信息來源:FreeBuf
1.前言
筆者做了多年的安全服務,這幾年集中精力在做安全分析類引擎或產(chǎn)品��,關于大數(shù)據(jù)時代信息安全的三點個人看法��,作為引言。
(一) 聚焦細分市場���,圍繞核心競爭力��,合作的模式來做平臺����。
大數(shù)據(jù)時代數(shù)據(jù)的采集�����、存儲��、分析���、呈現(xiàn)等等�,很少有一家能完全做的了�,通吃也真沒必要也沒能力,從細分看�, 做采集的可能有集成商或服務商A來完成實施工作;做存儲的有擅長存儲的B來做���;做分析層的需要有懂業(yè)務�、了解安全的服務商C來完成,數(shù)據(jù)的呈現(xiàn)又是專門的團隊或開發(fā)商D來做���。做自己最擅長的,其他的找合作伙伴�,能夠最快速的形成整體來滿足用戶的需求至關重要。市場競爭大部分時候拼的就是時間��,天下武功唯快不破��。
(二) 從關注“平臺”搭建到關注分析建模的“內(nèi)容”建設
航母是一個平臺�,自己不產(chǎn)生進攻能力,讓航母上的艦載機具備強大進攻能力��。對信息安全行業(yè)依然如此���。���,“建平臺+補內(nèi)容”是國內(nèi)目前安全建設的基本路子。在網(wǎng)絡完成初期的平臺建設(數(shù)據(jù)的采集�、集中存儲)后一定會走向精耕細做的數(shù)據(jù)分析上來。用戶越來越務實�����,數(shù)據(jù)分析建模越來越重要,“內(nèi)容”會成為新焦點�����,“平臺”因“內(nèi)容”而產(chǎn)生價值����。
(三) 安全能力從“防范”為主轉向“檢測和響應”的能力構建
安全是對抗,不可能完全防范�,單純的防御措施無法阻止蓄意的攻擊者,這已經(jīng)是大家都認同的事實����。gartner的自適應安全架構也提到了檢測、預警��、響應的重要性�����。Gartner預測到2020年��,防范措施將不再重要�,關鍵是監(jiān)控和情報��,60%的安全預算會投入到檢測和響應中�。
安全行業(yè)這兩年來����,思維模式已經(jīng)從單純強調(diào)防護,轉變到注重預警����、檢測�、響應的格局,安全能力從“防范”為主轉向“快速檢測和響應能力”的構建�,實時防御將以威脅為中心,它不再強調(diào)單點的檢測�,也不再單純的追求告警的精確性,而是將若干的點關聯(lián)起來��,以數(shù)據(jù)為驅動來解決問題�����。
筆者將以威脅為中心的信息安全能力建設問題總結為以下四句話�,并進行詳細闡述。
1. 全面感知是基礎
2. 異常行為是線索
3. 分析能力是關鍵
4. 響應處置是根本
2.全面感知是基礎
2.1 數(shù)據(jù)源
沒有數(shù)據(jù)��,類似無米之炊,數(shù)據(jù)源的完備才能夠真正的實現(xiàn)異常行為分析�。數(shù)據(jù)源不僅對傳統(tǒng)的安全日志進行收集處理、更可將收集的范圍擴充至業(yè)務數(shù)據(jù)�、運維數(shù)據(jù)甚至用戶數(shù)據(jù),涉及的對象包括日志����、流量、內(nèi)容����、系統(tǒng)狀態(tài)等。
-
IAM在這里是很重要的一個數(shù)據(jù)源���,必須與人關聯(lián)��,分析才更有效果���。
-
業(yè)務日志是數(shù)據(jù)源很關鍵的一部分,可以通過業(yè)務日志的綜合分析��,發(fā)現(xiàn)業(yè)務層面的違規(guī)異常行為�,用戶首先關注業(yè)務安全。
2.2感知能力
企業(yè)需要從事件驅使型(被動)感知���,向情報引導及風險驅使型(主動)感知轉變�。
