信息來(lái)源:FreeBuf
1.前言
筆者做了多年的安全服務(wù)���,這幾年集中精力在做安全分析類引擎或產(chǎn)品,關(guān)于大數(shù)據(jù)時(shí)代信息安全的三點(diǎn)個(gè)人看法����,作為引言����。
(一) 聚焦細(xì)分市場(chǎng),圍繞核心競(jìng)爭(zhēng)力���,合作的模式來(lái)做平臺(tái)��。
大數(shù)據(jù)時(shí)代數(shù)據(jù)的采集����、存儲(chǔ)����、分析����、呈現(xiàn)等等�,很少有一家能完全做的了,通吃也真沒(méi)必要也沒(méi)能力����,從細(xì)分看, 做采集的可能有集成商或服務(wù)商A來(lái)完成實(shí)施工作�����;做存儲(chǔ)的有擅長(zhǎng)存儲(chǔ)的B來(lái)做����;做分析層的需要有懂業(yè)務(wù)、了解安全的服務(wù)商C來(lái)完成����,數(shù)據(jù)的呈現(xiàn)又是專門的團(tuán)隊(duì)或開(kāi)發(fā)商D來(lái)做。做自己最擅長(zhǎng)的���,其他的找合作伙伴�,能夠最快速的形成整體來(lái)滿足用戶的需求至關(guān)重要。市場(chǎng)競(jìng)爭(zhēng)大部分時(shí)候拼的就是時(shí)間��,天下武功唯快不破���。
(二) 從關(guān)注“平臺(tái)”搭建到關(guān)注分析建模的“內(nèi)容”建設(shè)
航母是一個(gè)平臺(tái)���,自己不產(chǎn)生進(jìn)攻能力,讓航母上的艦載機(jī)具備強(qiáng)大進(jìn)攻能力��。對(duì)信息安全行業(yè)依然如此�。,“建平臺(tái)+補(bǔ)內(nèi)容”是國(guó)內(nèi)目前安全建設(shè)的基本路子��。在網(wǎng)絡(luò)完成初期的平臺(tái)建設(shè)(數(shù)據(jù)的采集����、集中存儲(chǔ))后一定會(huì)走向精耕細(xì)做的數(shù)據(jù)分析上來(lái)�����。用戶越來(lái)越務(wù)實(shí)�,數(shù)據(jù)分析建模越來(lái)越重要,“內(nèi)容”會(huì)成為新焦點(diǎn)�,“平臺(tái)”因“內(nèi)容”而產(chǎn)生價(jià)值。
(三) 安全能力從“防范”為主轉(zhuǎn)向“檢測(cè)和響應(yīng)”的能力構(gòu)建
安全是對(duì)抗,不可能完全防范�����,單純的防御措施無(wú)法阻止蓄意的攻擊者����,這已經(jīng)是大家都認(rèn)同的事實(shí)。gartner的自適應(yīng)安全架構(gòu)也提到了檢測(cè)�����、預(yù)警�����、響應(yīng)的重要性�����。Gartner預(yù)測(cè)到2020年���,防范措施將不再重要�����,關(guān)鍵是監(jiān)控和情報(bào)�����,60%的安全預(yù)算會(huì)投入到檢測(cè)和響應(yīng)中��。
安全行業(yè)這兩年來(lái)����,思維模式已經(jīng)從單純強(qiáng)調(diào)防護(hù),轉(zhuǎn)變到注重預(yù)警�����、檢測(cè)�����、響應(yīng)的格局�����,安全能力從“防范”為主轉(zhuǎn)向“快速檢測(cè)和響應(yīng)能力”的構(gòu)建����,實(shí)時(shí)防御將以威脅為中心,它不再?gòu)?qiáng)調(diào)單點(diǎn)的檢測(cè)��,也不再單純的追求告警的精確性�,而是將若干的點(diǎn)關(guān)聯(lián)起來(lái),以數(shù)據(jù)為驅(qū)動(dòng)來(lái)解決問(wèn)題��。
筆者將以威脅為中心的信息安全能力建設(shè)問(wèn)題總結(jié)為以下四句話�����,并進(jìn)行詳細(xì)闡述����。
1. 全面感知是基礎(chǔ)
2. 異常行為是線索
3. 分析能力是關(guān)鍵
4. 響應(yīng)處置是根本
2.全面感知是基礎(chǔ)
2.1 數(shù)據(jù)源
沒(méi)有數(shù)據(jù),類似無(wú)米之炊��,數(shù)據(jù)源的完備才能夠真正的實(shí)現(xiàn)異常行為分析����。數(shù)據(jù)源不僅對(duì)傳統(tǒng)的安全日志進(jìn)行收集處理、更可將收集的范圍擴(kuò)充至業(yè)務(wù)數(shù)據(jù)����、運(yùn)維數(shù)據(jù)甚至用戶數(shù)據(jù),涉及的對(duì)象包括日志����、流量�、內(nèi)容�����、系統(tǒng)狀態(tài)等�。
-
IAM在這里是很重要的一個(gè)數(shù)據(jù)源,必須與人關(guān)聯(lián)�����,分析才更有效果����。
-
業(yè)務(wù)日志是數(shù)據(jù)源很關(guān)鍵的一部分,可以通過(guò)業(yè)務(wù)日志的綜合分析��,發(fā)現(xiàn)業(yè)務(wù)層面的違規(guī)異常行為����,用戶首先關(guān)注業(yè)務(wù)安全。
