外防:威脅情報(bào)
大家談到APT的監(jiān)測與防御時(shí)�����,其實(shí)最難的是“P”,攻擊者可以花足夠長的時(shí)間來進(jìn)行“低速”攻擊,傳統(tǒng)的監(jiān)測手段不可能發(fā)現(xiàn),同時(shí)要做審計(jì)的話需要足夠長時(shí)間的數(shù)據(jù)�����,這個(gè)數(shù)據(jù)到底多大又是個(gè)問題。沒有集體共享的威脅和攻擊的情報(bào)����,單個(gè)組織將無法保衛(wèi)自己。Gartner也預(yù)測為大量企業(yè)提供可視化的威脅和攻擊情報(bào)的安全服務(wù)商將更受市場的歡迎�。安全情報(bào)以“空間”換“時(shí)間”,用協(xié)作來應(yīng)對APT攻擊的“P”�。
針對外部的攻擊,通過獲取威脅情報(bào)��,依靠專業(yè)的安全分析團(tuán)隊(duì),分析之后形成情報(bào)的處置決策(action)����,并通過網(wǎng)絡(luò)安全設(shè)備或終端上的安全軟件來執(zhí)行決策。整個(gè)過程可以通過機(jī)器的自動(dòng)化執(zhí)行����。
威脅情報(bào)一般包括信譽(yù)情報(bào)(“壞”的IP地址、URL��、域名等�,比如C2服務(wù)器相關(guān)信息)、攻擊情報(bào)(攻擊源��、攻擊工具��、利用的漏洞�����、該采取的方式等)等��。我們經(jīng)??梢詮腃ERT、安全服務(wù)廠商����、防病毒廠商����、政府機(jī)構(gòu)和安全組織那里看到安全預(yù)警通告����、漏洞通告、威脅通告等等����,這些都屬于典型的安全威脅情報(bào)。 而隨著新型威脅的不斷增長�����,也出現(xiàn)了新的安全威脅情報(bào)�����,例如僵尸網(wǎng)絡(luò)地址情報(bào)(Zeus/SpyEye Tracker)�、0day漏洞信息�����、惡意URL地址情報(bào),等等�。這些情報(bào)對于防守方進(jìn)行防御十分有幫助,但是卻不是單一的一個(gè)防守方自身能夠獲取和維護(hù) 得了的�。因此,現(xiàn)在出現(xiàn)了安全威脅情報(bào)市場��,有專門的人士�、公司和組織建立一套安全威脅情報(bào)分析系統(tǒng),獲得這些情報(bào)��,并將這些情報(bào)賣給作為防守方的企業(yè)和組織���。安全威脅情報(bào)市場現(xiàn)在是一個(gè)很大的新興安全細(xì)分市場���。
國外安全威脅情報(bào)的來源,簡單總結(jié)如下(含開源及商業(yè))
• OSINT
• Dell SecureWorks
• RSA NetWitness Live/Verisign iDefense
• Symantec Deepsight
• McAfee Threat Intelligence
• SANS
• CVEs, CWEs, OSVDB (Vulns)
• iSight Partners
• ThreatStream
• OpenDNS
• MAPP
• IBM QRadar
• Palo Alto Wildfire
• Crowdstrike
• AlienVault OTX
• RecordedFuture
• Team Cymru
• ISACs / US-CERT
• FireEye/Mandiant
• Vorstack
• CyberUnited
• Norse IPViking/Darklist
內(nèi)控:情景感知
對比2013年和2014年的Gartner技術(shù)成熟度曲線可看出����,情境感知(Context-Aware-Security)從谷底區(qū)到穩(wěn)步攀升期的一個(gè)快速轉(zhuǎn)變。
情境主要指“主體”到“客體”的訪問行為情景�����。主體是人或應(yīng)用�,客體是應(yīng)用或數(shù)據(jù)�����。情景在這里包含的因素有Who�����、What�、To-What����、When、Where等��。情境分析首先關(guān)注審計(jì)客體和審計(jì)動(dòng)作�,以What和How為主要關(guān)聯(lián)對象。
簡單的情境可包括:
Who��,低信譽(yù)的用戶(比如已經(jīng)中毒的用戶�����,發(fā)現(xiàn)存在攻擊行為的用戶)
What�,來自IT不支持的Linux 客戶端的訪問(客戶端都是Win7�����,突然來了個(gè)Linux來訪問自然不正常)