1. 被動感知
被動感知主要指傳統(tǒng)的被動檢測方式:各種IPS\IDS\APT等流量監(jiān)測產(chǎn)品的報警,或者來自第三方的通報(如:行業(yè)主管或者國家監(jiān)管部門)�����,了解我們網(wǎng)絡中發(fā)生的威脅��。
2. 主動感知
主動安全不是說直接攻擊對手���,而是在攻擊者有攻擊企圖的早期就能預警到���,并進行主動探測��,并能及時采取action�。威脅情報分析,實質也就是挖掘整體黑色產(chǎn)業(yè)鏈�����,主動的監(jiān)控��、切斷相關環(huán)節(jié)����,并對惡意工具的制作者���、攻擊者、賣家買家等進行查出���,從而達到主動防御的效果�。
下面用表格方式展示常見“主動”����、“被動”技術手段的輸入輸出����。
2.3感知維度
要想全面的感知安全威脅,我們從三個維度來看:
1. 在外部看外部
有些安全風險或外部威脅���,即便企業(yè)從內(nèi)部做再多的數(shù)據(jù)監(jiān)控都無法發(fā)現(xiàn)這一部分����。比如偽基站�、撞庫攻擊、Github信息泄露�����、釣魚等等���。對于這類威脅或者信息泄漏,我們必須在外部看外部��,利用網(wǎng)絡技術在各知名安全情報平臺收集最新的威脅信息才能實現(xiàn)����,一些知名網(wǎng)站補天����、Whois���、安全人員的社交圈如Twitter、微博��、技術博客�、以及開源的情報站點alexa.com�、malwaredomains.com���、blocklist.de�、openphish.com�、isc.sans.edu等,都是收集威脅或風險信息的好渠道��。
2. 從外部看內(nèi)部暴露面
企業(yè)到底有哪些設備/應用暴露在互聯(lián)網(wǎng)��?都是什么樣設備/應用�?這些設備/應用處于什么狀態(tài)?它們開放了那些端口�����,提供了哪些服務����?這些設備/應用現(xiàn)在存在哪些風險?暴露面越大風險就越大�。這些都需要從互聯(lián)網(wǎng)側對內(nèi)部進行測試探知。目前業(yè)內(nèi)很熱的網(wǎng)站安全監(jiān)控系統(tǒng)其實就是類似的一種方式���,包括網(wǎng)站的可用性測試�、漏洞測試、頁面篡改���、非法內(nèi)容測試等都是這種方式�����。
3. 在內(nèi)部看內(nèi)部
內(nèi)部的威脅感知也非常重要�����,目前業(yè)內(nèi)的安全威脅檢測系統(tǒng)通過自動探測網(wǎng)絡流量或系統(tǒng)數(shù)據(jù)發(fā)現(xiàn)可能涉及的潛在入侵���、攻擊和濫用的安全威脅。大量的UEBA類產(chǎn)品出現(xiàn)��,也是對內(nèi)部用戶行為感知的重要手段�,合法的人干非法的事能及時發(fā)現(xiàn)至關重要。
3.異常行為是線索
3.1異常行為表達模型
用戶的異常業(yè)務行為復雜多樣�����,以下列舉了常見的幾種:
-
用戶的業(yè)務違規(guī)行為:包括惡意業(yè)務訂購���、業(yè)務只查詢不辦理��、高頻業(yè)務訪問�、業(yè)務繞行等等都是需要關注的點�����。
-
內(nèi)部人員的異常行為:比如斯諾登經(jīng)常要同事的帳號訪問系統(tǒng)��,斯諾登可能比一般員工更多的訪問了核心服務器���,斯諾登可能短時間內(nèi)打包了很多的敏感數(shù)據(jù)等��。
-
某個用戶突然有一天接收了大量的歷史郵件�����。(接收過的郵件一般用戶都不會再看�,這次異常是用戶自己操作的嗎���?)
