信息來源:FreeBuf
1.前言
筆者做了多年的安全服務(wù),這幾年集中精力在做安全分析類引擎或產(chǎn)品,關(guān)于大數(shù)據(jù)時(shí)代信息安全的三點(diǎn)個(gè)人看法,作為引言。
(一) 聚焦細(xì)分市場,圍繞核心競爭力,合作的模式來做平臺(tái)。
大數(shù)據(jù)時(shí)代數(shù)據(jù)的采集、存儲(chǔ)、分析、呈現(xiàn)等等,很少有一家能完全做的了,通吃也真沒必要也沒能力,從細(xì)分看, 做采集的可能有集成商或服務(wù)商A來完成實(shí)施工作;做存儲(chǔ)的有擅長存儲(chǔ)的B來做;做分析層的需要有懂業(yè)務(wù)、了解安全的服務(wù)商C來完成,數(shù)據(jù)的呈現(xiàn)又是專門的團(tuán)隊(duì)或開發(fā)商D來做。做自己最擅長的,其他的找合作伙伴,能夠最快速的形成整體來滿足用戶的需求至關(guān)重要。市場競爭大部分時(shí)候拼的就是時(shí)間,天下武功唯快不破。
(二) 從關(guān)注“平臺(tái)”搭建到關(guān)注分析建模的“內(nèi)容”建設(shè)
航母是一個(gè)平臺(tái),自己不產(chǎn)生進(jìn)攻能力,讓航母上的艦載機(jī)具備強(qiáng)大進(jìn)攻能力。對信息安全行業(yè)依然如此。,“建平臺(tái)+補(bǔ)內(nèi)容”是國內(nèi)目前安全建設(shè)的基本路子。在網(wǎng)絡(luò)完成初期的平臺(tái)建設(shè)(數(shù)據(jù)的采集、集中存儲(chǔ))后一定會(huì)走向精耕細(xì)做的數(shù)據(jù)分析上來。用戶越來越務(wù)實(shí),數(shù)據(jù)分析建模越來越重要,“內(nèi)容”會(huì)成為新焦點(diǎn),“平臺(tái)”因“內(nèi)容”而產(chǎn)生價(jià)值。
(三) 安全能力從“防范”為主轉(zhuǎn)向“檢測和響應(yīng)”的能力構(gòu)建
安全是對抗,不可能完全防范,單純的防御措施無法阻止蓄意的攻擊者,這已經(jīng)是大家都認(rèn)同的事實(shí)。gartner的自適應(yīng)安全架構(gòu)也提到了檢測、預(yù)警、響應(yīng)的重要性。Gartner預(yù)測到2020年,防范措施將不再重要,關(guān)鍵是監(jiān)控和情報(bào),60%的安全預(yù)算會(huì)投入到檢測和響應(yīng)中。
安全行業(yè)這兩年來,思維模式已經(jīng)從單純強(qiáng)調(diào)防護(hù),轉(zhuǎn)變到注重預(yù)警、檢測、響應(yīng)的格局,安全能力從“防范”為主轉(zhuǎn)向“快速檢測和響應(yīng)能力”的構(gòu)建,實(shí)時(shí)防御將以威脅為中心,它不再強(qiáng)調(diào)單點(diǎn)的檢測,也不再單純的追求告警的精確性,而是將若干的點(diǎn)關(guān)聯(lián)起來,以數(shù)據(jù)為驅(qū)動(dòng)來解決問題。
筆者將以威脅為中心的信息安全能力建設(shè)問題總結(jié)為以下四句話,并進(jìn)行詳細(xì)闡述。
1. 全面感知是基礎(chǔ)
2. 異常行為是線索
3. 分析能力是關(guān)鍵
4. 響應(yīng)處置是根本
2.全面感知是基礎(chǔ)
2.1 數(shù)據(jù)源
沒有數(shù)據(jù),類似無米之炊,數(shù)據(jù)源的完備才能夠真正的實(shí)現(xiàn)異常行為分析。數(shù)據(jù)源不僅對傳統(tǒng)的安全日志進(jìn)行收集處理、更可將收集的范圍擴(kuò)充至業(yè)務(wù)數(shù)據(jù)、運(yùn)維數(shù)據(jù)甚至用戶數(shù)據(jù),涉及的對象包括日志、流量、內(nèi)容、系統(tǒng)狀態(tài)等。
-
IAM在這里是很重要的一個(gè)數(shù)據(jù)源,必須與人關(guān)聯(lián),分析才更有效果。
-
業(yè)務(wù)日志是數(shù)據(jù)源很關(guān)鍵的一部分,可以通過業(yè)務(wù)日志的綜合分析,發(fā)現(xiàn)業(yè)務(wù)層面的違規(guī)異常行為,用戶首先關(guān)注業(yè)務(wù)安全。
