WebRAY理念谈:“威胁情报与情景感知”

围观次数:655 views

            RSA归来话感受:RSA过去有一段时间了,但是给我留下的冲击仍然很大。作为第一次参加RSA的国内厂商,WebRAY能得以有机会在全球最大的信息安全展会上展示自己,这让我感到自豪,同时也非常感谢中关村管委会给我们的大力支持。而同时,这也是一次全面学习国际信息安全发展趋势的大好机会。随着时间的过去,许多类似于砸盒子的噱头慢慢淡去,而真正给我留下印象的是两个关键词:威胁情报情景感知

           高级的定向攻击使“防范”为中心的策略已经过时。安全是对抗,不可能完全防范。做安全的思路应该从防止安全入侵这种不可能的任务转到了防止损失这一关键任务上,防范措施必不可少,但是基于预警、响应的时间差更关键。从未来看,企业安全将会发生一个大的转变:即以“信息和人”为中心的安全策略,结合全面的内部监控和安全情报共享。全方位的内部监控和安全情报是保护信息安全的主要手段。实际的安全工作中,很多用户知道要严防死守外部侵袭,但往往忽略了内部威胁对系统造成的破坏,实际上大多数安全威胁都来自内部。外部的防御与内部的控制(内部异常行为的发现与处置)都很重要。

            针对外部的攻击(即外防),主要通过获取威胁情报,依靠专业的安全分析团队,分析之后形成情报的处置决策,并通过网络安全设备或终端上的安全软件来执行决策(Action),达到针对高级攻击的防范。

            内部异常行为的监控(即内控):内部的异常行为造成的破坏是安全事故最大的来源,外部攻击者发起APT攻击,其中的部分环节Delivery、Exploitation、Installation、Command and Control (C2)、Actions on Objectives都需要通过“内部行走”才能接触到敏感数据达到盗取或破坏的目的;同时企业内部的威胁源包括可能准备离职有恶意的内部人员、内部人员的长期慢速的信息泄露、内部攻击也可能具备内部访问权限的合作伙伴或者第三方发起。如果通过制定不同的情景,通过获取样本,建立正常行为模型,然后分析内部网络流量或终端服务器上的行为,并发现异常,情景感知(Context-Aware)是安全监测的很重要触发点。

外防:威胁情报

         大家谈到APT的监测与防御时,其实最难的是“P”,攻击者可以花足够长的时间来进行“低速”攻击,传统的监测手段不可能发现,同时要做审计的话需要足够长时间的数据,这个数据到底多大又是个问题。没有集体共享的威胁和攻击的情报,单个组织将无法保卫自己。Gartner也预测为大量企业提供可视化的威胁和攻击情报的安全服务商将更受市场的欢迎。安全情报以“空间”换“时间”,用协作来应对APT攻击的“P”。

          针对外部的攻击,通过获取威胁情报,依靠专业的安全分析团队,分析之后形成情报的处置决策(action),并通过网络安全设备或终端上的安全软件来执行决策。整个过程可以通过机器的自动化执行。

          威胁情报一般包括信誉情报(“坏”的IP地址、URL、域名等,比如C2服务器相关信息)、攻击情报(攻击源、攻击工具、利用的漏洞、该采取的方式等)等。我们经常可以从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告等等,这些都属于典型的安全威胁情报。而随着新型威胁的不断增长,也出现了新的安全威胁情报,例如僵尸网络地址情报(Zeus/SpyEye Tracker)、0day漏洞信息、恶意URL地址情报,等等。这些情报对于防守方进行防御十分有帮助,但是却不是单一的一个防守方自身能够获取和维护得了的。因此,现在出现了安全威胁情报市场,有专门的人士、公司和组织建立一套安全威胁情报分析系统,获得这些情报,并将这些情报卖给作为防守方的企业和组织。安全威胁情报市场现在是一个很大的新兴安全细分市场。

国外安全威胁情报的来源,简单总结如下(含开源及商业)

OSINT

    Dell SecureWorks

RSA NetWitness Live/Verisign iDefense

Symantec Deepsight

McAfee Threat Intelligence

SANS

CVEs, CWEs, OSVDB (Vulns)

iSight Partners

ThreatStream

OpenDNS

MAPP

IBM QRadar

Palo Alto Wildfire

Crowdstrike

AlienVault OTX

RecordedFuture

Team Cymru

ISACs / US-CERT

FireEye/Mandiant

Vorstack

CyberUnited

Norse IPViking/Darklist

内控:情景感知

        对比2013年和2014年的Gartner技术成熟度曲线可看出,情境感知(Context-Aware-Security)从谷底区到稳步攀升期的一个快速转变。

        情境主要指“主体”到“客体”的访问行为情景。主体是人或应用,客体是应用或数据。情景在这里包含的因素有Who、What、To-What、When、Where等。情境分析首先关注审计客体和审计动作,以What和How为主要关联对象。

        简单的情境可包括:

Who,低信誉的用户(比如已经中毒的用户,发现存在攻击行为的用户)

What,来自IT不支持的Linux 客户端的访问(客户端都是Win7,突然来了个Linux来访问自然不正常)

To What,对敏感数据的访问(是否访问的是敏感数据)

When,周日凌晨的访问(这明显不是工作时间,访问也明显异常)

Where,来自没有业务的海外(这也很明显异常)。

         常见的异常情景比如:登录异常行为包括:异常时间、异常IP、多IP登录、频繁登录失败等行为。业务违规行为:包括恶意业务订购、业务只查询不办理、高频业务访问、业务绕行等等。共享账号:一个账号短时间换IP,一个IP登了多个账号等。

         斯诺登就是一典型的insider threats案例,按照安全设计理念,他是能被发现的,比如斯诺登经常要同事的帐号访问系统,比如斯诺登可能比一般员工更多的访问了核心服务器,比如斯诺登可能短时间内打包了很多的敏感数据等,这些行为都可以通过情景感知来发现异常。

下表列举了认证登录情景中主要关心的一些要素点:

        大数据时代数据的采集、存储、分析、呈现等等,很少有一家能完全做的了,通吃也真没必要也没能力,从细分看,做采集的可能有集成商或服务商来完成实施工作,做存储的有擅长Hadoop的来做,做分析层的需要有懂业务、了解安全的服务团队做的插件或APP来完成,数据的呈现又是专门的团队来做。

数据是金子,对安全行业依然如此。数据分析师需要了解业务、了解安全、了解算法等等各项技能。比如关联分析:用于在海量审计信息中找出异构异源事件信息之间的关系,通过组合判断多个异构事件判断操作行为性质,发掘隐藏的相关性,发现可能存在的违规行为。比如数据挖掘:基于适当的算法来对数据集进行聚类分类,能够区分异常行为和正常行为。就上图而言,中间的分析层,业内做的好的很少,这个也是数据分析师能充分发挥作用的地方。

发表评论

邮箱地址不会被公开。 必填项已用*标注

广告赞助