-
終端用戶行為歷史��。如A部門用戶每天平均訪問220次關鍵數(shù)據(jù)�,某一天突然訪問次數(shù)超過500次。
-
某用戶使用壓縮軟件RAR打包大量敏感數(shù)據(jù)�、使用USB設備中密集大量拷貝敏感數(shù)據(jù)、用戶或設備頻繁外發(fā)加密文件�、從內(nèi)部服務器下載大量表單等數(shù)據(jù)、大量訪問惡意URL的請求等這些異常行為都有可能表示該用戶在有意或無意(被控)的做一些破壞性事務�����。
所有的行為��,我們都可以通過5W1H(WWWWWH)模型進行抽樣表示�。這里稱作5W1H行為分析模型。
-
Who(行為執(zhí)行者):指操作行為的執(zhí)行者��,包含用戶名���、主從帳號��、人員組織結構(主帳號組織)����、業(yè)務組織結構(從帳號組織)等信息����。
-
When(在什么時間):行為發(fā)生的時間或時間段��。
-
Where(在什么地點):行為發(fā)生地點,包括IP地址��、網(wǎng)段����、地域。
-
What(對哪些事物):行為操作對象或內(nèi)容�����。包含資源����、對象等(安全資產(chǎn)): 資源:應用、主機�、數(shù)據(jù)庫、網(wǎng)絡與安全 設備等����;對象:數(shù)據(jù)庫表、文件��、模塊�、菜單����、配置等
-
How(做了些什么):所執(zhí)行的行為操作���,包括登錄�����、認證�����、帳號與授權��、敏感數(shù)據(jù)操作�、關鍵操作(增加�、刪除、修改����、查詢、下載)等�����。包括主機類操作、數(shù)據(jù)庫類操作�、網(wǎng)絡安全類操作、應用類操作��。
-
Why(為什么做):行為操作憑據(jù)�����,主要是指行為操作的工單等依據(jù)�����。
3.2凡走過必留痕跡
線索是未知威脅留下的痕跡��,是入侵造成的異常����。如果你發(fā)現(xiàn)一個異常�,無論是惡意域名或疑似木馬,還是疑似盜取數(shù)據(jù)的行為�,那么你就有了一個起始點,也許這時候你并不知道面對的是什么樣的威脅�,或者根本就不是威脅,但至少可以深入調(diào)查��。如果線索質量高,十有八九你真能很快定位一次入侵����。
筆者經(jīng)歷過多次的信息安全事件,其實并不是每個安全事件都能找到最后的原因�����,更不用說追蹤到攻擊者或惡意行為者��。多年前曾處理過一個安全事故:用戶的系統(tǒng)一天出現(xiàn)了30多萬的國際長途電話費用�����,最后組織各方力量也未能查到到底誰干的��,懷疑可能是內(nèi)部開發(fā)人員在代碼中潛入了撥打的代碼�,并能在某個時間觸發(fā)。其實每次事件的追查成本都是很高的���,異常行為發(fā)現(xiàn)就是很好的止損的一種思路���,比如銀行的ATM取款機每天只能取走2萬現(xiàn)金,這些看似很簡單的限制其實作用非常大�。比如某單位每天的國際話費門檻為1萬�,超過就告警���。
外部攻擊者進入內(nèi)網(wǎng)后���,到最后偷取數(shù)據(jù),中間是要進行很多的所謂“活動”��,其行為一定會有區(qū)別與正常的用戶行為��,他一定會到處找目標����,可能會東張四望����,可能訪問不該訪問的地方,可能越權去做不該做的操作���,可能以同一身份通過不同設備登錄���。這種行為稱為攻擊者的“內(nèi)部潛行”(lateral movement)。高明的攻擊者在進入內(nèi)網(wǎng)后�,都傾向偽裝成合法用戶的身份去做一些非法的事情�����。如何通過異常能發(fā)現(xiàn)披著羊皮的狼就很關鍵了���。如果說“基于特征匹配的檢測防范了已知威脅”、基于“虛擬執(zhí)行的檢測阻止了未知惡意代碼進入系統(tǒng)內(nèi)部”�,那么對于已經(jīng)滲透進入系統(tǒng)內(nèi)部的攻擊者而言,“異常行為檢測成為了識別該類威脅的唯一機會”�����。
大家現(xiàn)在樂于說信息安全看見(visibility )的能力很重要��,要知己知彼�����,其實異常行為是最關鍵的一條安全線索��。先能看見�,才能做好后續(xù)的風險控制。
3.3凡尋找的必能找到
