來��。用戶越來越務(wù)實���,數(shù)據(jù)分析建模越來越重要,“內(nèi)容”會成為新焦點��,“平臺”因“內(nèi)容”而產(chǎn)生價值�����。
(三) 安全能力從“防范”為主轉(zhuǎn)向“檢測和響應(yīng)”的能力構(gòu)建
安全是對抗�����,不可能完全防范�����,單純的防御措施無法阻止蓄意的攻擊者,這已經(jīng)是大家都認同的事實��。gartner的自適應(yīng)安全架構(gòu)也提到了檢測�、預(yù)警、響應(yīng)的重要性���。Gartner預(yù)測到2020年�����,防范措施將不再重要�,關(guān)鍵是監(jiān)控和情報�,60%的安全預(yù)算會投入到檢測和響應(yīng)中。
安全行業(yè)這兩年來�,思維模式已經(jīng)從單純強調(diào)防護,轉(zhuǎn)變到注重預(yù)警���、檢測���、響應(yīng)的格局,安全能力從“防范”為主轉(zhuǎn)向“快速檢測和響應(yīng)能力”的構(gòu)建�����,實時防御將以威脅為中心,它不再強調(diào)單點的檢測���,也不再單純的追求告警的精確性�����,而是將若干的點關(guān)聯(lián)起來��,以數(shù)據(jù)為驅(qū)動來解決問題�。
筆者將以威脅為中心的信息安全能力建設(shè)問題總結(jié)為以下四句話�����,并進行詳細闡述���。
1. 全面感知是基礎(chǔ)
2. 異常行為是線索
3. 分析能力是關(guān)鍵
4. 響應(yīng)處置是根本
2.全面感知是基礎(chǔ)
2.1 數(shù)據(jù)源
沒有數(shù)據(jù),類似無米之炊�,數(shù)據(jù)源的完備才能夠真正的實現(xiàn)異常行為分析。數(shù)據(jù)源不僅對傳統(tǒng)的安全日志進行收集處理�����、更可將收集的范圍擴充至業(yè)務(wù)數(shù)據(jù)�����、運維數(shù)據(jù)甚至用戶數(shù)據(jù),涉及的對象包括日志�、流量、內(nèi)容��、系統(tǒng)狀態(tài)等��。
-
IAM在這里是很重要的一個數(shù)據(jù)源�����,必須與人關(guān)聯(lián)���,分析才更有效果��。
-
業(yè)務(wù)日志是數(shù)據(jù)源很關(guān)鍵的一部分��,可以通過業(yè)務(wù)日志的綜合分析���,發(fā)現(xiàn)業(yè)務(wù)層面的違規(guī)異常行為,用戶首先關(guān)注業(yè)務(wù)安全�。
2.2感知能力
企業(yè)需要從事件驅(qū)使型(被動)感知,向情報引導(dǎo)及風(fēng)險驅(qū)使型(主動)感知轉(zhuǎn)變�。
1. 被動感知
被動感知主要指傳統(tǒng)的被動檢測方式:各種IPS\IDS\APT等流量監(jiān)測產(chǎn)品的報警�,或者來自第三方的通報(如:行業(yè)主管或者國家監(jiān)管部門)�,了解我們網(wǎng)絡(luò)中發(fā)生的威脅。
2. 主動感知
主動安全不是說直接攻擊對手���,而是在攻擊者有攻擊企圖的早期就能預(yù)警到���,并進行主動探測,并能及時采取action�����。威脅情報分析�,實質(zhì)也就是挖掘整體黑色產(chǎn)業(yè)鏈,主動的監(jiān)控�����、切斷相關(guān)環(huán)節(jié)���,并對惡意工具的制作者、攻擊者���、賣家買家等進行查出�����,從而達到主動防御的效果���。