2.2感知能力
企業(yè)需要從事件驅(qū)使型(被動(dòng))感知,向情報(bào)引導(dǎo)及風(fēng)險(xiǎn)驅(qū)使型(主動(dòng))感知轉(zhuǎn)變。
1. 被動(dòng)感知
被動(dòng)感知主要指傳統(tǒng)的被動(dòng)檢測方式:各種IPS\IDS\APT等流量監(jiān)測產(chǎn)品的報(bào)警,或者來自第三方的通報(bào)(如:行業(yè)主管或者國家監(jiān)管部門),了解我們網(wǎng)絡(luò)中發(fā)生的威脅。
2. 主動(dòng)感知
主動(dòng)安全不是說直接攻擊對手,而是在攻擊者有攻擊企圖的早期就能預(yù)警到,并進(jìn)行主動(dòng)探測,并能及時(shí)采取action。威脅情報(bào)分析,實(shí)質(zhì)也就是挖掘整體黑色產(chǎn)業(yè)鏈,主動(dòng)的監(jiān)控、切斷相關(guān)環(huán)節(jié),并對惡意工具的制作者、攻擊者、賣家買家等進(jìn)行查出,從而達(dá)到主動(dòng)防御的效果。
下面用表格方式展示常見“主動(dòng)”、“被動(dòng)”技術(shù)手段的輸入輸出。
2.3感知維度
要想全面的感知安全威脅,我們從三個(gè)維度來看:
1. 在外部看外部
有些安全風(fēng)險(xiǎn)或外部威脅,即便企業(yè)從內(nèi)部做再多的數(shù)據(jù)監(jiān)控都無法發(fā)現(xiàn)這一部分。比如偽基站、撞庫攻擊、Github信息泄露、釣魚等等。對于這類威脅或者信息泄漏,我們必須在外部看外部,利用網(wǎng)絡(luò)技術(shù)在各知名安全情報(bào)平臺(tái)收集最新的威脅信息才能實(shí)現(xiàn),一些知名網(wǎng)站補(bǔ)天、Whois、安全人員的社交圈如Twitter、微博、技術(shù)博客、以及開源的情報(bào)站點(diǎn)alexa.com、malwaredomains.com、blocklist.de、openphish.com、isc.sans.edu等,都是收集威脅或風(fēng)險(xiǎn)信息的好渠道。
2. 從外部看內(nèi)部暴露面
企業(yè)到底有哪些設(shè)備/應(yīng)用暴露在互聯(lián)網(wǎng)?都是什么樣設(shè)備/應(yīng)用?這些設(shè)備/應(yīng)用處于什么狀態(tài)?它們開放了那些端口,提供了哪些服務(wù)?這些設(shè)備/應(yīng)用現(xiàn)在存在哪些風(fēng)險(xiǎn)?暴露面越大風(fēng)險(xiǎn)就越大。這些都需要從互聯(lián)網(wǎng)側(cè)對內(nèi)部進(jìn)行測試探知。目前業(yè)內(nèi)很熱的網(wǎng)站安全監(jiān)控系統(tǒng)其實(shí)就是類似的一種方式,包括網(wǎng)站的可用性測試、漏洞測試、頁面篡改、非法內(nèi)容測試等都是這種方式。
3. 在內(nèi)部看內(nèi)部
內(nèi)部的威脅感知也非常重要,目前業(yè)內(nèi)的安全威脅檢測系統(tǒng)通過自動(dòng)探測網(wǎng)絡(luò)流量或系統(tǒng)數(shù)據(jù)發(fā)現(xiàn)可能涉及的潛在入侵、攻擊和濫用的安全威脅。大量的UEBA類產(chǎn)品出現(xiàn),也是對內(nèi)部用戶行為感知的重要手段,合法的人干非法的事能及時(shí)發(fā)現(xiàn)至關(guān)重要。
3.異常行為是線索
3.1異常行為表達(dá)模型
用戶的異常業(yè)務(wù)行為復(fù)雜多樣,以下列舉了常見的幾種:
-
用戶的業(yè)務(wù)違規(guī)行為:包括惡意業(yè)務(wù)訂購、業(yè)務(wù)只查詢不辦理、高頻業(yè)務(wù)訪問、業(yè)務(wù)繞行等等都是需要關(guān)注的點(diǎn)。
-
內(nèi)部人員的異常行為:比如斯諾登經(jīng)常要同事的帳號(hào)訪問系統(tǒng),斯諾登可能比一般員工更多的訪問了核心服務(wù)器,斯諾登可能短時(shí)間內(nèi)打包了很多的敏感數(shù)據(jù)等。
-
某個(gè)用戶突然有一天接收了大量的歷史郵件。(接收過的郵件一般用戶都不會(huì)再看,這次異常是用戶自己操作的嗎?)
