“全天候全⽅位感知⽹络安全态势”解读
习总书记4⽉19⽇讲话谈到:全天候全⽅位感知态势。知⼰知彼,才能百战不殆。没有意识到风险是最⼤的风险。⽹络安全具有很强的隐蔽性,⼀个技术漏洞、安全风险可能隐藏⼏年都发现不了,结果是“谁进来了不知道、是敌是友不知道、⼲了什么不知道”,长期“潜伏”在⾥⾯,⼀旦有事就发作了。 1 前⾔
⼤家都知道,安全是对抗,不可能完全防范,单纯的防御措施⽆法阻⽌蓄意的攻击者,这已经是⼤家都认同的事实。gartner的⾃适应安全架构也提到了检测、预警、响应的重要性。Gartner预测到2020年,防范措施将不再重要,关键是监控和情报,60%的安全预算会投⼊到检测和响应中。 鉴于业务模式⽇新⽉异、威胁局⾯变幻莫测且安全解决⽅案复杂多样,企业需要⼀个全新的安全模型。安全⾏业这两年来,思维模式已经从单纯强调防护,转变到注重预警、检测、响应的格局,安全能⼒从“防范”为主转向“快速检测和响应能⼒的”的构建,实时防御将以威胁为中⼼,它不再强调单点的检测,也不再单纯的追求告警的精确性,⽽是将若⼲的点关联起来,以数据为驱动来解决问题。 笔者根据多年的安全服务⼯作经验,将以威胁为中⼼的能⼒建设问题总结为以下四个⽅⾯,并进⾏详细阐述。
Ø 全⾯感知是基础
平开门电机
Ø 异常⾏为是线索
Ø 响应处置是根本
2 全⾯感知是基础
2.1 感知⾯
没有数据,类似⽆⽶之炊,数据源的完备才能够真正的感知安全威胁。要想全⾯的感知安全威胁,我们从三个纬度来看:
1)在外部看外部
有些安全风险或外部威胁,即便企业从内部做再多的数据监控都⽆法发现这⼀部分。⽐如、撞库攻击、Github信息泄露、钓鱼等等。对于这类威胁或者信息泄漏,我们必须在外部看外部,利⽤⽹络技术在各知名安全情报平台收集最新的威胁信息才能实现,⼀些知名⽹站补天、wooyun、Whois、安全⼈员的社交圈如Twitter、微博、技术博客、alexa、malwaredomains、blocklist.de、 openphish、isc.sans.edu等,都是收集威胁或风险信息的好渠道。 2)从外部看内部
企业到底有哪些设备/应⽤暴露在互联⽹?都是什么样设备/应⽤?这些设备/应⽤处于什么状态?它们开放了那些端⼝,提供了哪些服务?这些设备/应⽤现在存在哪些风险?暴露⾯越⼤风险就越⼤。这些都需要从互联⽹侧对内部进⾏测试探知。⽬前业内很热的⽹站安全监控系统其实就是类似的⼀种⽅式,包括⽹站的可⽤性测试、漏洞测试、页⾯篡改挂马测试、⾮法内容测试等都是这种⽅式。
3)在内部看内部
内部的威胁感知也⾮常重要,⽬前业内的安全威胁检测系统通过⾃动探测⽹络流量或系统数据发现可能涉及的潜在⼊侵、攻击和滥⽤的安全威胁。内部的数据源不仅对传统的安全⽇志进⾏收集处理、更可将收集的范围扩充⾄业务数据、运维数据甚⾄⽤户数据,涉及的对象包括⽇志、流量、内容、系统状态等。
感应式垃圾桶2.2 感知能⼒
企业需要从事件驱使型(被动)感知,向情报引导及风险驱使型(主动)感知转变。
企业需要从事件驱使型(被动)感知,向情报引导及风险驱使型(主动)感知转变。
1)被动感知
被动感知主要包括传统的被动检测⽅式:各种已知检测⼯具的报警,监控系统的报警或者来⾃第三⽅的通报(如:⾏业主管或者国家部门),实时了解我们⽹络中发⽣的事件。
2)主动感知
主动安全不是说直接攻击对⼿,⽽是在攻击者有攻击企图的早期就能预警到,并进⾏⾏为监控,并能及时采取action。威胁情报分析,实质也就是挖掘整体⿊⾊产业链,主动的监控、切断相关环节,并对恶意⼯具的制作者、攻击者、卖家买家等进⾏查出,从⽽达到主动防御的效果。未来安全的防护思路从“篱笆式” 变成“猎⼈式”,不是被动的防御,⽽是主动的发现安全威胁并处置。通过威胁情报结合异常⾏为分析,协同防御。
3 异常⾏为是线索