下面用表格方式展示常見“主動”��、“被動”技術(shù)手段的輸入輸出��。
2.3感知維度
要想全面的感知安全威脅��,我們從三個維度來看:
1. 在外部看外部
有些安全風(fēng)險或外部威脅��,即便企業(yè)從內(nèi)部做再多的數(shù)據(jù)監(jiān)控都無法發(fā)現(xiàn)這一部分�。比如偽基站���、撞庫攻擊���、Github信息泄露、釣魚等等��。對于這類威脅或者信息泄漏�����,我們必須在外部看外部,利用網(wǎng)絡(luò)技術(shù)在各知名安全情報平臺收集最新的威脅信息才能實現(xiàn)���,一些知名網(wǎng)站補天�����、Whois�����、安全人員的社交圈如Twitter�、微博���、技術(shù)博客�����、以及開源的情報站點alexa.com、malwaredomains.com�、blocklist.de、openphish.com���、isc.sans.edu等�,都是收集威脅或風(fēng)險信息的好渠道。
2. 從外部看內(nèi)部暴露面
企業(yè)到底有哪些設(shè)備/應(yīng)用暴露在互聯(lián)網(wǎng)���?都是什么樣設(shè)備/應(yīng)用�?這些設(shè)備/應(yīng)用處于什么狀態(tài)��?它們開放了那些端口��,提供了哪些服務(wù)���?這些設(shè)備/應(yīng)用現(xiàn)在存在哪些風(fēng)險�?暴露面越大風(fēng)險就越大��。這些都需要從互聯(lián)網(wǎng)側(cè)對內(nèi)部進行測試探知�����。目前業(yè)內(nèi)很熱的網(wǎng)站安全監(jiān)控系統(tǒng)其實就是類似的一種方式�����,包括網(wǎng)站的可用性測試�����、漏洞測試、頁面篡改�����、非法內(nèi)容測試等都是這種方式�����。
3. 在內(nèi)部看內(nèi)部
內(nèi)部的威脅感知也非常重要�����,目前業(yè)內(nèi)的安全威脅檢測系統(tǒng)通過自動探測網(wǎng)絡(luò)流量或系統(tǒng)數(shù)據(jù)發(fā)現(xiàn)可能涉及的潛在入侵��、攻擊和濫用的安全威脅�����。大量的UEBA類產(chǎn)品出現(xiàn)�,也是對內(nèi)部用戶行為感知的重要手段,合法的人干非法的事能及時發(fā)現(xiàn)至關(guān)重要��。
3.異常行為是線索
3.1異常行為表達模型
用戶的異常業(yè)務(wù)行為復(fù)雜多樣�����,以下列舉了常見的幾種:
-
用戶的業(yè)務(wù)違規(guī)行為:包括惡意業(yè)務(wù)訂購�����、業(yè)務(wù)只查詢不辦理�����、高頻業(yè)務(wù)訪問���、業(yè)務(wù)繞行等等都是需要關(guān)注的點�����。
-
內(nèi)部人員的異常行為:比如斯諾登經(jīng)常要同事的帳號訪問系統(tǒng)��,斯諾登可能比一般員工更多的訪問了核心服務(wù)器��,斯諾登可能短時間內(nèi)打包了很多的敏感數(shù)據(jù)等���。
-
某個用戶突然有一天接收了大量的歷史郵件。(接收過的郵件一般用戶都不會再看�����,這次異常是用戶自己操作的嗎?)