2.2感知能力
企業(yè)需要從事件驅(qū)使型(被動(dòng))感知�����,向情報(bào)引導(dǎo)及風(fēng)險(xiǎn)驅(qū)使型(主動(dòng))感知轉(zhuǎn)變����。
1. 被動(dòng)感知
被動(dòng)感知主要指?jìng)鹘y(tǒng)的被動(dòng)檢測(cè)方式:各種IPS\IDS\APT等流量監(jiān)測(cè)產(chǎn)品的報(bào)警,或者來(lái)自第三方的通報(bào)(如:行業(yè)主管或者國(guó)家監(jiān)管部門)����,了解我們網(wǎng)絡(luò)中發(fā)生的威脅。
2. 主動(dòng)感知
主動(dòng)安全不是說(shuō)直接攻擊對(duì)手�����,而是在攻擊者有攻擊企圖的早期就能預(yù)警到����,并進(jìn)行主動(dòng)探測(cè)��,并能及時(shí)采取action�����。威脅情報(bào)分析���,實(shí)質(zhì)也就是挖掘整體黑色產(chǎn)業(yè)鏈��,主動(dòng)的監(jiān)控���、切斷相關(guān)環(huán)節(jié)���,并對(duì)惡意工具的制作者、攻擊者��、賣家買家等進(jìn)行查出����,從而達(dá)到主動(dòng)防御的效果。
下面用表格方式展示常見(jiàn)“主動(dòng)”��、“被動(dòng)”技術(shù)手段的輸入輸出��。
2.3感知維度
要想全面的感知安全威脅���,我們從三個(gè)維度來(lái)看:
1. 在外部看外部
有些安全風(fēng)險(xiǎn)或外部威脅�����,即便企業(yè)從內(nèi)部做再多的數(shù)據(jù)監(jiān)控都無(wú)法發(fā)現(xiàn)這一部分����。比如偽基站、撞庫(kù)攻擊��、Github信息泄露���、釣魚等等。對(duì)于這類威脅或者信息泄漏����,我們必須在外部看外部,利用網(wǎng)絡(luò)技術(shù)在各知名安全情報(bào)平臺(tái)收集最新的威脅信息才能實(shí)現(xiàn)����,一些知名網(wǎng)站補(bǔ)天、Whois���、安全人員的社交圈如Twitter�����、微博�、技術(shù)博客�����、以及開(kāi)源的情報(bào)站點(diǎn)alexa.com、malwaredomains.com���、blocklist.de��、openphish.com�����、isc.sans.edu等���,都是收集威脅或風(fēng)險(xiǎn)信息的好渠道。
2. 從外部看內(nèi)部暴露面
企業(yè)到底有哪些設(shè)備/應(yīng)用暴露在互聯(lián)網(wǎng)�?都是什么樣設(shè)備/應(yīng)用?這些設(shè)備/應(yīng)用處于什么狀態(tài)�����?它們開(kāi)放了那些端口�,提供了哪些服務(wù)?這些設(shè)備/應(yīng)用現(xiàn)在存在哪些風(fēng)險(xiǎn)����?暴露面越大風(fēng)險(xiǎn)就越大��。這些都需要從互聯(lián)網(wǎng)側(cè)對(duì)內(nèi)部進(jìn)行測(cè)試探知��。目前業(yè)內(nèi)很熱的網(wǎng)站安全監(jiān)控系統(tǒng)其實(shí)就是類似的一種方式�,包括網(wǎng)站的可用性測(cè)試����、漏洞測(cè)試、頁(yè)面篡改�����、非法內(nèi)容測(cè)試等都是這種方式�。
3. 在內(nèi)部看內(nèi)部
內(nèi)部的威脅感知也非常重要�,目前業(yè)內(nèi)的安全威脅檢測(cè)系統(tǒng)通過(guò)自動(dòng)探測(cè)網(wǎng)絡(luò)流量或系統(tǒng)數(shù)據(jù)發(fā)現(xiàn)可能涉及的潛在入侵、攻擊和濫用的安全威脅�。大量的UEBA類產(chǎn)品出現(xiàn),也是對(duì)內(nèi)部用戶行為感知的重要手段���,合法的人干非法的事能及時(shí)發(fā)現(xiàn)至關(guān)重要�。
3.異常行為是線索
3.1異常行為表達(dá)模型
用戶的異常業(yè)務(wù)行為復(fù)雜多樣����,以下列舉了常見(jiàn)的幾種:
-
用戶的業(yè)務(wù)違規(guī)行為:包括惡意業(yè)務(wù)訂購(gòu)、業(yè)務(wù)只查詢不辦理、高頻業(yè)務(wù)訪問(wèn)����、業(yè)務(wù)繞行等等都是需要關(guān)注的點(diǎn)。
-
內(nèi)部人員的異常行為:比如斯諾登經(jīng)常要同事的帳號(hào)訪問(wèn)系統(tǒng)�����,斯諾登可能比一般員工更多的訪問(wèn)了核心服務(wù)器�����,斯諾登可能短時(shí)間內(nèi)打包了很多的敏感數(shù)據(jù)等�����。
-
某個(gè)用戶突然有一天接收了大量的歷史郵件��。(接收過(guò)的郵件一般用戶都不會(huì)再看�,這次異常是用戶自己操作的嗎?)