在實際的工作過程中�����,我們可以設定一些異常行為的場景,并通過自動化的手段進行異常發(fā)現(xiàn)�����。下面列舉幾個典型的異常行為場景:
1) 異常情境:異常資產(chǎn)的發(fā)現(xiàn)
可以通過對網(wǎng)絡互聯(lián)關系的全面監(jiān)控���, 捕捉每一條互聯(lián)關系并生成紀錄��,對任何非法在線的入網(wǎng)設備哪怕只要在線進行一次連接動作�,就一定能夠發(fā)現(xiàn)并對非法設備的連接行為進行取證�����。同時對系統(tǒng)中有網(wǎng)絡信息變動的設備也可以第一時間發(fā)現(xiàn)�����。
2) 異常情境:用戶的異常登錄
用戶登錄異常行為一般包括:異常時間��、異常IP����、多IP登錄、非個人用戶帳號登錄�����、頻繁登錄失敗等���。登錄異常行為同時也包括共享賬戶行為���,比如一個賬號短時間更換IP登陸,一個IP登陸了多個賬號等����。同時要包括設備指紋的識別,比如用戶登錄的終端忽然換了瀏覽器(是別人冒名登錄還是用戶重新使用了新的設備��?)�����。
下圖顯示了異常登錄的分析模型�����,主要的分析參數(shù)包括設備指紋�、登錄IP地址�����、是否為代理�、登錄時間��、用戶屬性以及是否黑名單等�。
3) 異常情境:敏感數(shù)據(jù)異常訪問
大多數(shù)用戶的日常行為是可預測的,每天的日?��;顒佣疾畈欢?�。惡意的內(nèi)部人員在偷盜數(shù)據(jù)或搞破壞前一定有異常的行為���。對于可疑的員工連接關鍵資產(chǎn)一定要引起足夠重視。這種異常通常未必是一個確定的違規(guī)行為����,但它可以作為重要的調(diào)查信息���。
下圖為同一賬戶非授權訪問敏感數(shù)據(jù)的分析模型:
4) 異常情境:木馬C&C隱蔽通道檢測
針對新型木馬不斷出現(xiàn)��,基于特征檢測的方法無法有效檢測特征庫之外的木馬的缺點����,我們可以采用基于木馬流量行為特征的木馬檢測方法。其優(yōu)勢在于可以檢測新型未知木馬��,無需依賴木馬特征庫工作��,提高了新型木馬檢測的時效性�。
5) 異常情境:異常的網(wǎng)絡行為
采用統(tǒng)計分析的方式,也可以發(fā)現(xiàn)一些異常行為��,比如從抓取的大量的流量數(shù)據(jù)中��,總結出“正常應用”的數(shù)據(jù)流量特征���,就容易發(fā)現(xiàn)“異常流量”�����,同時再進一步對異常流量涉及的IP進行重點分析��,發(fā)現(xiàn)攻擊行為�����。異常的網(wǎng)絡行為包括:異常的域名或IP訪問�、異常的訪問流量、異常的訪問端口���、異常的連接時間�����,異常的連接頻度��,異常的協(xié)議傳輸?shù)取?
6) 行為序列分析
很多場景下��,單個的行為都是正常的�����,但是行為序列化分析����,就會發(fā)現(xiàn)為異常行為��。比如:某木馬的被控端工作的時候�����,會自動向控制端的80端口發(fā)起連接�����,通過正常的http協(xié)議獲取驗證文件�����,以驗證控制端的有效性�;如果驗證文件獲取成功,木馬會連接控制端的一個自定義端口�,使用加密協(xié)議接受控制端的控制。這個連接過程����,80端口的連接和內(nèi)容都是正常的;而自定義端口是隨機的���、協(xié)議是未知的并且連接內(nèi)容是加密的�����,單獨用那一個連接�����,都無法通過特征匹配的方法來判斷出木馬�。而把兩個行為放在一起分析,獲得行為序列的綜合特征��。
4.分析能力是關鍵
安全分析員需要的是線索�����,線索只能代表相關性�����,而不是確定性�����,異常行為就是信息安全的一條重要線索���。工作在第一線的技術人員���,卻往往在發(fā)現(xiàn)可疑線索后,限于對線索研判的可信原始數(shù)據(jù)支持的條件制約����,很難實現(xiàn)對其事件定性及線索回查,處于被動防御的局面�。如何能夠化被動防御為主動防御�����,異常行為的鉆取�����、關聯(lián)��、挖掘非常重要,通過分析將一連串的線索穿起來����,由點及面進而逼近真相�����。舉個例子:從可疑IP�、關聯(lián)到訪問的用戶�����,從可疑的用戶關聯(lián)到其使用應用、數(shù)據(jù)庫或相關敏感文件等���,以時間維度,確定出惡意行為的行為序列�����,進一步可進行相關的責任界定等���。