-
終端用戶行為歷史。如A部門用戶每天平均訪問220次關(guān)鍵數(shù)據(jù),某一天突然訪問次數(shù)超過500次。
-
某用戶使用壓縮軟件RAR打包大量敏感數(shù)據(jù)、使用USB設(shè)備中密集大量拷貝敏感數(shù)據(jù)、用戶或設(shè)備頻繁外發(fā)加密文件、從內(nèi)部服務(wù)器下載大量表單等數(shù)據(jù)、大量訪問惡意URL的請求等這些異常行為都有可能表示該用戶在有意或無意(被控)的做一些破壞性事務(wù)。
所有的行為,我們都可以通過5W1H(WWWWWH)模型進(jìn)行抽樣表示。這里稱作5W1H行為分析模型。
-
Who(行為執(zhí)行者):指操作行為的執(zhí)行者,包含用戶名、主從帳號(hào)、人員組織結(jié)構(gòu)(主帳號(hào)組織)、業(yè)務(wù)組織結(jié)構(gòu)(從帳號(hào)組織)等信息。
-
When(在什么時(shí)間):行為發(fā)生的時(shí)間或時(shí)間段。
-
Where(在什么地點(diǎn)):行為發(fā)生地點(diǎn),包括IP地址、網(wǎng)段、地域。
-
What(對哪些事物):行為操作對象或內(nèi)容。包含資源、對象等(安全資產(chǎn)): 資源:應(yīng)用、主機(jī)、數(shù)據(jù)庫、網(wǎng)絡(luò)與安全 設(shè)備等;對象:數(shù)據(jù)庫表、文件、模塊、菜單、配置等
-
How(做了些什么):所執(zhí)行的行為操作,包括登錄、認(rèn)證、帳號(hào)與授權(quán)、敏感數(shù)據(jù)操作、關(guān)鍵操作(增加、刪除、修改、查詢、下載)等。包括主機(jī)類操作、數(shù)據(jù)庫類操作、網(wǎng)絡(luò)安全類操作、應(yīng)用類操作。
-
Why(為什么做):行為操作憑據(jù),主要是指行為操作的工單等依據(jù)。
3.2凡走過必留痕跡
線索是未知威脅留下的痕跡,是入侵造成的異常。如果你發(fā)現(xiàn)一個(gè)異常,無論是惡意域名或疑似木馬,還是疑似盜取數(shù)據(jù)的行為,那么你就有了一個(gè)起始點(diǎn),也許這時(shí)候你并不知道面對的是什么樣的威脅,或者根本就不是威脅,但至少可以深入調(diào)查。如果線索質(zhì)量高,十有八九你真能很快定位一次入侵。
筆者經(jīng)歷過多次的信息安全事件,其實(shí)并不是每個(gè)安全事件都能找到最后的原因,更不用說追蹤到攻擊者或惡意行為者。多年前曾處理過一個(gè)安全事故:用戶的系統(tǒng)一天出現(xiàn)了30多萬的國際長途電話費(fèi)用,最后組織各方力量也未能查到到底誰干的,懷疑可能是內(nèi)部開發(fā)人員在代碼中潛入了撥打的代碼,并能在某個(gè)時(shí)間觸發(fā)。其實(shí)每次事件的追查成本都是很高的,異常行為發(fā)現(xiàn)就是很好的止損的一種思路,比如銀行的ATM取款機(jī)每天只能取走2萬現(xiàn)金,這些看似很簡單的限制其實(shí)作用非常大。比如某單位每天的國際話費(fèi)門檻為1萬,超過就告警。
外部攻擊者進(jìn)入內(nèi)網(wǎng)后,到最后偷取數(shù)據(jù),中間是要進(jìn)行很多的所謂“活動(dòng)”,其行為一定會(huì)有區(qū)別與正常的用戶行為,他一定會(huì)到處找目標(biāo),可能會(huì)東張四望,可能訪問不該訪問的地方,可能越權(quán)去做不該做的操作,可能以同一身份通過不同設(shè)備登錄。這種行為稱為攻擊者的“內(nèi)部潛行”(lateral movement)。高明的攻擊者在進(jìn)入內(nèi)網(wǎng)后,都傾向偽裝成合法用戶的身份去做一些非法的事情。如何通過異常能發(fā)現(xiàn)披著羊皮的狼就很關(guān)鍵了。如果說“基于特征匹配的檢測防范了已知威脅”、基于“虛擬執(zhí)行的檢測阻止了未知惡意代碼進(jìn)入系統(tǒng)內(nèi)部”,那么對于已經(jīng)滲透進(jìn)入系統(tǒng)內(nèi)部的攻擊者而言,“異常行為檢測成為了識(shí)別該類威脅的唯一機(jī)會(huì)”。