-
終端用戶行為歷史����。如A部門用戶每天平均訪問(wèn)220次關(guān)鍵數(shù)據(jù),某一天突然訪問(wèn)次數(shù)超過(guò)500次���。
-
某用戶使用壓縮軟件RAR打包大量敏感數(shù)據(jù)��、使用USB設(shè)備中密集大量拷貝敏感數(shù)據(jù)�、用戶或設(shè)備頻繁外發(fā)加密文件、從內(nèi)部服務(wù)器下載大量表單等數(shù)據(jù)�、大量訪問(wèn)惡意URL的請(qǐng)求等這些異常行為都有可能表示該用戶在有意或無(wú)意(被控)的做一些破壞性事務(wù)。
所有的行為�����,我們都可以通過(guò)5W1H(WWWWWH)模型進(jìn)行抽樣表示��。這里稱作5W1H行為分析模型����。
-
Who(行為執(zhí)行者):指操作行為的執(zhí)行者����,包含用戶名、主從帳號(hào)��、人員組織結(jié)構(gòu)(主帳號(hào)組織)����、業(yè)務(wù)組織結(jié)構(gòu)(從帳號(hào)組織)等信息����。
-
When(在什么時(shí)間):行為發(fā)生的時(shí)間或時(shí)間段���。
-
Where(在什么地點(diǎn)):行為發(fā)生地點(diǎn)�,包括IP地址��、網(wǎng)段����、地域。
-
What(對(duì)哪些事物):行為操作對(duì)象或內(nèi)容���。包含資源���、對(duì)象等(安全資產(chǎn)): 資源:應(yīng)用、主機(jī)�����、數(shù)據(jù)庫(kù)�、網(wǎng)絡(luò)與安全 設(shè)備等;對(duì)象:數(shù)據(jù)庫(kù)表�、文件�、模塊�����、菜單��、配置等
-
How(做了些什么):所執(zhí)行的行為操作�����,包括登錄��、認(rèn)證�、帳號(hào)與授權(quán)、敏感數(shù)據(jù)操作�����、關(guān)鍵操作(增加���、刪除、修改�、查詢、下載)等����。包括主機(jī)類操作�、數(shù)據(jù)庫(kù)類操作��、網(wǎng)絡(luò)安全類操作���、應(yīng)用類操作����。
-
Why(為什么做):行為操作憑據(jù)�,主要是指行為操作的工單等依據(jù)。
3.2凡走過(guò)必留痕跡
線索是未知威脅留下的痕跡�,是入侵造成的異常。如果你發(fā)現(xiàn)一個(gè)異常�����,無(wú)論是惡意域名或疑似木馬��,還是疑似盜取數(shù)據(jù)的行為�����,那么你就有了一個(gè)起始點(diǎn)��,也許這時(shí)候你并不知道面對(duì)的是什么樣的威脅,或者根本就不是威脅��,但至少可以深入調(diào)查����。如果線索質(zhì)量高,十有八九你真能很快定位一次入侵�����。
筆者經(jīng)歷過(guò)多次的信息安全事件���,其實(shí)并不是每個(gè)安全事件都能找到最后的原因��,更不用說(shuō)追蹤到攻擊者或惡意行為者�。多年前曾處理過(guò)一個(gè)安全事故:用戶的系統(tǒng)一天出現(xiàn)了30多萬(wàn)的國(guó)際長(zhǎng)途電話費(fèi)用����,最后組織各方力量也未能查到到底誰(shuí)干的,懷疑可能是內(nèi)部開(kāi)發(fā)人員在代碼中潛入了撥打的代碼��,并能在某個(gè)時(shí)間觸發(fā)�。其實(shí)每次事件的追查成本都是很高的��,異常行為發(fā)現(xiàn)就是很好的止損的一種思路,比如銀行的ATM取款機(jī)每天只能取走2萬(wàn)現(xiàn)金�,這些看似很簡(jiǎn)單的限制其實(shí)作用非常大。比如某單位每天的國(guó)際話費(fèi)門檻為1萬(wàn)�����,超過(guò)就告警�。
外部攻擊者進(jìn)入內(nèi)網(wǎng)后,到最后偷取數(shù)據(jù)����,中間是要進(jìn)行很多的所謂“活動(dòng)”,其行為一定會(huì)有區(qū)別與正常的用戶行為���,他一定會(huì)到處找目標(biāo)�,可能會(huì)東張四望�����,可能訪問(wèn)不該訪問(wèn)的地方�����,可能越權(quán)去做不該做的操作,可能以同一身份通過(guò)不同設(shè)備登錄�����。這種行為稱為攻擊者的“內(nèi)部潛行”(lateral movement)��。高明的攻擊者在進(jìn)入內(nèi)網(wǎng)后����,都傾向偽裝成合法用戶的身份去做一些非法的事情。如何通過(guò)異常能發(fā)現(xiàn)披著羊皮的狼就很關(guān)鍵了�。如果說(shuō)“基于特征匹配的檢測(cè)防范了已知威脅”、基于“虛擬執(zhí)行的檢測(cè)阻止了未知惡意代碼進(jìn)入系統(tǒng)內(nèi)部”�,那么對(duì)于已經(jīng)滲透進(jìn)入系統(tǒng)內(nèi)部的攻擊者而言,“異常行為檢測(cè)成為了識(shí)別該類威脅的唯一機(jī)會(huì)”�����。
