“凡走过,必留下痕迹”:信息安全之异常行为分析谈

围观次数:852 views

(一)、引言:披着羊皮的狼

外部攻击者进入内网后,到最后偷取数据,中间是要进行很多的所谓“活动”,其行为一定会有区别与正常的用户行为,他一定会到处找目标,可能会东张四望,可能访问不该访问的地方,可能越权去做不该做的操作,可能以同一身份通过不同设备登录。这种行为称为攻击者的“内部潜行”(lateral movement)。高明的攻击者在进入内网后,都倾向伪装成合法用户的身份去做一些非法的事情。如何通过异常能发现披着羊皮的狼就很关键了。

t01931cce66825fa32a

引用网上一段更学术的话: “如果说“基于特征匹配的检测防范了已知威胁”、基于“虚拟执行的检测阻止了未知恶意代码进入系统内部”,那么对于已经渗透进入系统内部的恶意代码而言,“异常行为检测成为了识别该类威胁的唯一机会”。

APT攻击者企图隐藏一切,但当攻击发生时,流量和行为无论如何伪装也会展现出来

无标题4

(二)、异常行为分析的重要性和必要性

单纯的防御措施无法阻止蓄意的攻击者,这已经是大家都认同的事实,有一句话这两年经常听到“世界上只有两种组织:知道自己被黑的、不知道自己被黑的”,可 以更延伸的说两种组织:值得被黑的,不值得被黑的”,被攻击是不可避免的,信息安全的建设思路出发点是“止损”,能快速发现异常并及时处置确保最小化的损失。非常类似人体的免疫力,及时发现异常,非自身的组织细胞人体会本能的排斥。

笔者经历过多次的信息安全事件,其实并不是每个安全事件都能找到最后的原因,更不用说追踪到攻击者或恶意行为者。多年前曾处理过一个安全事故:用户的系统一天出现了30多万的国际长途电话费用,最后组织各方力量也未能查到到底谁干的,基本的判断可能是内部开发人员在代码中潜入了拨打的代码,并能在某个时间触发。携程的应用宕机事件其实到底什么原因作为外人不得而知,但是内部肯定要花足够的成本才能确定是肯定的事情。

异常行为发现就是很好的止损的一种思路,比如银行的ATM取款机每天只能取走2万现金,这些看似很简单的限制其实作用非常大。比如某单位每天的国际话费门槛为1万,超过就告警。

大家现在乐于说信息安全看见(visibility )的能力很重要,要知己知彼,其实异常行为是最关键的一条安全线索。先能看见,才能做好后续的风险控制。

无标题5

另:互联网业务未来看加密一定会常态化DPI、内容识别的路子越来越窄异常行为的前途会越来越广阔。

 

(三)异常行为场景举例

以下异常场景大家可以想想:

  • 新疆乌鲁木齐加油站:观察到一个车一天到加油站加三次油,异常。(收集这么多汽油有其他企图?)

  • 一个内部服务器,某天与内部的其他服务器都突然有大量的访问连接。(是不是外部攻击者在内部的“横向潜移”寻找目标?)

  • 网络有个超长会话连接。(外联的IP是什么,是业务故障还是连接C&C的异常行为?)

  • 某个用户突然有一天接收了大量的历史邮件。(接收过的邮件一般用户都不会再看,这次异常是用户自己操作的吗?)

  • 用户登录的终端忽然换了浏览器。(是别人冒名登录还是用户重新使用了新的设备?)
    无标题3

异常行为有很多类型,比如登录异常行为包括了:异常时间、异常IP、多IP登录、频繁登录失败等。比如业务违规行为:包括恶意业务订购、业务只查询不办理、高频业务访问、业务绕行等等。

 

(四)行为模型

采用5W1H分析方法为主线进行行为建模分析,并进行责任认定,采用迭代等方法。

无标题6

(五)异常行为分析思路

攻防最终是资源的对抗许多大数据分析平台目前都在基于行为分析的模型上做文章。通过获取样本,机器学习建立正常行为模型,然后分析内部网络流量的行为,并发现异常。

无标题2

异常行为发现是安全监测的很重要触发点,安全也是对抗,和战争一样,最终拼的是资源。如何更有效的使用资源最关键。通过发现异常行为,再逐步深入采用更高成本的流量分析、沙箱执行、人工介入等。

(六)异常行为的钻取、追责

从线索出发,大数据时代的如果直接考虑确定性证据,会错失很多机会。安全分析员需要的是线索,线索只能代表相关性,而不是确定性,钻取这个词会越来越常见,安全分析的过程需要将一连串的线索穿起来,由点及面进而逼近真相。 举个例子:从可疑IP、关联到访问的用户,从可疑的用户关联到其使用应用、数据库或相关敏感文件等,以时间维度,确定出恶意行为的行为序列,并给出严重的级别。

无标题

(七)结束语

多年前,与小榕一起同事的时候,有次讨论“流光、溯雪和乱刀”等一脉的工具特点时,榕总有一句话印象足够深刻:“破解是王道”。

这里末尾也套用一句“异常行为发现是信息安全的王道

1人评论了““凡走过,必留下痕迹”:信息安全之异常行为分析谈”

  1. 互联网的Https的趋势化,异常行为的分析确实安全防御的目标,而传统的做法是无法适应安全了。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

广告赞助