大家現(xiàn)在樂于說信息安全看見(visibility )的能力很重要,要知己知彼,其實(shí)異常行為是最關(guān)鍵的一條安全線索。先能看見,才能做好后續(xù)的風(fēng)險(xiǎn)控制。
3.3凡尋找的必能找到
在實(shí)際的工作過程中,我們可以設(shè)定一些異常行為的場景,并通過自動(dòng)化的手段進(jìn)行異常發(fā)現(xiàn)。下面列舉幾個(gè)典型的異常行為場景:
1) 異常情境:異常資產(chǎn)的發(fā)現(xiàn)
可以通過對網(wǎng)絡(luò)互聯(lián)關(guān)系的全面監(jiān)控, 捕捉每一條互聯(lián)關(guān)系并生成紀(jì)錄,對任何非法在線的入網(wǎng)設(shè)備哪怕只要在線進(jìn)行一次連接動(dòng)作,就一定能夠發(fā)現(xiàn)并對非法設(shè)備的連接行為進(jìn)行取證。同時(shí)對系統(tǒng)中有網(wǎng)絡(luò)信息變動(dòng)的設(shè)備也可以第一時(shí)間發(fā)現(xiàn)。
2) 異常情境:用戶的異常登錄
用戶登錄異常行為一般包括:異常時(shí)間、異常IP、多IP登錄、非個(gè)人用戶帳號(hào)登錄、頻繁登錄失敗等。登錄異常行為同時(shí)也包括共享賬戶行為,比如一個(gè)賬號(hào)短時(shí)間更換IP登陸,一個(gè)IP登陸了多個(gè)賬號(hào)等。同時(shí)要包括設(shè)備指紋的識(shí)別,比如用戶登錄的終端忽然換了瀏覽器(是別人冒名登錄還是用戶重新使用了新的設(shè)備?)。
下圖顯示了異常登錄的分析模型,主要的分析參數(shù)包括設(shè)備指紋、登錄IP地址、是否為代理、登錄時(shí)間、用戶屬性以及是否黑名單等。
3) 異常情境:敏感數(shù)據(jù)異常訪問
大多數(shù)用戶的日常行為是可預(yù)測的,每天的日常活動(dòng)都差不多。惡意的內(nèi)部人員在偷盜數(shù)據(jù)或搞破壞前一定有異常的行為。對于可疑的員工連接關(guān)鍵資產(chǎn)一定要引起足夠重視。這種異常通常未必是一個(gè)確定的違規(guī)行為,但它可以作為重要的調(diào)查信息。
下圖為同一賬戶非授權(quán)訪問敏感數(shù)據(jù)的分析模型:
4) 異常情境:木馬C&C隱蔽通道檢測
針對新型木馬不斷出現(xiàn),基于特征檢測的方法無法有效檢測特征庫之外的木馬的缺點(diǎn),我們可以采用基于木馬流量行為特征的木馬檢測方法。其優(yōu)勢在于可以檢測新型未知木馬,無需依賴木馬特征庫工作,提高了新型木馬檢測的時(shí)效性。
5) 異常情境:異常的網(wǎng)絡(luò)行為
采用統(tǒng)計(jì)分析的方式,也可以發(fā)現(xiàn)一些異常行為,比如從抓取的大量的流量數(shù)據(jù)中,總結(jié)出“正常應(yīng)用”的數(shù)據(jù)流量特征,就容易發(fā)現(xiàn)“異常流量”,同時(shí)再進(jìn)一步對異常流量涉及的IP進(jìn)行重點(diǎn)分析,發(fā)現(xiàn)攻擊行為。異常的網(wǎng)絡(luò)行為包括:異常的域名或IP訪問、異常的訪問流量、異常的訪問端口、異常的連接時(shí)間,異常的連接頻度,異常的協(xié)議傳輸?shù)取?