线索是未知威胁留下的痕迹,是⼊侵造成的异常。如果你发现⼀个异常,⽆论是恶意域名或疑似⽊马,还是疑似盗取数据的⾏为,那么你就有了⼀个起始点,也许这时候你并不知道⾯对的是什么样的威胁,或者根本就不是威胁,但⾄少可以深⼊调查。如果线索质量⾼,⼗有⼋九你真能很快定位⼀次⼊侵。
3.1 凡⾛过必留痕迹
⼤家现在乐于说信息安全看见(visibility )的能⼒很重要,要知⼰知彼,其实异常⾏为是最关键的⼀条安全线索。先能看见,才能做好后续的风险控制。外部攻击者进⼊内⽹后,到最后偷取数据,中间是要进⾏很多的所谓“活动”,其⾏为⼀定会有区别与正常的⽤户⾏为,他⼀定会到处⽬标,可能会东张四望,可能访问不该访问的地⽅,可能越权去做不该做的操作,可能以同⼀⾝份通过不同设备登录。这种⾏为称为攻击者的“内部潜⾏”(lateral movement)。⾼明的攻击者在进⼊内⽹后,都倾向伪装成合法⽤户的⾝份去做⼀些⾮法的事情。如何通过异常能发现披着⽺⽪的狼就很关键了。如果说“基于特征匹配的检测防范了已知威胁”、基于“虚拟执⾏的检测阻⽌了未知恶意代码进⼊系统内部”,那么对于已经渗透进⼊系统内部的恶意代码⽽⾔,“异常⾏为检测成为了识别该类威胁的唯⼀机会”。
互联⽹业务未来看加密⼀定会常态化,DPI、内容识别的路⼦越来越窄。异常⾏为的前途会越来越⼴阔。
3.2 凡寻的必能到
快开阀芯在实际的⼯作过程中,我们可以设定⼀些异常⾏为的场景,并通过⾃动化的⼿段进⾏异常发现。下⾯列举⼏个典型的异常⾏为场景:
1)异常情境:异常资产的发现
可以通过对⽹络互联关系的全⾯监控,捕捉每⼀条互联关系并⽣成纪录,对任何⾮法在线的⼊⽹设备哪怕只要在线进⾏⼀次连接动作,就⼀定能够发现,并对⾮法设备的连接⾏为进⾏取证。同时对系统中有⽹络信息变动的设备也可以第⼀时间发现。
2)异常情境:⽤户的异常登录
重点分析⽤户认证登录异常⾏为:如异常时间、异常IP、多IP登录、⾮个⼈⽤户帐号登录、频繁登录失败等。登录异常⾏为同时也包括共享账户⾏为,⽐如⼀个账号短时间更换IP登陆,⼀个IP登陆了多个账号等。
3)异常情境:敏感数据异常访问⾏为
空气净化风扇⼤多数⽤户的⽇常⾏为是可预测的,每天的⽇常活动都差不多。恶意的内部⼈员在偷盗数据或搞破坏前⼀定有异常的⾏为。对于可疑的员⼯连接关键资产⼀定要引起⾜够重视。这种异常通常未必是⼀个确定的违规⾏为,但它可以作为重要的调查信息。
数字标签
4)异常情境:⽊马C&C隐蔽通道检测
针对新型⽊马不断出现,基于特征检测的⽅法⽆法有效检测特征库之外的⽊马的缺点,我们可以采⽤基于⽊马流量⾏为
针对新型⽊马不断出现,基于特征检测的⽅法⽆法有效检测特征库之外的⽊马的缺点,我们可以采⽤基于⽊马流量⾏为特征的⽊马检测⽅法。其优势在于可以检测新型未知⽊马,⽆需依赖⽊马特征库⼯作,提⾼了新型⽊马检测的时效性。
4 分析能⼒是关键
安全分析员需要的是线索,线索只能代表相关性,⽽不是确定性,异常⾏为就是信息安全的⼀条重要线索。⼯作在第⼀线的技术⼈员,却往往在发现可疑线索后,限于对线索研判的可信原始数据⽀持的条件制约,很难实现对其事件定性及线索回查,处于被动防御的局⾯。如何能够化被动防御为主动防御,实现对攻击事态第⼀时间发现感知,异常⾏为的钻取、关联、挖掘就⾮常重要,通过分析将⼀连串的线索穿起来,由点及⾯进⽽逼近真相。
4.1 安全分析团队
数据是⾦⼦,对安全⾏业依然如此。数据分析师需要了解业务、了解安全、了解算法等等各项技能。⽐如关联分析:⽤于在海量审计信息中出异构异源事件信息之间的关系,通过组合判断多个异构事件判断操作⾏为性质,发掘隐藏的相关性,发现可能存在的违规⾏为。⽐如数据挖掘:基于适当的算法来对数据集进⾏聚类分类,能够区分异常⾏为和正常⾏为。
电机线束