4.1安全分析團隊
在整個短缺的人才中�,安全分析師是首當其沖的��。安全分析是要解讀報警、針對相關數(shù)據(jù)分析和調(diào)查����,并確定事件是否需要進一步升級���,分析師還可能參與事件響應過程或者其它任務(如:主機取證或者惡意軟件分析等)�。安全分析需要三個學科的交叉:安全技能(這里不是“黑客”�,是安全攻防技術)���,對業(yè)務的深入理解��,以及數(shù)學和統(tǒng)計(包括應用數(shù)據(jù)分析工具)。現(xiàn)在的大數(shù)據(jù)安全分析很難,主要是同時具備這三部分能力的團隊太少�����。通過協(xié)同合作可以來解決這些問題��。安全攻防知識是基礎���,對業(yè)務和數(shù)據(jù)的深入理解才是根本���。
4.2安全分析平臺
一個好的安全分析師��,需要依托一個良好的安全分析平臺才能事半功倍���,好的安全你分析平臺需要具備以下因素:
-
分析能力引擎化:國際著名的splunk分析平臺���,其自身也有一款安全產(chǎn)品,名字叫做Splunk App For Enterprise Security���,主要就是通過社區(qū)模式打造的安全分析插件共享平臺�����。分析人員的分析能力引擎化才能更好的協(xié)助分析師進行安全分析工作。
-
結合外部威脅情報:分析平臺最好可以集中多個來源的情報數(shù)據(jù)。實現(xiàn)對其事件定性及線索反查與線索擴展以及對攻擊事態(tài)第一時間發(fā)現(xiàn)感知����。威脅情報庫一般包括惡意程序樣本庫���、惡意程序分析報告庫����、惡意URL庫����、黑白域名庫��、黑白IP庫���、攻擊行為特征庫��、WHOIS信息庫����、漏洞庫等數(shù)據(jù)支撐庫,并通過數(shù)據(jù)挖掘與分析技術挖掘統(tǒng)一威脅線索�����,為安全專家定位網(wǎng)絡攻擊提供事實依據(jù)
-
社區(qū)化�����,建立生態(tài):我們必須依靠協(xié)同��、集體的力量才能更有效的發(fā)現(xiàn)威脅�,可以通過社區(qū)的方式大家來共享分析插件�,無社區(qū)不生命���。2016年RSA的創(chuàng)新沙盒第一名���,Phantom平臺采用社區(qū)模式��,通過接入第三方安全設備或服務實現(xiàn)平臺的擴展性��。安全設備或服務接入是通過定制Phantom App實現(xiàn)的��。Phantom Apps基于Python語言開發(fā)��,允許社區(qū)內(nèi)的任何人分享數(shù)據(jù)信息來擴展平臺的能力�,也允許在App
store中分享自定義的Apps�。
-
可視化呈現(xiàn):這里就不多闡述����,可視化確實能是分析人員的工作效率提高很多�����。
5. 響應處置是根本
5.1自動化能力,關注效率
自動化安全運維市場潛力巨大?����,F(xiàn)在安全人員的工作強度和壓力非常之高�,能降低工作量并提高效率的產(chǎn)品肯定會廣受歡迎����。我們從實際場景來看一起自動化運維的例子。發(fā)現(xiàn)一起可以攻擊或可以事件����,我們一般有兩條線可以往下延伸�����,1)攻擊側的深挖:可以自動化的通過TI(威脅情報平臺),對攻擊源進行關聯(lián)分析,對攻擊者���、攻擊手法等進行畫像�。甚至可以開啟自動化的端口掃描對源地址進行信息探測��,進行更深入的分析�。2)受害側的處置:自動化的關聯(lián)漏洞掃描系統(tǒng)���,對被攻擊者進行掃描��,根據(jù)掃描結果關聯(lián)到應急響應平臺�,獲取漏洞的處置方式并進行相關漏洞修復或執(zhí)行自動化的訪問控制措施等。最后再通過檢測系統(tǒng)對漏洞處置的結果進行返回確認���。
