习总书记4月19日讲话谈到:全天候全方位感知网络安全态势。知己知彼,才能百战不殆。没有意识到风险是最大的风险。网络安全具有很强的隐蔽性,一个技术漏洞、安全风险可能隐藏几年都发现不了,结果是“谁进来了不知道、是敌是友不知道、干了什么不知道”,长期“潜伏”在里面,一旦有事就发作了。 1 前言
大家都知道,安全是对抗,不可能完全防范,单纯的防御措施无法阻止蓄意的攻击者,这已经是大家都认同的事实。gartner的自适应安全架构也提到了 检测、预警、响应的重要性。Gartner预测到2020年,防范措施将不再重要,关键是监控和情报,60%的安全预算会投入到检测和响应中。
鉴于业务模式日新月异、威胁局面变幻莫测且安全解决方案复杂多样,企业需要一个全新的安全模型。安全行业这两年来,思维模式已经从单纯强调防护,转变 到注重预警、检测、响应的格局,安全能力从“防范”为主转向“快速检测和响应能力的”的构建,实时防御将以威胁为中心,它不再强调单点的检测,也不再单纯 的追求告警的精确性,而是将若干的点关联起来,以数据为驱动来解决问题。
笔者根据多年的安全服务工作经验,将以威胁为中心的信息安全能力建设问题总结为以下四个方面,并进行详细阐述。
Ø 全面感知是基础
Ø 异常行为是线索
Ø 分析能力是关键
Ø 响应处置是根本
2 全面感知是基础
2.1 感知面
没有数据,类似无米之炊,数据源的完备才能够真正的感知安全威胁。要想全面的感知安全威胁,我们从三个纬度来看:
1)在外部看外部
有些安全风险或外部威胁,即便企业从内部做再多的数据监控都无法发现这一部分。比如伪基站、撞库攻击、Github信息泄露、钓鱼等等。对于这类威胁 或者信息泄漏,我们必须在外部看外部,利用网络技术在各知名安全情报平台收集最新的威胁信息才能实现,一些知名网站补天、wooyun、Whois、安全 人员的社交圈如Twitter、微博、技术博客、alexa.com、malwaredomains.com、blocklist.de、 openphish.com、isc.sans.edu等,都是收集威胁或风险信息的好渠道。
2)从外部看内部
企业到底有哪些设备/应用暴露在互联网?都是什么样设备/应用?这些设备/应用处于什么状态?它们开放了那些端口,提供了哪些服务?这些设备/应用现 在存在哪些风险?暴露面越大风险就越大。这些都需要从互联网侧对内部进行测试探知。目前业内很热的网站安全监控系统其实就是类似的一种方式,包括网站的可 用性测试、漏洞测试、页面篡改挂马测试、非法内容测试等都是这种方式。
3)在内部看内部
内部的威胁感知也非常重要,目前业内的安全威胁检测系统通过自动探测网络流量或系统数据发现可能涉及的潜在入侵、攻击和滥用的安全威胁。内部的数据源 不仅对传统的安全日志进行收集处理、更可将收集的范围扩充至业务数据、运维数据甚至用户数据,涉及的对象包括日志、流量、内容、系统状态等。
2.2 感知能力
企业需要从事件驱使型(被动)感知,向情报引导及风险驱使型(主动)感知转变。
1)被动感知
被动感知主要包括传统的被动检测方式:各种已知检测工具的报警,监控系统的报警或者来自第三方的通报(如:行业主管或者国家部门),实时了解我们网络中发生的事件。
2)主动感知
主动安全不是说直接攻击对手,而是在攻击者有攻击企图的早期就能预警到,并进行行为监控,并能及时采取action。威胁情报分析,实质也就是挖掘整 体黑色产业链,主动的监控、切断相关环节,并对恶意工具的制作者、攻击者、卖家买家等进行查出,从而达到主动防御的效果。未来安全的防护思路从“篱笆式” 变成“猎人式”,不是被动的防御,而是主动的发现安全威胁并处置。通过威胁情报结合异常行为分析,协同防御。
3 异常行为是线索