在整个短缺的⼈才中,安全分析师是⾸当其冲的。安全分析是要解读报警、针对相关数据分析和调查,并确定事件是否需要进⼀步升级,分析师还可能参与事件响应过程或者其它任务(如:主机取证或者恶意软件分析等)。安全分析需要三个学科的交叉:安全技能(这⾥不是“⿊客”,是安全攻防技术),对业务的深⼊理解,以及数学和统计(包括应⽤数据分析⼯具)。现在的⼤数据安全分析很难,主要是同时具备这三部分能⼒的团队太少。通过协同合作可以来解决这些问题。安全攻防知识是基础,对业务和数据的深⼊理解才是根本。
4.2 安全分析平台
⼀个好的安全分析师,需要依托⼀个良好的安全分析平台才能事半功倍,好的安全你分析平台需要具备以下因素:
Ø 分析能⼒引擎化:国际著名的splunk分析平台,其⾃⾝也有⼀款安全产品,名字叫做 Splunk App ForEnterprise Security,主要就是通过社区模式打造的安全分析插件共享平台。分析⼈员的分析能⼒引擎化才能更好的协助分析师进⾏安全分析⼯作。
Ø 结合外部威胁情报:分析平台最好可以集中多个来源的情报数据。实现对其事件定性及线索反查与线索扩展以及对攻击事态第⼀时间发现感知。威胁情报库⼀般包括恶意程序样本库、恶意程序分析报告库、恶意URL库、⿊⽩域名库、⿊⽩IP库、攻击⾏为特征库、WHOIS信息库、漏洞库等数据⽀撑库,
并通过数据挖掘与分析技术挖掘统⼀威胁线索,为安全专家定位⽹络攻击提供事实依据
Ø 社区化,建⽴⽣态:我们必须依靠协同、集体的⼒量才能更有效的发现威胁,可以通过社区的⽅式⼤家来共享分析插件,⽆社区不⽣命。2016年RSA的创新沙盒第⼀名,Phantom平台采⽤社区模式,通过接⼊第三⽅安全设备或服务实现平台的扩展性。安全设备或服务接⼊是通过定制Phantom App实现的。Phantom Apps 基于Python语⾔开发,允许社区内的任何⼈分享数据信息来扩展平台的能⼒,也允许在Appstore中分享⾃定义的Apps。
Ø 可视化呈现:这⾥就不多阐述,可视化确实能是分析⼈员的⼯作效率提⾼很多。
5 响应处置是根本
5.1 ⾃动化能⼒
⾃动化安全运维市场潜⼒巨⼤。现在安全⼈员的⼯作强度和压⼒⾮常之⾼,能降低⼯作量并提⾼效率的产品肯定会⼴受欢迎。我们从实际场景来看⼀起⾃动化运维的例⼦。发现⼀起可以攻击或可以事件,我们⼀般有两条线可以往下延伸,1)攻击侧的深挖:可以⾃动化的通过TI(威胁情报平台),对攻击源进⾏关联分析,对攻击者、攻击⼿法等进⾏画像。甚⾄可以开启⾃动化的端⼝扫描对源地址进⾏信息探测,进⾏更深⼊的分析。 2)受害侧的处置:⾃动化的关联漏洞扫描系统,对被攻击者进⾏扫描,
根据扫描结果关联到应急响应平台,获取漏洞的处置⽅式并进⾏相关漏洞修复或执⾏⾃动化的访问控制措施等。最后再通过检测系统对漏洞处置的结果进⾏返回确认。
没有action的威胁情报,只会徒增安全管理员的烦恼和痛苦。⼤部分的⽤户可以采⽤⾃建运营团队或外部服务的⽅式来进⾏威胁的应对和处置。 FireEye提出了FireEye-As-A-Service的概念,并在近期重点宣传。和FireEye之前服务最⼤的不同就是FireEye的技术⼈员将7×24⼩时地监控你的FireEye系统,⼀旦发现威胁,FireEye的⼈员将不再像传统服务那样只是提供建议或电话⽀持,⽽是直接操作你的设备进⾏响应,并结合技术检测和专家服务,组成技术、专家和智能的闭环。
闭环。
5.2 应急响应平台
安全⾏业⽬前已经有了很多平台:漏洞平台、众测平台、在线教育、威胁情报、安全媒体……,但是安全加固或应急处置平台⽬前业内还没有看到,该平台对漏洞修复、常见事件处理提供有效的验证过的处理⽅法、处理流程、处理⼯具等,可以⼤⼤提供维护⼈员的⼯作效率。我们也期待社区化模式的应急响应平台的出现。
6 结束语
被攻击是不可避免的,信息安全的建设思路出发点是“⽌损”,安全能⼒从“防范”为主转向“快速检测和响应能⼒的”的构建,以威胁为中⼼,能快速发现威胁并及时处置确保最⼩化的损失或避免损失。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议