To What,對敏感數(shù)據(jù)的訪問(是否訪問的是敏感數(shù)據(jù))
When��,周日凌晨的訪問(這明顯不是工作時(shí)間�,訪問也明顯異常)
Where,來自沒有業(yè)務(wù)的海外(這也很明顯異常)�����。
常見的異常情景比如:登錄異常行為包括:異常時(shí)間���、異常IP��、多IP登錄�、頻繁登錄失敗等行為����。業(yè)務(wù)違規(guī)行為:包括惡意業(yè)務(wù)訂購、業(yè)務(wù)只查詢不辦理�、高頻業(yè)務(wù)訪問、業(yè)務(wù)繞行等等���。共享賬號:一個(gè)賬號短時(shí)間換IP�����,一個(gè)IP登了多個(gè)賬號等��。
斯諾登就是一典型的insider threats案例�,按照安全設(shè)計(jì)理念,他是能被發(fā)現(xiàn)的��,比如斯諾登經(jīng)常要同事的帳號訪問系統(tǒng)���,比如斯諾登可能比一般員工更多的訪問了核心服務(wù)器����,比如斯諾登可能短時(shí)間內(nèi)打包了很多的敏感數(shù)據(jù)等��,這些行為都可以通過情景感知來發(fā)現(xiàn)異常�。
下表列舉了認(rèn)證登錄情景中主要關(guān)心的一些要素點(diǎn):
安全分析是核心能力
大數(shù)據(jù)時(shí)代數(shù)據(jù)的采集、存儲����、分析、呈現(xiàn)等等�����,很少有一家能完全做的了�����,通吃也真沒必要也沒能力�,從細(xì)分看,做采集的可能有集成商或服務(wù)商來完成實(shí)施工作����,做存儲的有擅長Hadoop的來做,做分析層的需要有懂業(yè)務(wù)�、了解安全的服務(wù)團(tuán)隊(duì)做的插件或APP來完成,數(shù)據(jù)的呈現(xiàn)又是專門的團(tuán)隊(duì)來做�����。
數(shù)據(jù)是金子����,對安全行業(yè)依然如此。數(shù)據(jù)分析師需要了解業(yè)務(wù)�、了解安全、了解算法等等各項(xiàng)技能����。比如關(guān)聯(lián)分析:用于在海量審計(jì)信息中找出異構(gòu)異源事件信息之間的關(guān)系��,通過組合判斷多個(gè)異構(gòu)事件判斷操作行為性質(zhì)��,發(fā)掘隱藏的相關(guān)性�,發(fā)現(xiàn)可能存在的違規(guī)行為�。比如數(shù)據(jù)挖掘:基于適當(dāng)?shù)乃惴▉韺?shù)據(jù)集進(jìn)行聚類分類,能夠區(qū)分異常行為和正常行為�����。就上圖而言����,中間的分析層,業(yè)內(nèi)做的好的很少��,這個(gè)也是數(shù)據(jù)分析師能充分發(fā)揮作用的地方���。
我們的實(shí)踐
事實(shí)上��,一種理念的盛行往往是對已經(jīng)存在的實(shí)踐的總結(jié)和提升�。無論是威脅情報(bào)也好�,情景感知也好�,事實(shí)上其核心技術(shù)在業(yè)界早有實(shí)踐�,只是沒有如此清晰并且成趨勢的被總結(jié)和表述出來。WebRAY在從事Web安全的實(shí)踐過程中就已經(jīng)在我們的系列安全產(chǎn)品中融入了安全情報(bào)體系�。
WebRAY在“烽火臺”網(wǎng)站監(jiān)控預(yù)警平臺體系中內(nèi)置了全球的IP信譽(yù)庫,并且每天更新200萬條信息�����。監(jiān)控平臺會把IP信譽(yù)體系更新到各個(gè)授權(quán)防護(hù)節(jié)點(diǎn)��,并且以可視化形態(tài)展現(xiàn)web訪問者的信譽(yù)�,從而為用戶提供決策依據(jù)�,將攻擊扼殺在萌芽之中。
而從另一個(gè)方面�, Web應(yīng)用防護(hù)系統(tǒng),又是非常寶貴的情報(bào)收集源頭�����。通過我們遍布全國的4000多臺WAF設(shè)備�,將攻擊情況定期匯總到“烽火臺”系統(tǒng),并通過我們的安全團(tuán)隊(duì)進(jìn)行識別和挖掘�,從而形成新的額IP信譽(yù)庫, 更新到烽火臺�,并同步到全部的WAF系統(tǒng)上��。
當(dāng)然我們也希望有一天可以把我們的威脅情報(bào)轉(zhuǎn)化成直接的信息資產(chǎn)有價(jià)的提供給其他安全企業(yè)�����、管理機(jī)構(gòu)��、和最終用戶����。我認(rèn)為����,威脅情報(bào)的直接商品化是必然的趨勢。
