大家都知道,安全是对抗,不可能完全防范,系统无非两种状态已经被攻破的,或即将被攻破的。做安全的思路从防止安全入侵这种不可能的任务转到了防止损失这一关键任务上。基于预警、响应的时间差更关键。 业内针对APT检测防御的产品现在很热,大的厂商不谈APT都不好意思见客户。
在大量针对高级威胁的“外防”产品后,内网的异常行为分析系统应该会成为下个热点之一。 1、外部的攻击要真正达到目的必须经过“内网行走”才能接触到敏感数据等; 2、大量的安全事件是内部的恶意或无意员工造成,或长期的潜伏或离职意向前的突发行为,或内外结合造成。某种程度内部更难防。
许多大数据分析平台目前都在基于行为分析的模型上做文章。通过获取样本,机器学习建立正常行为模型,然后分析内部网络流量的行为,并发现异常。 异常行为有很多类型,比如用户认证登录异常行为:如异常时间、异常IP、多IP登录、非个人用户帐号登录、频繁登录失败等。异常行为发现是安全监测的很重要触发点,安全也是对抗,很战争一样,最终拼的是资源。如何更有效的使用资源最关键。通过发现异常行为,再逐步深入采用更高成本的流量分析、沙箱执行、人工介入等。
针对内部威胁的一直比较关注一些国外公司,比如RSA2015年大会上的interset公司提到到内部异常行为的量化评价。借助斯诺登的事件作为样例。
以下引用相关的资料: 行为风险分析的组成元素有:User成员、Activity事件、File资产/文件、Method方法 如图4个组成元素(User成员、Activity事件、File资产/文件、Method方法)说明例子中的行为风险是如何分析的, 详细解释如下:
(1)User成员:斯诺登 组织中的每个成员(人、设备)都有一个风险评分,风险分基于他们的角色、连接的IP、被发现的行为,并计算进总风险分。成员的风险分相互独立,并根据他们的所做的事情的风险和安全程度不断上下浮动。
(2)Activity事件:复制数量异常巨大的文件 每个行为的得分根据往常历史和基准的不同而不同。例如:根据历史记录,斯诺登每天只复制几MB数据,而不是当前事件中的几GB数据。当与以往基准行为相比,出现高度异常时,行为风险部分得分会很高。根据以往记录(同一用户与以前相比复制了过多的文件,或用户与组内其他相同职位成员相比复制了过多的文件),基准行为的得分是可计算的。
(3)File资产/文件:复制的是重要的文件 每个被复制的文件,根据对组织的重要程度、恶意外泄的影响、文件所起的作用、文件本身的脆弱性,都有一个风险分,并为总风险分提供依据。
(4)Method方法:外接USB设备 当资产被转移时,风险分开始计算,当被转移出公司认为是“安全区域”的地带时,风险分增加。例如:如果USB上传被认为是禁止或是不符合策略的,行为风险将被建模。不同组织有不同的对待外部设备的策略,风险分根据策略和可疑程度上下浮动。根据这4个得分最终计算出总风险。