大家現(xiàn)在樂(lè)于說(shuō)信息安全看見(jiàn)(visibility )的能力很重要�,要知己知彼,其實(shí)異常行為是最關(guān)鍵的一條安全線索���。先能看見(jiàn)���,才能做好后續(xù)的風(fēng)險(xiǎn)控制����。
3.3凡尋找的必能找到
在實(shí)際的工作過(guò)程中�,我們可以設(shè)定一些異常行為的場(chǎng)景��,并通過(guò)自動(dòng)化的手段進(jìn)行異常發(fā)現(xiàn)��。下面列舉幾個(gè)典型的異常行為場(chǎng)景:
1) 異常情境:異常資產(chǎn)的發(fā)現(xiàn)
可以通過(guò)對(duì)網(wǎng)絡(luò)互聯(lián)關(guān)系的全面監(jiān)控����, 捕捉每一條互聯(lián)關(guān)系并生成紀(jì)錄,對(duì)任何非法在線的入網(wǎng)設(shè)備哪怕只要在線進(jìn)行一次連接動(dòng)作�,就一定能夠發(fā)現(xiàn)并對(duì)非法設(shè)備的連接行為進(jìn)行取證。同時(shí)對(duì)系統(tǒng)中有網(wǎng)絡(luò)信息變動(dòng)的設(shè)備也可以第一時(shí)間發(fā)現(xiàn)���。
2) 異常情境:用戶的異常登錄
用戶登錄異常行為一般包括:異常時(shí)間�����、異常IP����、多IP登錄����、非個(gè)人用戶帳號(hào)登錄����、頻繁登錄失敗等��。登錄異常行為同時(shí)也包括共享賬戶行為��,比如一個(gè)賬號(hào)短時(shí)間更換IP登陸�����,一個(gè)IP登陸了多個(gè)賬號(hào)等�。同時(shí)要包括設(shè)備指紋的識(shí)別,比如用戶登錄的終端忽然換了瀏覽器(是別人冒名登錄還是用戶重新使用了新的設(shè)備�����?)����。
下圖顯示了異常登錄的分析模型,主要的分析參數(shù)包括設(shè)備指紋�、登錄IP地址、是否為代理����、登錄時(shí)間��、用戶屬性以及是否黑名單等��。
3) 異常情境:敏感數(shù)據(jù)異常訪問(wèn)
大多數(shù)用戶的日常行為是可預(yù)測(cè)的,每天的日?���;顒?dòng)都差不多。惡意的內(nèi)部人員在偷盜數(shù)據(jù)或搞破壞前一定有異常的行為���。對(duì)于可疑的員工連接關(guān)鍵資產(chǎn)一定要引起足夠重視�。這種異常通常未必是一個(gè)確定的違規(guī)行為�����,但它可以作為重要的調(diào)查信息���。
下圖為同一賬戶非授權(quán)訪問(wèn)敏感數(shù)據(jù)的分析模型:
4) 異常情境:木馬C&C隱蔽通道檢測(cè)
針對(duì)新型木馬不斷出現(xiàn)��,基于特征檢測(cè)的方法無(wú)法有效檢測(cè)特征庫(kù)之外的木馬的缺點(diǎn)�����,我們可以采用基于木馬流量行為特征的木馬檢測(cè)方法��。其優(yōu)勢(shì)在于可以檢測(cè)新型未知木馬����,無(wú)需依賴木馬特征庫(kù)工作,提高了新型木馬檢測(cè)的時(shí)效性�����。
5) 異常情境:異常的網(wǎng)絡(luò)行為
采用統(tǒng)計(jì)分析的方式����,也可以發(fā)現(xiàn)一些異常行為,比如從抓取的大量的流量數(shù)據(jù)中��,總結(jié)出“正常應(yīng)用”的數(shù)據(jù)流量特征��,就容易發(fā)現(xiàn)“異常流量”���,同時(shí)再進(jìn)一步對(duì)異常流量涉及的IP進(jìn)行重點(diǎn)分析��,發(fā)現(xiàn)攻擊行為���。異常的網(wǎng)絡(luò)行為包括:異常的域名或IP訪問(wèn)���、異常的訪問(wèn)流量、異常的訪問(wèn)端口�、異常的連接時(shí)間,異常的連接頻度���,異常的協(xié)議傳輸?shù)取?