沒有action的威脅情報�,只會徒增安全管理員的煩惱和痛苦。大部分的用戶可以采用自建運營團隊或外部服務的方式來進行威脅的應對和處置��。FireEye提出了FireEye-As-A-Service的概念�,并在近期重點宣傳。和FireEye之前服務最大的不同就是FireEye的技術人員將7×24小時地監(jiān)控你的FireEye系統(tǒng)��,一旦發(fā)現(xiàn)威脅���,F(xiàn)ireEye的人員將不再像傳統(tǒng)服務那樣只是提供建議或電話支持����,而是直接操作你的設備進行響應�����,并結合技術檢測和專家服務�,組成技術、專家和智能的閉環(huán)�。
5.2應急響應平臺
安全行業(yè)目前已經(jīng)有了很多平臺:漏洞平臺、眾測平臺����、在線教育、威脅情報、安全媒體……���,但是安全加固或應急處置平臺目前業(yè)內(nèi)還沒有看到,該平臺對漏洞修復���、常見事件處理提供有效的驗證過的處理方法�����、處理流程���、處理工具等,可以大大提供維護人員的工作效率�����。我們也期待社區(qū)化模式的應急響應平臺的出現(xiàn)��。
6.他山之石:國外公司相關廠商和系統(tǒng)介紹
近幾年��,不斷涌現(xiàn)出異常行為和安全威脅分析的安全產(chǎn)品類別�����,主要包括如下。每個產(chǎn)品都從不同側面展現(xiàn)了異常行為分析的能力��。
-
UEBA – User and Entity Behavior Analytics
-
CASB – Cloud Application Security Broker
-
DLP – Data Leakage Protection
-
EDR – Endpoint Detection and Response
-
SIEM – Security Information & Event Management
下面對三個典型的分析產(chǎn)品做簡要介紹���。(部分文字翻譯自廠商資料)
6.1思科-ETA“無需解密”的加密流量威脅發(fā)現(xiàn)
互聯(lián)網(wǎng)業(yè)務未來看加密一定會常態(tài)化�,DPI、內(nèi)容識別的路子越來越窄����。思科推出的ETA技術(Encrypted Traffic Analytics���,加密流量分析功能)�,通過安全研究人員研究了數(shù)百萬不同流量上惡意流量和良性流量使用TLS���、DNS和HTTP方面的差異�����,提煉出惡意軟件最明顯的一系列流量特性�,專門針對網(wǎng)絡流量中加密或隱蔽隧道中威脅識別��,并最終形成了思科針對惡意軟件流量傳輸模型的Security Map�����。該方案通過收集來自全新Catalyst® 9000交換機和Cisco 4000系列集成多業(yè)務路由器的增強型NetFlow信息��,再與思科的高級安全分析能力進行組合����,ETA能夠幫助IT人員在無需解密的情況下找出加密流量中的惡意威脅。
6.2Interset–基于終端的行為分析偵測威脅
interset公司主要專注內(nèi)部異常行為的檢測����,為了降低誤報和去噪,采用了異常行為的量化評價的方式進行呈現(xiàn)����;借助斯諾登的事件作為樣例�����,interset提出的行為風險分析的組成元素有:User成員�����、Activity事件����、File資產(chǎn)/文件�、Method方法
如圖4個組成元素(User成員�����、Activity事件�����、File資產(chǎn)/文件、Method方法)說明例子中的行為風險是如何分析的, 詳細解釋如下:
User成員:斯諾登
組織中的每個成員(人��、設備)都有一個風險評分�,風險分基于他們的角色、連接的IP��、被發(fā)現(xiàn)的行為�,并計算進總風險分。成員的風險分相互獨立����,并根據(jù)他們的所做的事情的風險和安全程度不斷上下浮動���。
Activity事件:復制數(shù)量異常巨大的文件
每個行為的得分根據(jù)往常歷史和基準的不同而不同���。例如:根據(jù)歷史記錄,斯諾登每天只復制幾MB數(shù)據(jù)�����,而不是當前事件中的幾GB數(shù)據(jù)����。當與以往基準行為相比�����,出現(xiàn)高度異常時�����,行為風險部分得分會很高���。根據(jù)以往記錄(同一用戶與以前相比復制了過多的文件,或用戶與組內(nèi)其他相同職位成員相比復制了過多的文件)���,基準行為的得分是可計算的�����。