-
終端用戶行為歷史���。如A部門用戶每天平均訪問220次關(guān)鍵數(shù)據(jù)��,某一天突然訪問次數(shù)超過500次�。
-
某用戶使用壓縮軟件RAR打包大量敏感數(shù)據(jù)���、使用USB設(shè)備中密集大量拷貝敏感數(shù)據(jù)���、用戶或設(shè)備頻繁外發(fā)加密文件、從內(nèi)部服務(wù)器下載大量表單等數(shù)據(jù)�����、大量訪問惡意URL的請求等這些異常行為都有可能表示該用戶在有意或無意(被控)的做一些破壞性事務(wù)�。
所有的行為,我們都可以通過5W1H(WWWWWH)模型進行抽樣表示�����。這里稱作5W1H行為分析模型��。
-
Who(行為執(zhí)行者):指操作行為的執(zhí)行者,包含用戶名�����、主從帳號��、人員組織結(jié)構(gòu)(主帳號組織)�����、業(yè)務(wù)組織結(jié)構(gòu)(從帳號組織)等信息�。
-
When(在什么時間):行為發(fā)生的時間或時間段��。
-
Where(在什么地點):行為發(fā)生地點�,包括IP地址、網(wǎng)段���、地域��。
-
What(對哪些事物):行為操作對象或內(nèi)容���。包含資源、對象等(安全資產(chǎn)): 資源:應(yīng)用���、主機��、數(shù)據(jù)庫�、網(wǎng)絡(luò)與安全 設(shè)備等;對象:數(shù)據(jù)庫表�、文件、模塊���、菜單�����、配置等
-
How(做了些什么):所執(zhí)行的行為操作�����,包括登錄�、認證���、帳號與授權(quán)���、敏感數(shù)據(jù)操作、關(guān)鍵操作(增加、刪除��、修改���、查詢�、下載)等�����。包括主機類操作�、數(shù)據(jù)庫類操作��、網(wǎng)絡(luò)安全類操作��、應(yīng)用類操作�����。
-
Why(為什么做):行為操作憑據(jù)�,主要是指行為操作的工單等依據(jù)。
3.2凡走過必留痕跡
線索是未知威脅留下的痕跡�,是入侵造成的異常。如果你發(fā)現(xiàn)一個異常�,無論是惡意域名或疑似木馬,還是疑似盜取數(shù)據(jù)的行為�,那么你就有了一個起始點�,也許這時候你并不知道面對的是什么樣的威脅��,或者根本就不是威脅�����,但至少可以深入調(diào)查�����。如果線索質(zhì)量高�,十有八九你真能很快定位一次入侵。
筆者經(jīng)歷過多次的信息安全事件��,其實并不是每個安全事件都能找到最后的原因�����,更不用說追蹤到攻擊者或惡意行為者���。多年前曾處理過一個安全事故:用戶的系統(tǒng)一天出現(xiàn)了30多萬的國際長途電話費用�����,最后組織各方力量也未能查到到底誰干的�����,懷疑可能是內(nèi)部開發(fā)人員在代碼中潛入了撥打的代碼��,并能在某個時間觸發(fā)�����。其實每次事件的追查成本都是很高的�,異常行為發(fā)現(xiàn)就是很好的止損的一種思路,比如銀行的ATM取款機每天只能取走2萬現(xiàn)金�,這些看似很簡單的限制其實作用非常大��。比如某單位每天的國際話費門檻為1萬�,超過就告警。