6) 行為序列分析
很多場(chǎng)景下����,單個(gè)的行為都是正常的��,但是行為序列化分析����,就會(huì)發(fā)現(xiàn)為異常行為�。比如:某木馬的被控端工作的時(shí)候,會(huì)自動(dòng)向控制端的80端口發(fā)起連接�����,通過(guò)正常的http協(xié)議獲取驗(yàn)證文件�,以驗(yàn)證控制端的有效性;如果驗(yàn)證文件獲取成功�����,木馬會(huì)連接控制端的一個(gè)自定義端口,使用加密協(xié)議接受控制端的控制���。這個(gè)連接過(guò)程����,80端口的連接和內(nèi)容都是正常的���;而自定義端口是隨機(jī)的���、協(xié)議是未知的并且連接內(nèi)容是加密的,單獨(dú)用那一個(gè)連接��,都無(wú)法通過(guò)特征匹配的方法來(lái)判斷出木馬����。而把兩個(gè)行為放在一起分析,獲得行為序列的綜合特征���。
4.分析能力是關(guān)鍵
安全分析員需要的是線索�,線索只能代表相關(guān)性,而不是確定性��,異常行為就是信息安全的一條重要線索�。工作在第一線的技術(shù)人員,卻往往在發(fā)現(xiàn)可疑線索后���,限于對(duì)線索研判的可信原始數(shù)據(jù)支持的條件制約�,很難實(shí)現(xiàn)對(duì)其事件定性及線索回查����,處于被動(dòng)防御的局面。如何能夠化被動(dòng)防御為主動(dòng)防御�����,異常行為的鉆取�、關(guān)聯(lián)�、挖掘非常重要,通過(guò)分析將一連串的線索穿起來(lái)���,由點(diǎn)及面進(jìn)而逼近真相���。舉個(gè)例子:從可疑IP、關(guān)聯(lián)到訪問(wèn)的用戶�,從可疑的用戶關(guān)聯(lián)到其使用應(yīng)用����、數(shù)據(jù)庫(kù)或相關(guān)敏感文件等���,以時(shí)間維度����,確定出惡意行為的行為序列��,進(jìn)一步可進(jìn)行相關(guān)的責(zé)任界定等���。
4.1安全分析團(tuán)隊(duì)
在整個(gè)短缺的人才中����,安全分析師是首當(dāng)其沖的�。安全分析是要解讀報(bào)警、針對(duì)相關(guān)數(shù)據(jù)分析和調(diào)查�,并確定事件是否需要進(jìn)一步升級(jí),分析師還可能參與事件響應(yīng)過(guò)程或者其它任務(wù)(如:主機(jī)取證或者惡意軟件分析等)��。安全分析需要三個(gè)學(xué)科的交叉:安全技能(這里不是“黑客”����,是安全攻防技術(shù))���,對(duì)業(yè)務(wù)的深入理解,以及數(shù)學(xué)和統(tǒng)計(jì)(包括應(yīng)用數(shù)據(jù)分析工具)?�,F(xiàn)在的大數(shù)據(jù)安全分析很難�,主要是同時(shí)具備這三部分能力的團(tuán)隊(duì)太少。通過(guò)協(xié)同合作可以來(lái)解決這些問(wèn)題����。安全攻防知識(shí)是基礎(chǔ),對(duì)業(yè)務(wù)和數(shù)據(jù)的深入理解才是根本�����。
4.2安全分析平臺(tái)
一個(gè)好的安全分析師�,需要依托一個(gè)良好的安全分析平臺(tái)才能事半功倍,好的安全你分析平臺(tái)需要具備以下因素:
-
分析能力引擎化:國(guó)際著名的splunk分析平臺(tái)��,其自身也有一款安全產(chǎn)品���,名字叫做Splunk App For Enterprise Security,主要就是通過(guò)社區(qū)模式打造的安全分析插件共享平臺(tái)����。分析人員的分析能力引擎化才能更好的協(xié)助分析師進(jìn)行安全分析工作�����。
-
結(jié)合外部威脅情報(bào):分析平臺(tái)最好可以集中多個(gè)來(lái)源的情報(bào)數(shù)據(jù)���。實(shí)現(xiàn)對(duì)其事件定性及線索反查與線索擴(kuò)展以及對(duì)攻擊事態(tài)第一時(shí)間發(fā)現(xiàn)感知。威脅情報(bào)庫(kù)一般包括惡意程序樣本庫(kù)����、惡意程序分析報(bào)告庫(kù)、惡意URL庫(kù)��、黑白域名庫(kù)����、黑白IP庫(kù)、攻擊行為特征庫(kù)��、WHOIS信息庫(kù)�、漏洞庫(kù)等數(shù)據(jù)支撐庫(kù),并通過(guò)數(shù)據(jù)挖掘與分析技術(shù)挖掘統(tǒng)一威脅線索�,為安全專家定位網(wǎng)絡(luò)攻擊提供事實(shí)依據(jù)
-