File資產(chǎn)/文件:復制的是重要的文件
每個被復制的文件���,根據(jù)對組織的重要程度、惡意外泄的影響��、文件所起的作用�����、文件本身的脆弱性,都有一個風險分����,并為總風險分提供依據(jù)。
Method方法:外接USB設備
當資產(chǎn)被轉移時����,風險分開始計算,當被轉移出公司認為是“安全區(qū)域”的地帶時�,風險分增加。例如:如果USB上傳被認為是禁止或是不符合策略的��,行為風險將被建模��。不同組織有不同的對待外部設備的策略��,風險分數(shù)根據(jù)策略和可疑程度上下浮動����。根據(jù)這4個得分最終計算出總風險��。
interset主要基于終端的信息收集�,通過數(shù)據(jù)分析引擎提供違規(guī)行為的安全告警�����。同時為常見的SOC、SIEM平臺提供了API接口���。
6.3Vectra–基于網(wǎng)絡流量的行為分析偵測威脅
Vectra的異常行為分析主要通過以下過程實現(xiàn)��,基于網(wǎng)絡流量檢測���、注重可視化是該平臺非常明顯的一個特色。
(一) 關鍵資產(chǎn)的識別:
通過分析內(nèi)部網(wǎng)絡流量�,采用機器學習的方式自動化的識別組織內(nèi)的安全資產(chǎn)(設備),同時將組織內(nèi)的設備或資產(chǎn)顯示在一張邏輯圖上��,很便利的看到設備之間的互聯(lián)關系。關鍵資產(chǎn)的識別主要基于幾個要素:可根據(jù)資產(chǎn)上存放的數(shù)據(jù)的重要性,同時考慮資產(chǎn)的使用者的重要性來確定是否是關鍵資產(chǎn)��。比如關鍵員工和高管的筆記本就可以被標記為關鍵資產(chǎn)�����,在Vectra的產(chǎn)品界面上很容易進行資產(chǎn)標記���。
(二) 異常行為的發(fā)現(xiàn):
該系統(tǒng)也可以檢測或識別出內(nèi)部用戶的端口掃描����、暗網(wǎng)掃描�、暴力破解等攻擊行為,如果是針對組織的關鍵資產(chǎn)所發(fā)起的攻擊行為���,這就可以當作一個內(nèi)部威脅的重要標識��。比如一般內(nèi)部用戶不會直接訪問c&c服務器�����,如果出現(xiàn)這些行為都代表內(nèi)部用戶確實出了問題�。其產(chǎn)品針對不同的惡意行為通過不同的告警顏色進行標識�����。
(三) 數(shù)據(jù)盜取的追蹤:
vectra采用數(shù)據(jù)科學技術自動化的檢測網(wǎng)絡內(nèi)部用戶的數(shù)據(jù)的打包�、偷取等行為,機器學習能主動發(fā)現(xiàn)在堆積如山的數(shù)據(jù)中惡意的內(nèi)部人員����。偷取數(shù)據(jù)一般兩種途徑:內(nèi)部人員可能通過物理介質比如USB設備偷取數(shù)據(jù),另一種常見的是通過網(wǎng)絡來偷取數(shù)據(jù)��,后一種可以通過檢測網(wǎng)絡流量中是否存在隱藏TUNNELS���、TOR活動�����、staged hop等���,如果存在這些情況基本可以判定發(fā)生了內(nèi)部的數(shù)據(jù)盜取威脅����,通過關聯(lián)分析�����,可以發(fā)現(xiàn)內(nèi)部人員數(shù)據(jù)偷取的整體行為視圖��。
7.結束語
-
被攻陷是難免的����,安全能力應從“防范”為主轉向“檢測和響應”能力的構建,以威脅為中心�����,能快速發(fā)現(xiàn)威脅并及時處置確保最小化的損失或避免損失�����。
-
未來安全的防護思路從“籬笆式”變成“獵人式”����,不是被動的防御,而是主動的發(fā)現(xiàn)安全威脅并處置�����。通過威脅情報結合異常行為分析��,協(xié)同防御�。
-
安全是人和人的對抗,和戰(zhàn)爭一樣����,最終拼的是資源。如何更有效的使用資源最關鍵����。通過發(fā)現(xiàn)異常行為,再逐步深入采用更高成本的流量分析��、沙箱執(zhí)行��、人工介入等����,是更可行的一種安全防御思路����。
-
信息安全的建設思路出發(fā)點是“止損”�����,能快速發(fā)現(xiàn)異常并及時處置確保最小化的損失���。
云安全門戶 云安全運營中心 