外部攻擊者進入內(nèi)網(wǎng)后�,到最后偷取數(shù)據(jù),中間是要進行很多的所謂“活動”��,其行為一定會有區(qū)別與正常的用戶行為�����,他一定會到處找目標(biāo),可能會東張四望�,可能訪問不該訪問的地方,可能越權(quán)去做不該做的操作�����,可能以同一身份通過不同設(shè)備登錄�����。這種行為稱為攻擊者的“內(nèi)部潛行”(lateral movement)�����。高明的攻擊者在進入內(nèi)網(wǎng)后�����,都傾向偽裝成合法用戶的身份去做一些非法的事情�。如何通過異常能發(fā)現(xiàn)披著羊皮的狼就很關(guān)鍵了。如果說“基于特征匹配的檢測防范了已知威脅”�����、基于“虛擬執(zhí)行的檢測阻止了未知惡意代碼進入系統(tǒng)內(nèi)部”�,那么對于已經(jīng)滲透進入系統(tǒng)內(nèi)部的攻擊者而言�����,“異常行為檢測成為了識別該類威脅的唯一機會”�����。
大家現(xiàn)在樂于說信息安全看見(visibility )的能力很重要��,要知己知彼�,其實異常行為是最關(guān)鍵的一條安全線索��。先能看見��,才能做好后續(xù)的風(fēng)險控制���。
3.3凡尋找的必能找到
在實際的工作過程中���,我們可以設(shè)定一些異常行為的場景��,并通過自動化的手段進行異常發(fā)現(xiàn)�����。下面列舉幾個典型的異常行為場景:
1) 異常情境:異常資產(chǎn)的發(fā)現(xiàn)
可以通過對網(wǎng)絡(luò)互聯(lián)關(guān)系的全面監(jiān)控, 捕捉每一條互聯(lián)關(guān)系并生成紀(jì)錄�����,對任何非法在線的入網(wǎng)設(shè)備哪怕只要在線進行一次連接動作���,就一定能夠發(fā)現(xiàn)并對非法設(shè)備的連接行為進行取證�。同時對系統(tǒng)中有網(wǎng)絡(luò)信息變動的設(shè)備也可以第一時間發(fā)現(xiàn)�����。
2) 異常情境:用戶的異常登錄
用戶登錄異常行為一般包括:異常時間���、異常IP��、多IP登錄�、非個人用戶帳號登錄��、頻繁登錄失敗等���。登錄異常行為同時也包括共享賬戶行為�����,比如一個賬號短時間更換IP登陸���,一個IP登陸了多個賬號等��。同時要包括設(shè)備指紋的識別�����,比如用戶登錄的終端忽然換了瀏覽器(是別人冒名登錄還是用戶重新使用了新的設(shè)備�?)�。
下圖顯示了異常登錄的分析模型,主要的分析參數(shù)包括設(shè)備指紋�、登錄IP地址、是否為代理���、登錄時間��、用戶屬性以及是否黑名單等�。
3) 異常情境:敏感數(shù)據(jù)異常訪問
大多數(shù)用戶的日常行為是可預(yù)測的�,每天的日?;顒佣疾畈欢唷阂獾膬?nèi)部人員在偷盜數(shù)據(jù)或搞破壞前一定有異常的行為��。對于可疑的員工連接關(guān)鍵資產(chǎn)一定要引起足夠重視。這種異常通常未必是一個確定的違規(guī)行為�����,但它可以作為重要的調(diào)查信息�。
下圖為同一賬戶非授權(quán)訪問敏感數(shù)據(jù)的分析模型:
4) 異常情境:木馬C&C隱蔽通道檢測
針對新型木馬不斷出現(xiàn),基于特征檢測的方法無法有效檢測特征庫之外的木馬的缺點�����,我們可以采用基于木馬流量行為特征的木馬檢測方法��。其優(yōu)勢在于可以檢測新型未知木馬�����,無需依賴木馬特征庫工作���,提高了新型木馬檢測的時效性�。
5) 異常情境:異常的網(wǎng)絡(luò)行為
采用統(tǒng)計分析的方式�,也可以發(fā)現(xiàn)一些異常行為,比如從抓取的大量的流量數(shù)據(jù)中���,總結(jié)出“正常應(yīng)用”的數(shù)據(jù)流量特征�,就容易發(fā)現(xiàn)“異常流量”,同時再進一步對異常流量涉及的IP進行重點分析��,發(fā)現(xiàn)攻擊行為�。異常的網(wǎng)絡(luò)行為包括:異常的域名或IP訪問、異常的訪問流量���、異常的訪問端口��、異常的連接時間�����,異常的連接頻度�,異常的協(xié)議傳輸?shù)取?