6) 行為序列分析
很多場景下,單個(gè)的行為都是正常的,但是行為序列化分析,就會(huì)發(fā)現(xiàn)為異常行為。比如:某木馬的被控端工作的時(shí)候,會(huì)自動(dòng)向控制端的80端口發(fā)起連接,通過正常的http協(xié)議獲取驗(yàn)證文件,以驗(yàn)證控制端的有效性;如果驗(yàn)證文件獲取成功,木馬會(huì)連接控制端的一個(gè)自定義端口,使用加密協(xié)議接受控制端的控制。這個(gè)連接過程,80端口的連接和內(nèi)容都是正常的;而自定義端口是隨機(jī)的、協(xié)議是未知的并且連接內(nèi)容是加密的,單獨(dú)用那一個(gè)連接,都無法通過特征匹配的方法來判斷出木馬。而把兩個(gè)行為放在一起分析,獲得行為序列的綜合特征。
4.分析能力是關(guān)鍵
安全分析員需要的是線索,線索只能代表相關(guān)性,而不是確定性,異常行為就是信息安全的一條重要線索。工作在第一線的技術(shù)人員,卻往往在發(fā)現(xiàn)可疑線索后,限于對線索研判的可信原始數(shù)據(jù)支持的條件制約,很難實(shí)現(xiàn)對其事件定性及線索回查,處于被動(dòng)防御的局面。如何能夠化被動(dòng)防御為主動(dòng)防御,異常行為的鉆取、關(guān)聯(lián)、挖掘非常重要,通過分析將一連串的線索穿起來,由點(diǎn)及面進(jìn)而逼近真相。舉個(gè)例子:從可疑IP、關(guān)聯(lián)到訪問的用戶,從可疑的用戶關(guān)聯(lián)到其使用應(yīng)用、數(shù)據(jù)庫或相關(guān)敏感文件等,以時(shí)間維度,確定出惡意行為的行為序列,進(jìn)一步可進(jìn)行相關(guān)的責(zé)任界定等。
4.1安全分析團(tuán)隊(duì)
在整個(gè)短缺的人才中,安全分析師是首當(dāng)其沖的。安全分析是要解讀報(bào)警、針對相關(guān)數(shù)據(jù)分析和調(diào)查,并確定事件是否需要進(jìn)一步升級(jí),分析師還可能參與事件響應(yīng)過程或者其它任務(wù)(如:主機(jī)取證或者惡意軟件分析等)。安全分析需要三個(gè)學(xué)科的交叉:安全技能(這里不是“黑客”,是安全攻防技術(shù)),對業(yè)務(wù)的深入理解,以及數(shù)學(xué)和統(tǒng)計(jì)(包括應(yīng)用數(shù)據(jù)分析工具)。現(xiàn)在的大數(shù)據(jù)安全分析很難,主要是同時(shí)具備這三部分能力的團(tuán)隊(duì)太少。通過協(xié)同合作可以來解決這些問題。安全攻防知識(shí)是基礎(chǔ),對業(yè)務(wù)和數(shù)據(jù)的深入理解才是根本。
4.2安全分析平臺(tái)
一個(gè)好的安全分析師,需要依托一個(gè)良好的安全分析平臺(tái)才能事半功倍,好的安全你分析平臺(tái)需要具備以下因素:
-
分析能力引擎化:國際著名的splunk分析平臺(tái),其自身也有一款安全產(chǎn)品,名字叫做Splunk App For Enterprise Security,主要就是通過社區(qū)模式打造的安全分析插件共享平臺(tái)。分析人員的分析能力引擎化才能更好的協(xié)助分析師進(jìn)行安全分析工作。
-
結(jié)合外部威脅情報(bào):分析平臺(tái)最好可以集中多個(gè)來源的情報(bào)數(shù)據(jù)。實(shí)現(xiàn)對其事件定性及線索反查與線索擴(kuò)展以及對攻擊事態(tài)第一時(shí)間發(fā)現(xiàn)感知。威脅情報(bào)庫一般包括惡意程序樣本庫、惡意程序分析報(bào)告庫、惡意URL庫、黑白域名庫、黑白IP庫、攻擊行為特征庫、WHOIS信息庫、漏洞庫等數(shù)據(jù)支撐庫,并通過數(shù)據(jù)挖掘與分析技術(shù)挖掘統(tǒng)一威脅線索,為安全專家定位網(wǎng)絡(luò)攻擊提供事實(shí)依據(jù)
-