线索是未知威胁留下的痕迹,是入侵造成的异常。如果你发现一个异常,无论是恶意域名或疑似木马,还是疑似盗取数据的行为,那么你就有了一个起始点,也 许这时候你并不知道面对的是什么样的威胁,或者根本就不是威胁,但至少可以深入调查。如果线索质量高,十有八九你真能很快定位一次入侵。
3.1 凡走过必留痕迹
大家现在乐于说信息安全看见(visibility )的能力很重要,要知己知彼,其实异常行为是最关键的一条安全线索。先能看见,才能做好后续的风险控制。外部攻击者进入内网后,到最后偷取数据,中间是要 进行很多的所谓“活动”,其行为一定会有区别与正常的用户行为,他一定会到处找目标,可能会东张四望,可能访问不该访问的地方,可能越权去做不该做的操 作,可能以同一身份通过不同设备登录。这种行为称为攻击者的“内部潜行”(lateral movement)。高明的攻击者在进入内网后,都倾向伪装成合法用户的身份去做一些非法的事情。如何通过异常能发现披着羊皮的狼就很关键了。如果说“基 于特征匹配的检测防范了已知威胁”、基于“虚拟执行的检测阻止了未知恶意代码进入系统内部”,那么对于已经渗透进入系统内部的恶意代码而言,“异常行为检 测成为了识别该类威胁的唯一机会”。
互联网业务未来看加密一定会常态化,DPI、内容识别的路子越来越窄。异常行为的前途会越来越广阔。
3.2 凡寻找的必能找到
在实际的工作过程中,我们可以设定一些异常行为的场景,并通过自动化的手段进行异常发现。下面列举几个典型的异常行为场景:
1)异常情境:异常资产的发现
可以通过对网络互联关系的全面监控, 捕捉每一条互联关系并生成纪录,对任何非法在线的入网设备哪怕只要在线进行一次连接动作, 就一定能够发现, 并对非法设备的连接行为进行取证。同时对系统中有网络信息变动的设备也可以第一时间发现。
2)异常情境:用户的异常登录
重点分析用户认证登录异常行为:如异常时间、异常IP、多IP登录、非个人用户帐号登录、频繁登录失败等。登录异常行为同时也包括共享账户行为,比如一个账号短时间更换IP登陆,一个IP登陆了多个账号等。
3)异常情境:敏感数据异常访问行为
大多数用户的日常行为是可预测的,每天的日常活动都差不多。恶意的内部人员在偷盗数据或搞破坏前一定有异常的行为。对于可疑的员工连接关键资产一定要引起足够重视。这种异常通常未必是一个确定的违规行为,但它可以作为重要的调查信息。
4)异常情境:木马CC隐蔽通道检测
针对新型木马不断出现,基于特征检测的方法无法有效检测特征库之外的木马的缺点,我们可以采用基于木马流量行为特征的木马检测方法。其优势在于可以检测新型未知木马,无需依赖木马特征库工作,提高了新型木马检测的时效性。
4 分析能力是关键
安全分析员需要的是线索,线索只能代表相关性,而不是确定性,异常行为就是信息安全的一条重要线索。工作在第一线的技术人员,却往往在发现可疑线索 后,限于对线索研判的可信原始数据支持的条件制约,很难实现对其事件定性及线索回查,处于被动防御的局面。如何能够化被动防御为主动防御,实现对攻击事态 第一时间发现感知,异常行为的钻取、关联、挖掘就非常重要,通过分析将一连串的线索穿起来,由点及面进而逼近真相。
4.1 安全分析团队
数据是金子,对安全行业依然如此。数据分析师需要了解业务、了解安全、了解算法等等各项技能。比如关联分析:用于在海量审计信息中找出异构异源事件信 息之间的关系,通过组合判断多个异构事件判断操作行为性质,发掘隐藏的相关性,发现可能存在的违规行为。比如数据挖掘:基于适当的算法来对数据集进行聚类 分类,能够区分异常行为和正常行为。