6) 行為序列分析
很多場景下�,單個的行為都是正常的,但是行為序列化分析���,就會發(fā)現(xiàn)為異常行為�。比如:某木馬的被控端工作的時候��,會自動向控制端的80端口發(fā)起連接�����,通過正常的http協(xié)議獲取驗證文件�����,以驗證控制端的有效性�;如果驗證文件獲取成功,木馬會連接控制端的一個自定義端口��,使用加密協(xié)議接受控制端的控制���。這個連接過程�,80端口的連接和內(nèi)容都是正常的�����;而自定義端口是隨機的���、協(xié)議是未知的并且連接內(nèi)容是加密的�����,單獨用那一個連接���,都無法通過特征匹配的方法來判斷出木馬�。而把兩個行為放在一起分析��,獲得行為序列的綜合特征�����。
4.分析能力是關(guān)鍵
安全分析員需要的是線索��,線索只能代表相關(guān)性�����,而不是確定性��,異常行為就是信息安全的一條重要線索��。工作在第一線的技術(shù)人員�,卻往往在發(fā)現(xiàn)可疑線索后,限于對線索研判的可信原始數(shù)據(jù)支持的條件制約�,很難實現(xiàn)對其事件定性及線索回查,處于被動防御的局面�。如何能夠化被動防御為主動防御,異常行為的鉆取�����、關(guān)聯(lián)、挖掘非常重要��,通過分析將一連串的線索穿起來��,由點及面進而逼近真相�����。舉個例子:從可疑IP�、關(guān)聯(lián)到訪問的用戶��,從可疑的用戶關(guān)聯(lián)到其使用應(yīng)用�����、數(shù)據(jù)庫或相關(guān)敏感文件等��,以時間維度�,確定出惡意行為的行為序列,進一步可進行相關(guān)的責(zé)任界定等�。
4.1安全分析團隊
在整個短缺的人才中,安全分析師是首當(dāng)其沖的�����。安全分析是要解讀報警、針對相關(guān)數(shù)據(jù)分析和調(diào)查���,并確定事件是否需要進一步升級�,分析師還可能參與事件響應(yīng)過程或者其它任務(wù)(如:主機取證或者惡意軟件分析等)��。安全分析需要三個學(xué)科的交叉:安全技能(這里不是“黑客”��,是安全攻防技術(shù))���,對業(yè)務(wù)的深入理解���,以及數(shù)學(xué)和統(tǒng)計(包括應(yīng)用數(shù)據(jù)分析工具)。現(xiàn)在的大數(shù)據(jù)安全分析很難���,主要是同時具備這三部分能力的團隊太少��。通過協(xié)同合作可以來解決這些問題��。安全攻防知識是基礎(chǔ)�,對業(yè)務(wù)和數(shù)據(jù)的深入理解才是根本���。
4.2安全分析平臺
一個好的安全分析師��,需要依托一個良好的安全分析平臺才能事半功倍���,好的安全你分析平臺需要具備以下因素:
-
分析能力引擎化:國際著名的splunk分析平臺�����,其自身也有一款安全產(chǎn)品��,名字叫做Splunk App For Enterprise Security,主要就是通過社區(qū)模式打造的安全分析插件共享平臺��。分析人員的分析能力引擎化才能更好的協(xié)助分析師進行安全分析工作���。
-
結(jié)合外部威脅情報:分析平臺最好可以集中多個來源的情報數(shù)據(jù)���。實現(xiàn)對其事件定性及線索反查與線索擴展以及對攻擊事態(tài)第一時間發(fā)現(xiàn)感知。威脅情報庫一般包括惡意程序樣本庫���、惡意程序分析報告庫��、惡意URL庫���、黑白域名庫�、黑白IP庫�����、攻擊行為特征庫�、WHOIS信息庫、漏洞庫等數(shù)據(jù)支撐庫��,并通過數(shù)據(jù)挖掘與分析技術(shù)挖掘統(tǒng)一威脅線索���,為安全專家定位網(wǎng)絡(luò)攻擊提供事實依據(jù)
-