社區(qū)化,建立生態(tài):我們必須依靠協(xié)同、集體的力量才能更有效的發(fā)現(xiàn)威脅,可以通過社區(qū)的方式大家來共享分析插件,無社區(qū)不生命。2016年RSA的創(chuàng)新沙盒第一名,Phantom平臺(tái)采用社區(qū)模式,通過接入第三方安全設(shè)備或服務(wù)實(shí)現(xiàn)平臺(tái)的擴(kuò)展性。安全設(shè)備或服務(wù)接入是通過定制Phantom App實(shí)現(xiàn)的。Phantom Apps基于Python語言開發(fā),允許社區(qū)內(nèi)的任何人分享數(shù)據(jù)信息來擴(kuò)展平臺(tái)的能力,也允許在App
store中分享自定義的Apps。
-
可視化呈現(xiàn):這里就不多闡述,可視化確實(shí)能是分析人員的工作效率提高很多。
5. 響應(yīng)處置是根本
5.1自動(dòng)化能力,關(guān)注效率
自動(dòng)化安全運(yùn)維市場潛力巨大?,F(xiàn)在安全人員的工作強(qiáng)度和壓力非常之高,能降低工作量并提高效率的產(chǎn)品肯定會(huì)廣受歡迎。我們從實(shí)際場景來看一起自動(dòng)化運(yùn)維的例子。發(fā)現(xiàn)一起可以攻擊或可以事件,我們一般有兩條線可以往下延伸,1)攻擊側(cè)的深挖:可以自動(dòng)化的通過TI(威脅情報(bào)平臺(tái)),對攻擊源進(jìn)行關(guān)聯(lián)分析,對攻擊者、攻擊手法等進(jìn)行畫像。甚至可以開啟自動(dòng)化的端口掃描對源地址進(jìn)行信息探測,進(jìn)行更深入的分析。2)受害側(cè)的處置:自動(dòng)化的關(guān)聯(lián)漏洞掃描系統(tǒng),對被攻擊者進(jìn)行掃描,根據(jù)掃描結(jié)果關(guān)聯(lián)到應(yīng)急響應(yīng)平臺(tái),獲取漏洞的處置方式并進(jìn)行相關(guān)漏洞修復(fù)或執(zhí)行自動(dòng)化的訪問控制措施等。最后再通過檢測系統(tǒng)對漏洞處置的結(jié)果進(jìn)行返回確認(rèn)。
沒有action的威脅情報(bào),只會(huì)徒增安全管理員的煩惱和痛苦。大部分的用戶可以采用自建運(yùn)營團(tuán)隊(duì)或外部服務(wù)的方式來進(jìn)行威脅的應(yīng)對和處置。FireEye提出了FireEye-As-A-Service的概念,并在近期重點(diǎn)宣傳。和FireEye之前服務(wù)最大的不同就是FireEye的技術(shù)人員將7×24小時(shí)地監(jiān)控你的FireEye系統(tǒng),一旦發(fā)現(xiàn)威脅,F(xiàn)ireEye的人員將不再像傳統(tǒng)服務(wù)那樣只是提供建議或電話支持,而是直接操作你的設(shè)備進(jìn)行響應(yīng),并結(jié)合技術(shù)檢測和專家服務(wù),組成技術(shù)、專家和智能的閉環(huán)。
5.2應(yīng)急響應(yīng)平臺(tái)
安全行業(yè)目前已經(jīng)有了很多平臺(tái):漏洞平臺(tái)、眾測平臺(tái)、在線教育、威脅情報(bào)、安全媒體……,但是安全加固或應(yīng)急處置平臺(tái)目前業(yè)內(nèi)還沒有看到,該平臺(tái)對漏洞修復(fù)、常見事件處理提供有效的驗(yàn)證過的處理方法、處理流程、處理工具等,可以大大提供維護(hù)人員的工作效率。我們也期待社區(qū)化模式的應(yīng)急響應(yīng)平臺(tái)的出現(xiàn)。
6.他山之石:國外公司相關(guān)廠商和系統(tǒng)介紹
近幾年,不斷涌現(xiàn)出異常行為和安全威脅分析的安全產(chǎn)品類別,主要包括如下。每個(gè)產(chǎn)品都從不同側(cè)面展現(xiàn)了異常行為分析的能力。
-
UEBA – User and Entity Behavior Analytics
-
CASB – Cloud Application Security Broker
-