社區(qū)化,建立生態(tài):我們必須依靠協(xié)同��、集體的力量才能更有效的發(fā)現(xiàn)威脅,可以通過(guò)社區(qū)的方式大家來(lái)共享分析插件�����,無(wú)社區(qū)不生命��。2016年RSA的創(chuàng)新沙盒第一名���,Phantom平臺(tái)采用社區(qū)模式�,通過(guò)接入第三方安全設(shè)備或服務(wù)實(shí)現(xiàn)平臺(tái)的擴(kuò)展性����。安全設(shè)備或服務(wù)接入是通過(guò)定制Phantom App實(shí)現(xiàn)的。Phantom Apps基于Python語(yǔ)言開(kāi)發(fā)�,允許社區(qū)內(nèi)的任何人分享數(shù)據(jù)信息來(lái)擴(kuò)展平臺(tái)的能力,也允許在App
store中分享自定義的Apps�。
-
可視化呈現(xiàn):這里就不多闡述,可視化確實(shí)能是分析人員的工作效率提高很多��。
5. 響應(yīng)處置是根本
5.1自動(dòng)化能力��,關(guān)注效率
自動(dòng)化安全運(yùn)維市場(chǎng)潛力巨大?����,F(xiàn)在安全人員的工作強(qiáng)度和壓力非常之高���,能降低工作量并提高效率的產(chǎn)品肯定會(huì)廣受歡迎����。我們從實(shí)際場(chǎng)景來(lái)看一起自動(dòng)化運(yùn)維的例子���。發(fā)現(xiàn)一起可以攻擊或可以事件��,我們一般有兩條線可以往下延伸����,1)攻擊側(cè)的深挖:可以自動(dòng)化的通過(guò)TI(威脅情報(bào)平臺(tái))���,對(duì)攻擊源進(jìn)行關(guān)聯(lián)分析�����,對(duì)攻擊者��、攻擊手法等進(jìn)行畫像����。甚至可以開(kāi)啟自動(dòng)化的端口掃描對(duì)源地址進(jìn)行信息探測(cè),進(jìn)行更深入的分析����。2)受害側(cè)的處置:自動(dòng)化的關(guān)聯(lián)漏洞掃描系統(tǒng),對(duì)被攻擊者進(jìn)行掃描�,根據(jù)掃描結(jié)果關(guān)聯(lián)到應(yīng)急響應(yīng)平臺(tái),獲取漏洞的處置方式并進(jìn)行相關(guān)漏洞修復(fù)或執(zhí)行自動(dòng)化的訪問(wèn)控制措施等�。最后再通過(guò)檢測(cè)系統(tǒng)對(duì)漏洞處置的結(jié)果進(jìn)行返回確認(rèn)。
沒(méi)有action的威脅情報(bào)�����,只會(huì)徒增安全管理員的煩惱和痛苦����。大部分的用戶可以采用自建運(yùn)營(yíng)團(tuán)隊(duì)或外部服務(wù)的方式來(lái)進(jìn)行威脅的應(yīng)對(duì)和處置。FireEye提出了FireEye-As-A-Service的概念���,并在近期重點(diǎn)宣傳����。和FireEye之前服務(wù)最大的不同就是FireEye的技術(shù)人員將7×24小時(shí)地監(jiān)控你的FireEye系統(tǒng)�,一旦發(fā)現(xiàn)威脅,F(xiàn)ireEye的人員將不再像傳統(tǒng)服務(wù)那樣只是提供建議或電話支持����,而是直接操作你的設(shè)備進(jìn)行響應(yīng),并結(jié)合技術(shù)檢測(cè)和專家服務(wù)�����,組成技術(shù)����、專家和智能的閉環(huán)。
5.2應(yīng)急響應(yīng)平臺(tái)
安全行業(yè)目前已經(jīng)有了很多平臺(tái):漏洞平臺(tái)���、眾測(cè)平臺(tái)�、在線教育��、威脅情報(bào)�、安全媒體……,但是安全加固或應(yīng)急處置平臺(tái)目前業(yè)內(nèi)還沒(méi)有看到��,該平臺(tái)對(duì)漏洞修復(fù)�����、常見(jiàn)事件處理提供有效的驗(yàn)證過(guò)的處理方法�、處理流程�����、處理工具等����,可以大大提供維護(hù)人員的工作效率����。我們也期待社區(qū)化模式的應(yīng)急響應(yīng)平臺(tái)的出現(xiàn)。
6.他山之石:國(guó)外公司相關(guān)廠商和系統(tǒng)介紹
近幾年�����,不斷涌現(xiàn)出異常行為和安全威脅分析的安全產(chǎn)品類別�,主要包括如下。每個(gè)產(chǎn)品都從不同側(cè)面展現(xiàn)了異常行為分析的能力����。
-
UEBA – User and Entity Behavior Analytics
-