社區(qū)化��,建立生態(tài):我們必須依靠協(xié)同�、集體的力量才能更有效的發(fā)現(xiàn)威脅�,可以通過社區(qū)的方式大家來共享分析插件,無社區(qū)不生命�����。2016年RSA的創(chuàng)新沙盒第一名�����,Phantom平臺采用社區(qū)模式,通過接入第三方安全設(shè)備或服務(wù)實現(xiàn)平臺的擴展性��。安全設(shè)備或服務(wù)接入是通過定制Phantom App實現(xiàn)的�。Phantom Apps基于Python語言開發(fā),允許社區(qū)內(nèi)的任何人分享數(shù)據(jù)信息來擴展平臺的能力�,也允許在App
store中分享自定義的Apps。
-
可視化呈現(xiàn):這里就不多闡述��,可視化確實能是分析人員的工作效率提高很多��。
5. 響應(yīng)處置是根本
5.1自動化能力��,關(guān)注效率
自動化安全運維市場潛力巨大?��,F(xiàn)在安全人員的工作強度和壓力非常之高,能降低工作量并提高效率的產(chǎn)品肯定會廣受歡迎���。我們從實際場景來看一起自動化運維的例子�。發(fā)現(xiàn)一起可以攻擊或可以事件�,我們一般有兩條線可以往下延伸,1)攻擊側(cè)的深挖:可以自動化的通過TI(威脅情報平臺)��,對攻擊源進行關(guān)聯(lián)分析���,對攻擊者��、攻擊手法等進行畫像�。甚至可以開啟自動化的端口掃描對源地址進行信息探測,進行更深入的分析�����。2)受害側(cè)的處置:自動化的關(guān)聯(lián)漏洞掃描系統(tǒng)�,對被攻擊者進行掃描,根據(jù)掃描結(jié)果關(guān)聯(lián)到應(yīng)急響應(yīng)平臺���,獲取漏洞的處置方式并進行相關(guān)漏洞修復(fù)或執(zhí)行自動化的訪問控制措施等���。最后再通過檢測系統(tǒng)對漏洞處置的結(jié)果進行返回確認。
沒有action的威脅情報���,只會徒增安全管理員的煩惱和痛苦�����。大部分的用戶可以采用自建運營團隊或外部服務(wù)的方式來進行威脅的應(yīng)對和處置���。FireEye提出了FireEye-As-A-Service的概念��,并在近期重點宣傳�����。和FireEye之前服務(wù)最大的不同就是FireEye的技術(shù)人員將7×24小時地監(jiān)控你的FireEye系統(tǒng)�����,一旦發(fā)現(xiàn)威脅��,F(xiàn)ireEye的人員將不再像傳統(tǒng)服務(wù)那樣只是提供建議或電話支持�,而是直接操作你的設(shè)備進行響應(yīng)�����,并結(jié)合技術(shù)檢測和專家服務(wù)��,組成技術(shù)�����、專家和智能的閉環(huán)���。
5.2應(yīng)急響應(yīng)平臺
安全行業(yè)目前已經(jīng)有了很多平臺:漏洞平臺��、眾測平臺���、在線教育、威脅情報���、安全媒體……�,但是安全加固或應(yīng)急處置平臺目前業(yè)內(nèi)還沒有看到��,該平臺對漏洞修復(fù)���、常見事件處理提供有效的驗證過的處理方法���、處理流程、處理工具等��,可以大大提供維護人員的工作效率�����。我們也期待社區(qū)化模式的應(yīng)急響應(yīng)平臺的出現(xiàn)�����。
6.他山之石:國外公司相關(guān)廠商和系統(tǒng)介紹
近幾年,不斷涌現(xiàn)出異常行為和安全威脅分析的安全產(chǎn)品類別��,主要包括如下�。每個產(chǎn)品都從不同側(cè)面展現(xiàn)了異常行為分析的能力。
-
UEBA – User and Entity Behavior Analytics
-
CASB – Cloud Application Security Broker
-
DLP – Data Leakage Protection
-
EDR – Endpoint Detection and Response