DLP – Data Leakage Protection
-
EDR – Endpoint Detection and Response
-
SIEM – Security Information & Event Management
下面對三個(gè)典型的分析產(chǎn)品做簡要介紹。(部分文字翻譯自廠商資料)
6.1思科-ETA“無需解密”的加密流量威脅發(fā)現(xiàn)
互聯(lián)網(wǎng)業(yè)務(wù)未來看加密一定會(huì)常態(tài)化,DPI、內(nèi)容識(shí)別的路子越來越窄。思科推出的ETA技術(shù)(Encrypted Traffic Analytics,加密流量分析功能),通過安全研究人員研究了數(shù)百萬不同流量上惡意流量和良性流量使用TLS、DNS和HTTP方面的差異,提煉出惡意軟件最明顯的一系列流量特性,專門針對網(wǎng)絡(luò)流量中加密或隱蔽隧道中威脅識(shí)別,并最終形成了思科針對惡意軟件流量傳輸模型的Security Map。該方案通過收集來自全新Catalyst® 9000交換機(jī)和Cisco 4000系列集成多業(yè)務(wù)路由器的增強(qiáng)型NetFlow信息,再與思科的高級(jí)安全分析能力進(jìn)行組合,ETA能夠幫助IT人員在無需解密的情況下找出加密流量中的惡意威脅。
6.2Interset–基于終端的行為分析偵測威脅
interset公司主要專注內(nèi)部異常行為的檢測,為了降低誤報(bào)和去噪,采用了異常行為的量化評價(jià)的方式進(jìn)行呈現(xiàn);借助斯諾登的事件作為樣例,interset提出的行為風(fēng)險(xiǎn)分析的組成元素有:User成員、Activity事件、File資產(chǎn)/文件、Method方法
如圖4個(gè)組成元素(User成員、Activity事件、File資產(chǎn)/文件、Method方法)說明例子中的行為風(fēng)險(xiǎn)是如何分析的, 詳細(xì)解釋如下:
User成員:斯諾登
組織中的每個(gè)成員(人、設(shè)備)都有一個(gè)風(fēng)險(xiǎn)評分,風(fēng)險(xiǎn)分基于他們的角色、連接的IP、被發(fā)現(xiàn)的行為,并計(jì)算進(jìn)總風(fēng)險(xiǎn)分。成員的風(fēng)險(xiǎn)分相互獨(dú)立,并根據(jù)他們的所做的事情的風(fēng)險(xiǎn)和安全程度不斷上下浮動(dòng)。
Activity事件:復(fù)制數(shù)量異常巨大的文件
每個(gè)行為的得分根據(jù)往常歷史和基準(zhǔn)的不同而不同。例如:根據(jù)歷史記錄,斯諾登每天只復(fù)制幾MB數(shù)據(jù),而不是當(dāng)前事件中的幾GB數(shù)據(jù)。當(dāng)與以往基準(zhǔn)行為相比,出現(xiàn)高度異常時(shí),行為風(fēng)險(xiǎn)部分得分會(huì)很高。根據(jù)以往記錄(同一用戶與以前相比復(fù)制了過多的文件,或用戶與組內(nèi)其他相同職位成員相比復(fù)制了過多的文件),基準(zhǔn)行為的得分是可計(jì)算的。
File資產(chǎn)/文件:復(fù)制的是重要的文件
每個(gè)被復(fù)制的文件,根據(jù)對組織的重要程度、惡意外泄的影響、文件所起的作用、文件本身的脆弱性,都有一個(gè)風(fēng)險(xiǎn)分,并為總風(fēng)險(xiǎn)分提供依據(jù)。
Method方法:外接USB設(shè)備
當(dāng)資產(chǎn)被轉(zhuǎn)移時(shí),風(fēng)險(xiǎn)分開始計(jì)算,當(dāng)被轉(zhuǎn)移出公司認(rèn)為是“安全區(qū)域”的地帶時(shí),風(fēng)險(xiǎn)分增加。例如:如果USB上傳被認(rèn)為是禁止或是不符合策略的,行為風(fēng)險(xiǎn)將被建模。不同組織有不同的對待外部設(shè)備的策略,風(fēng)險(xiǎn)分?jǐn)?shù)根據(jù)策略和可疑程度上下浮動(dòng)。根據(jù)這4個(gè)得分最終計(jì)算出總風(fēng)險(xiǎn)。