CASB – Cloud Application Security Broker
-
DLP – Data Leakage Protection
-
EDR – Endpoint Detection and Response
-
SIEM – Security Information & Event Management
下面對(duì)三個(gè)典型的分析產(chǎn)品做簡(jiǎn)要介紹。(部分文字翻譯自廠商資料)
6.1思科-ETA“無(wú)需解密”的加密流量威脅發(fā)現(xiàn)
互聯(lián)網(wǎng)業(yè)務(wù)未來(lái)看加密一定會(huì)常態(tài)化�,DPI、內(nèi)容識(shí)別的路子越來(lái)越窄�。思科推出的ETA技術(shù)(Encrypted Traffic Analytics,加密流量分析功能),通過(guò)安全研究人員研究了數(shù)百萬(wàn)不同流量上惡意流量和良性流量使用TLS�����、DNS和HTTP方面的差異����,提煉出惡意軟件最明顯的一系列流量特性���,專門針對(duì)網(wǎng)絡(luò)流量中加密或隱蔽隧道中威脅識(shí)別����,并最終形成了思科針對(duì)惡意軟件流量傳輸模型的Security Map����。該方案通過(guò)收集來(lái)自全新Catalyst® 9000交換機(jī)和Cisco 4000系列集成多業(yè)務(wù)路由器的增強(qiáng)型NetFlow信息,再與思科的高級(jí)安全分析能力進(jìn)行組合�����,ETA能夠幫助IT人員在無(wú)需解密的情況下找出加密流量中的惡意威脅���。
6.2Interset–基于終端的行為分析偵測(cè)威脅
interset公司主要專注內(nèi)部異常行為的檢測(cè)��,為了降低誤報(bào)和去噪����,采用了異常行為的量化評(píng)價(jià)的方式進(jìn)行呈現(xiàn);借助斯諾登的事件作為樣例�,interset提出的行為風(fēng)險(xiǎn)分析的組成元素有:User成員、Activity事件��、File資產(chǎn)/文件�����、Method方法
如圖4個(gè)組成元素(User成員�����、Activity事件���、File資產(chǎn)/文件�、Method方法)說(shuō)明例子中的行為風(fēng)險(xiǎn)是如何分析的, 詳細(xì)解釋如下:
User成員:斯諾登
組織中的每個(gè)成員(人�、設(shè)備)都有一個(gè)風(fēng)險(xiǎn)評(píng)分,風(fēng)險(xiǎn)分基于他們的角色����、連接的IP、被發(fā)現(xiàn)的行為,并計(jì)算進(jìn)總風(fēng)險(xiǎn)分����。成員的風(fēng)險(xiǎn)分相互獨(dú)立,并根據(jù)他們的所做的事情的風(fēng)險(xiǎn)和安全程度不斷上下浮動(dòng)���。
Activity事件:復(fù)制數(shù)量異常巨大的文件
每個(gè)行為的得分根據(jù)往常歷史和基準(zhǔn)的不同而不同���。例如:根據(jù)歷史記錄,斯諾登每天只復(fù)制幾MB數(shù)據(jù)�,而不是當(dāng)前事件中的幾GB數(shù)據(jù)�����。當(dāng)與以往基準(zhǔn)行為相比�,出現(xiàn)高度異常時(shí),行為風(fēng)險(xiǎn)部分得分會(huì)很高���。根據(jù)以往記錄(同一用戶與以前相比復(fù)制了過(guò)多的文件�,或用戶與組內(nèi)其他相同職位成員相比復(fù)制了過(guò)多的文件)�,基準(zhǔn)行為的得分是可計(jì)算的。
File資產(chǎn)/文件:復(fù)制的是重要的文件
每個(gè)被復(fù)制的文件����,根據(jù)對(duì)組織的重要程度��、惡意外泄的影響���、文件所起的作用、文件本身的脆弱性�����,都有一個(gè)風(fēng)險(xiǎn)分�,并為總風(fēng)險(xiǎn)分提供依據(jù)。
Method方法:外接USB設(shè)備
當(dāng)資產(chǎn)被轉(zhuǎn)移時(shí)�,風(fēng)險(xiǎn)分開(kāi)始計(jì)算,當(dāng)被轉(zhuǎn)移出公司認(rèn)為是“安全區(qū)域”的地帶時(shí)��,風(fēng)險(xiǎn)分增加�����。例如:如果USB上傳被認(rèn)為是禁止或是不符合策略的���,行為風(fēng)險(xiǎn)將被建模����。不同組織有不同的對(duì)待外部設(shè)備的策略,風(fēng)險(xiǎn)分?jǐn)?shù)根據(jù)策略和可疑程度上下浮動(dòng)����。根據(jù)這4個(gè)得分最終計(jì)算出總風(fēng)險(xiǎn)。