-
SIEM – Security Information & Event Management
下面對三個典型的分析產(chǎn)品做簡要介紹��。(部分文字翻譯自廠商資料)
6.1思科-ETA“無需解密”的加密流量威脅發(fā)現(xiàn)
互聯(lián)網(wǎng)業(yè)務(wù)未來看加密一定會常態(tài)化�����,DPI�����、內(nèi)容識別的路子越來越窄�����。思科推出的ETA技術(shù)(Encrypted Traffic Analytics��,加密流量分析功能)��,通過安全研究人員研究了數(shù)百萬不同流量上惡意流量和良性流量使用TLS��、DNS和HTTP方面的差異�,提煉出惡意軟件最明顯的一系列流量特性,專門針對網(wǎng)絡(luò)流量中加密或隱蔽隧道中威脅識別�����,并最終形成了思科針對惡意軟件流量傳輸模型的Security Map�����。該方案通過收集來自全新Catalyst® 9000交換機和Cisco 4000系列集成多業(yè)務(wù)路由器的增強型NetFlow信息���,再與思科的高級安全分析能力進行組合��,ETA能夠幫助IT人員在無需解密的情況下找出加密流量中的惡意威脅���。
6.2Interset–基于終端的行為分析偵測威脅
interset公司主要專注內(nèi)部異常行為的檢測,為了降低誤報和去噪�,采用了異常行為的量化評價的方式進行呈現(xiàn);借助斯諾登的事件作為樣例��,interset提出的行為風(fēng)險分析的組成元素有:User成員�����、Activity事件、File資產(chǎn)/文件�����、Method方法
如圖4個組成元素(User成員��、Activity事件�、File資產(chǎn)/文件、Method方法)說明例子中的行為風(fēng)險是如何分析的, 詳細解釋如下:
User成員:斯諾登
組織中的每個成員(人�����、設(shè)備)都有一個風(fēng)險評分���,風(fēng)險分基于他們的角色���、連接的IP、被發(fā)現(xiàn)的行為�����,并計算進總風(fēng)險分���。成員的風(fēng)險分相互獨立�����,并根據(jù)他們的所做的事情的風(fēng)險和安全程度不斷上下浮動��。
Activity事件:復(fù)制數(shù)量異常巨大的文件
每個行為的得分根據(jù)往常歷史和基準(zhǔn)的不同而不同��。例如:根據(jù)歷史記錄�,斯諾登每天只復(fù)制幾MB數(shù)據(jù)�����,而不是當(dāng)前事件中的幾GB數(shù)據(jù)�。當(dāng)與以往基準(zhǔn)行為相比,出現(xiàn)高度異常時��,行為風(fēng)險部分得分會很高��。根據(jù)以往記錄(同一用戶與以前相比復(fù)制了過多的文件���,或用戶與組內(nèi)其他相同職位成員相比復(fù)制了過多的文件)�,基準(zhǔn)行為的得分是可計算的��。
File資產(chǎn)/文件:復(fù)制的是重要的文件
每個被復(fù)制的文件�����,根據(jù)對組織的重要程度、惡意外泄的影響��、文件所起的作用���、文件本身的脆弱性�����,都有一個風(fēng)險分���,并為總風(fēng)險分提供依據(jù)。
Method方法:外接USB設(shè)備
當(dāng)資產(chǎn)被轉(zhuǎn)移時�����,風(fēng)險分開始計算��,當(dāng)被轉(zhuǎn)移出公司認為是“安全區(qū)域”的地帶時�,風(fēng)險分增加。例如:如果USB上傳被認為是禁止或是不符合策略的���,行為風(fēng)險將被建模�。不同組織有不同的對待外部設(shè)備的策略,風(fēng)險分?jǐn)?shù)根據(jù)策略和可疑程度上下浮動���。根據(jù)這4個得分最終計算出總風(fēng)險�。