在整个短缺的人才中,安全分析师是首当其冲的。安全分析是要解读报警、针对相关数据分析和调查,并确定事件是否需要进一步升级,分析师还可能参与事件 响应过程或者其它任务(如:主机取证或者恶意软件分析等)。安全分析需要三个学科的交叉:安全技能(这里不是“黑客”,是安全攻防技术),对业务的深入理 解,以及数学和统计(包括应用数据分析工具)。现在的大数据安全分析很难,主要是同时具备这三部分能力的团队太少。通过协同合作可以来解决这些问题。安全 攻防知识是基础,对业务和数据的深入理解才是根本。
4.2 安全分析平台
一个好的安全分析师,需要依托一个良好的安全分析平台才能事半功倍,好的安全你分析平台需要具备以下因素:
Ø 分析能力引擎化:国际著名的splunk分析平台,其自身也有一款安全产品,名字叫做 Splunk App ForEnterprise Security,主要就是通过社区模式打造的安全分析插件共享平台。分析人员的分析能力引擎化才能更好的协助分析师进行安全分析工作。
Ø 结合外部威胁情报:分析平台最好可以集中多个来源的情报数据。实现对其事件定性及线索反查与线索扩展以及对攻击事态第一时间发现感知。威胁情报库一般包括 恶意程序样本库、恶意程序分析报告库、恶意URL库、黑白域名库、黑白IP库、攻击行为特征库、WHOIS信息库、漏洞库等数据支撑库,并通过数据挖掘与 分析技术挖掘统一威胁线索,为安全专家定位网络攻击提供事实依据
Ø 社区化,建立生态:我们必须依靠协同、集体的力量才能更有效的发现威胁,可以通过社区的方式大家来共享分析插件,无社区不生命。2016年RSA的创新沙 盒第一名,Phantom平台采用社区模式,通过接入第三方安全设备或服务实现平台的扩展性。安全设备或服务接入是通过定制Phantom App实现的。Phantom Apps 基于Python语言开发,允许社区内的任何人分享数据信息来扩展平台的能力,也允许在Appstore中分享自定义的Apps。
Ø 可视化呈现:这里就不多阐述,可视化确实能是分析人员的工作效率提高很多。
5 响应处置是根本
5.1 自动化能力
自动化安全运维市场潜力巨大。现在安全人员的工作强度和压力非常之高,能降低工作量并提高效率的产品肯定会广受欢迎。我们从实际场景来看一起自动化运 维的例子。发现一起可以攻击或可以事件,我们一般有两条线可以往下延伸,1)攻击侧的深挖:可以自动化的通过TI(威胁情报平台),对攻击源进行关联分 析,对攻击者、攻击手法等进行画像。甚至可以开启自动化的端口扫描对源地址进行信息探测,进行更深入的分析。 2)受害侧的处置:自动化的关联漏洞扫描系统,对被攻击者进行扫描,根据扫描结果关联到应急响应平台,获取漏洞的处置方式并进行相关漏洞修复或执行自动化 的访问控制措施等。最后再通过检测系统对漏洞处置的结果进行返回确认。
没有action的威胁情报,只会徒增安全管理员的烦恼和痛苦。大部分的用户可以采用自建运营团队或外部服务的方式来进行威胁的应对和处置。 FireEye提出了FireEye-As-A-Service的概念,并在近期重点宣传。和FireEye之前服务最大的不同就是FireEye的技术 人员将7×24小时地监控你的FireEye系统,一旦发现威胁,FireEye的人员将不再像传统服务那样只是提供建议或电话支持,而是直接操作你的设 备进行响应,并结合技术检测和专家服务,组成技术、专家和智能的闭环。
5.2 应急响应平台
安全行业目前已经有了很多平台:漏洞平台、众测平台、在线教育、威胁情报、安全媒体……,但是安全加固或应急处置平台目前业内还没有看到,该平台对漏 洞修复、常见事件处理提供有效的验证过的处理方法、处理流程、处理工具等,可以大大提供维护人员的工作效率。我们也期待社区化模式的应急响应平台的出现。
6 结束语
被攻击是不可避免的,信息安全的建设思路出发点是“止损”, 安全能力从“防范”为主转向“快速检测和响应能力的”的构建,以威胁为中心,能快速发现威胁并及时处置确保最小化的损失或避免损失。