interset主要基于終端的信息收集�����,通過(guò)數(shù)據(jù)分析引擎提供違規(guī)行為的安全告警�����。同時(shí)為常見(jiàn)的SOC�����、SIEM平臺(tái)提供了API接口�����。
6.3Vectra–基于網(wǎng)絡(luò)流量的行為分析偵測(cè)威脅
Vectra的異常行為分析主要通過(guò)以下過(guò)程實(shí)現(xiàn)�����,基于網(wǎng)絡(luò)流量檢測(cè)�、注重可視化是該平臺(tái)非常明顯的一個(gè)特色。
(一) 關(guān)鍵資產(chǎn)的識(shí)別:
通過(guò)分析內(nèi)部網(wǎng)絡(luò)流量��,采用機(jī)器學(xué)習(xí)的方式自動(dòng)化的識(shí)別組織內(nèi)的安全資產(chǎn)(設(shè)備)����,同時(shí)將組織內(nèi)的設(shè)備或資產(chǎn)顯示在一張邏輯圖上,很便利的看到設(shè)備之間的互聯(lián)關(guān)系���。關(guān)鍵資產(chǎn)的識(shí)別主要基于幾個(gè)要素:可根據(jù)資產(chǎn)上存放的數(shù)據(jù)的重要性����,同時(shí)考慮資產(chǎn)的使用者的重要性來(lái)確定是否是關(guān)鍵資產(chǎn)����。比如關(guān)鍵員工和高管的筆記本就可以被標(biāo)記為關(guān)鍵資產(chǎn),在Vectra的產(chǎn)品界面上很容易進(jìn)行資產(chǎn)標(biāo)記���。
(二) 異常行為的發(fā)現(xiàn):
該系統(tǒng)也可以檢測(cè)或識(shí)別出內(nèi)部用戶的端口掃描����、暗網(wǎng)掃描����、暴力破解等攻擊行為���,如果是針對(duì)組織的關(guān)鍵資產(chǎn)所發(fā)起的攻擊行為,這就可以當(dāng)作一個(gè)內(nèi)部威脅的重要標(biāo)識(shí)���。比如一般內(nèi)部用戶不會(huì)直接訪問(wèn)c&c服務(wù)器�����,如果出現(xiàn)這些行為都代表內(nèi)部用戶確實(shí)出了問(wèn)題���。其產(chǎn)品針對(duì)不同的惡意行為通過(guò)不同的告警顏色進(jìn)行標(biāo)識(shí)。
(三) 數(shù)據(jù)盜取的追蹤:
vectra采用數(shù)據(jù)科學(xué)技術(shù)自動(dòng)化的檢測(cè)網(wǎng)絡(luò)內(nèi)部用戶的數(shù)據(jù)的打包�����、偷取等行為�,機(jī)器學(xué)習(xí)能主動(dòng)發(fā)現(xiàn)在堆積如山的數(shù)據(jù)中惡意的內(nèi)部人員。偷取數(shù)據(jù)一般兩種途徑:內(nèi)部人員可能通過(guò)物理介質(zhì)比如USB設(shè)備偷取數(shù)據(jù)��,另一種常見(jiàn)的是通過(guò)網(wǎng)絡(luò)來(lái)偷取數(shù)據(jù)����,后一種可以通過(guò)檢測(cè)網(wǎng)絡(luò)流量中是否存在隱藏TUNNELS��、TOR活動(dòng)、staged hop等�,如果存在這些情況基本可以判定發(fā)生了內(nèi)部的數(shù)據(jù)盜取威脅,通過(guò)關(guān)聯(lián)分析���,可以發(fā)現(xiàn)內(nèi)部人員數(shù)據(jù)偷取的整體行為視圖��。
7.結(jié)束語(yǔ)
-
被攻陷是難免的��,安全能力應(yīng)從“防范”為主轉(zhuǎn)向“檢測(cè)和響應(yīng)”能力的構(gòu)建���,以威脅為中心,能快速發(fā)現(xiàn)威脅并及時(shí)處置確保最小化的損失或避免損失�����。
-
未來(lái)安全的防護(hù)思路從“籬笆式”變成“獵人式”�,不是被動(dòng)的防御,而是主動(dòng)的發(fā)現(xiàn)安全威脅并處置����。通過(guò)威脅情報(bào)結(jié)合異常行為分析,協(xié)同防御��。
-
安全是人和人的對(duì)抗����,和戰(zhàn)爭(zhēng)一樣�,最終拼的是資源���。如何更有效的使用資源最關(guān)鍵�����。通過(guò)發(fā)現(xiàn)異常行為��,再逐步深入采用更高成本的流量分析�����、沙箱執(zhí)行���、人工介入等,是更可行的一種安全防御思路����。
-
信息安全的建設(shè)思路出發(fā)點(diǎn)是“止損”,能快速發(fā)現(xiàn)異常并及時(shí)處置確保最小化的損失�����。
云安全門戶 云安全運(yùn)營(yíng)中心 