interset主要基于終端的信息收集�,通過數(shù)據(jù)分析引擎提供違規(guī)行為的安全告警。同時為常見的SOC���、SIEM平臺提供了API接口。
6.3Vectra–基于網(wǎng)絡(luò)流量的行為分析偵測威脅
Vectra的異常行為分析主要通過以下過程實現(xiàn)�����,基于網(wǎng)絡(luò)流量檢測���、注重可視化是該平臺非常明顯的一個特色���。
(一) 關(guān)鍵資產(chǎn)的識別:
通過分析內(nèi)部網(wǎng)絡(luò)流量,采用機器學(xué)習(xí)的方式自動化的識別組織內(nèi)的安全資產(chǎn)(設(shè)備)�,同時將組織內(nèi)的設(shè)備或資產(chǎn)顯示在一張邏輯圖上,很便利的看到設(shè)備之間的互聯(lián)關(guān)系�����。關(guān)鍵資產(chǎn)的識別主要基于幾個要素:可根據(jù)資產(chǎn)上存放的數(shù)據(jù)的重要性,同時考慮資產(chǎn)的使用者的重要性來確定是否是關(guān)鍵資產(chǎn)�����。比如關(guān)鍵員工和高管的筆記本就可以被標(biāo)記為關(guān)鍵資產(chǎn)��,在Vectra的產(chǎn)品界面上很容易進行資產(chǎn)標(biāo)記���。
(二) 異常行為的發(fā)現(xiàn):
該系統(tǒng)也可以檢測或識別出內(nèi)部用戶的端口掃描�、暗網(wǎng)掃描�、暴力破解等攻擊行為,如果是針對組織的關(guān)鍵資產(chǎn)所發(fā)起的攻擊行為�,這就可以當(dāng)作一個內(nèi)部威脅的重要標(biāo)識。比如一般內(nèi)部用戶不會直接訪問c&c服務(wù)器��,如果出現(xiàn)這些行為都代表內(nèi)部用戶確實出了問題�����。其產(chǎn)品針對不同的惡意行為通過不同的告警顏色進行標(biāo)識�。
(三) 數(shù)據(jù)盜取的追蹤:
vectra采用數(shù)據(jù)科學(xué)技術(shù)自動化的檢測網(wǎng)絡(luò)內(nèi)部用戶的數(shù)據(jù)的打包、偷取等行為���,機器學(xué)習(xí)能主動發(fā)現(xiàn)在堆積如山的數(shù)據(jù)中惡意的內(nèi)部人員���。偷取數(shù)據(jù)一般兩種途徑:內(nèi)部人員可能通過物理介質(zhì)比如USB設(shè)備偷取數(shù)據(jù)���,另一種常見的是通過網(wǎng)絡(luò)來偷取數(shù)據(jù),后一種可以通過檢測網(wǎng)絡(luò)流量中是否存在隱藏TUNNELS��、TOR活動�、staged hop等,如果存在這些情況基本可以判定發(fā)生了內(nèi)部的數(shù)據(jù)盜取威脅�,通過關(guān)聯(lián)分析,可以發(fā)現(xiàn)內(nèi)部人員數(shù)據(jù)偷取的整體行為視圖�。
7.結(jié)束語
-
被攻陷是難免的�����,安全能力應(yīng)從“防范”為主轉(zhuǎn)向“檢測和響應(yīng)”能力的構(gòu)建�,以威脅為中心,能快速發(fā)現(xiàn)威脅并及時處置確保最小化的損失或避免損失�。
-
未來安全的防護思路從“籬笆式”變成“獵人式”,不是被動的防御�����,而是主動的發(fā)現(xiàn)安全威脅并處置���。通過威脅情報結(jié)合異常行為分析�����,協(xié)同防御��。
-
安全是人和人的對抗��,和戰(zhàn)爭一樣�,最終拼的是資源。如何更有效的使用資源最關(guān)鍵��。通過發(fā)現(xiàn)異常行為�����,再逐步深入采用更高成本的流量分析��、沙箱執(zhí)行�����、人工介入等��,是更可行的一種安全防御思路。
-
信息安全的建設(shè)思路出發(fā)點是“止損”�����,能快速發(fā)現(xiàn)異常并及時處置確保最小化的損失�����。
云安全門戶 云安全運營中心 