interset主要基于終端的信息收集,通過數(shù)據(jù)分析引擎提供違規(guī)行為的安全告警。同時(shí)為常見的SOC、SIEM平臺(tái)提供了API接口。
6.3Vectra–基于網(wǎng)絡(luò)流量的行為分析偵測威脅
Vectra的異常行為分析主要通過以下過程實(shí)現(xiàn),基于網(wǎng)絡(luò)流量檢測、注重可視化是該平臺(tái)非常明顯的一個(gè)特色。
(一) 關(guān)鍵資產(chǎn)的識(shí)別:
通過分析內(nèi)部網(wǎng)絡(luò)流量,采用機(jī)器學(xué)習(xí)的方式自動(dòng)化的識(shí)別組織內(nèi)的安全資產(chǎn)(設(shè)備),同時(shí)將組織內(nèi)的設(shè)備或資產(chǎn)顯示在一張邏輯圖上,很便利的看到設(shè)備之間的互聯(lián)關(guān)系。關(guān)鍵資產(chǎn)的識(shí)別主要基于幾個(gè)要素:可根據(jù)資產(chǎn)上存放的數(shù)據(jù)的重要性,同時(shí)考慮資產(chǎn)的使用者的重要性來確定是否是關(guān)鍵資產(chǎn)。比如關(guān)鍵員工和高管的筆記本就可以被標(biāo)記為關(guān)鍵資產(chǎn),在Vectra的產(chǎn)品界面上很容易進(jìn)行資產(chǎn)標(biāo)記。
(二) 異常行為的發(fā)現(xiàn):
該系統(tǒng)也可以檢測或識(shí)別出內(nèi)部用戶的端口掃描、暗網(wǎng)掃描、暴力破解等攻擊行為,如果是針對組織的關(guān)鍵資產(chǎn)所發(fā)起的攻擊行為,這就可以當(dāng)作一個(gè)內(nèi)部威脅的重要標(biāo)識(shí)。比如一般內(nèi)部用戶不會(huì)直接訪問c&c服務(wù)器,如果出現(xiàn)這些行為都代表內(nèi)部用戶確實(shí)出了問題。其產(chǎn)品針對不同的惡意行為通過不同的告警顏色進(jìn)行標(biāo)識(shí)。
(三) 數(shù)據(jù)盜取的追蹤:
vectra采用數(shù)據(jù)科學(xué)技術(shù)自動(dòng)化的檢測網(wǎng)絡(luò)內(nèi)部用戶的數(shù)據(jù)的打包、偷取等行為,機(jī)器學(xué)習(xí)能主動(dòng)發(fā)現(xiàn)在堆積如山的數(shù)據(jù)中惡意的內(nèi)部人員。偷取數(shù)據(jù)一般兩種途徑:內(nèi)部人員可能通過物理介質(zhì)比如USB設(shè)備偷取數(shù)據(jù),另一種常見的是通過網(wǎng)絡(luò)來偷取數(shù)據(jù),后一種可以通過檢測網(wǎng)絡(luò)流量中是否存在隱藏TUNNELS、TOR活動(dòng)、staged hop等,如果存在這些情況基本可以判定發(fā)生了內(nèi)部的數(shù)據(jù)盜取威脅,通過關(guān)聯(lián)分析,可以發(fā)現(xiàn)內(nèi)部人員數(shù)據(jù)偷取的整體行為視圖。
7.結(jié)束語
-
被攻陷是難免的,安全能力應(yīng)從“防范”為主轉(zhuǎn)向“檢測和響應(yīng)”能力的構(gòu)建,以威脅為中心,能快速發(fā)現(xiàn)威脅并及時(shí)處置確保最小化的損失或避免損失。
-
未來安全的防護(hù)思路從“籬笆式”變成“獵人式”,不是被動(dòng)的防御,而是主動(dòng)的發(fā)現(xiàn)安全威脅并處置。通過威脅情報(bào)結(jié)合異常行為分析,協(xié)同防御。
-
安全是人和人的對抗,和戰(zhàn)爭一樣,最終拼的是資源。如何更有效的使用資源最關(guān)鍵。通過發(fā)現(xiàn)異常行為,再逐步深入采用更高成本的流量分析、沙箱執(zhí)行、人工介入等,是更可行的一種安全防御思路。
-
信息安全的建設(shè)思路出發(fā)點(diǎn)是“止損”,能快速發(fā)現(xiàn)異常并及時(shí)處置確保最小化的損失。