大數(shù)據(jù)時(shí)代的來(lái)臨�,企業(yè)不僅要學(xué)習(xí)如何挖掘數(shù)據(jù)價(jià)值�����,還要竭盡所能的進(jìn)行安全整合�,以免遭到更強(qiáng)有力的攻擊,降低風(fēng)險(xiǎn)�����。近日��,在參加“OWASP 2015中國(guó)應(yīng)用安全論壇——業(yè)務(wù)安全之大數(shù)據(jù)分析”會(huì)議上����,WebRAY創(chuàng)始人權(quán)小文先生表示:“任何事物都有存在的兩面性���,大數(shù)據(jù)也是如此��,雖然黑客盯準(zhǔn)了它�,但大數(shù)據(jù)一樣可以用來(lái)反擊�����。基于大數(shù)據(jù)分析的內(nèi)網(wǎng)異常檢測(cè)技術(shù)���,已經(jīng)為有效發(fā)現(xiàn)和阻斷內(nèi)網(wǎng)攻擊的做好了準(zhǔn)備����。”
APT防范思路“掉頭”內(nèi)網(wǎng)
企業(yè)內(nèi)網(wǎng)承載大量的核心資產(chǎn)和機(jī)密數(shù)據(jù)��,雖然用戶采用了層層疊加的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品�����,SOC����、監(jiān)控中心、網(wǎng)管系統(tǒng)���、流量分析系統(tǒng)等處處把關(guān)�����,但出現(xiàn)在內(nèi)網(wǎng)的攻擊和泄露事件并未減少�����。究其緣由���,這與內(nèi)網(wǎng)安全數(shù)年來(lái)不能改變的傳統(tǒng)防護(hù)技術(shù)有關(guān)����,更與內(nèi)網(wǎng)入侵事件所處的場(chǎng)景化有關(guān)��。
那么�����,何為“傳統(tǒng)”�、何為“情景”呢?權(quán)小文做出了如下解答:
他指出����,“內(nèi)網(wǎng)防護(hù)現(xiàn)狀是離散的��、非體系化的防護(hù)方法����,而大量的安全事件或者是內(nèi)部員工的惡意、無(wú)意造成���,或者是長(zhǎng)期的潛伏或離職意向前的突發(fā)行為����。因此,要想在內(nèi)網(wǎng)發(fā)現(xiàn)不法人員盜取數(shù)據(jù)的‘行走軌跡’��,就要借助防御APT攻擊的思路���,針對(duì)內(nèi)網(wǎng)定制化的情景����,通過(guò)獲取樣本��,建立正常行為模型�,然后分析內(nèi)部網(wǎng)絡(luò)流量或終端服務(wù)器上的行為,做到情景感知���,這將是有別于傳統(tǒng)防御方案的新起點(diǎn)�����、后續(xù)監(jiān)測(cè)和分析的觸發(fā)點(diǎn)�。”
據(jù)了解,APT攻擊防范的難點(diǎn)在于��,黑客采用了高度定制的代碼����,有時(shí)很可能只適用“一次”,隨之潛伏下來(lái)�����,由于沒(méi)有已知的特征��,所以這些攻擊很難被傳統(tǒng)對(duì)檢測(cè)手段發(fā)現(xiàn)��。而靜態(tài)檢測(cè)無(wú)法檢測(cè)到深度攻擊行為���,但動(dòng)態(tài)檢測(cè)由于存在大量的環(huán)境組合�,無(wú)法窮舉��,所以不應(yīng)該使用任何一種單獨(dú)的方法對(duì)目標(biāo)進(jìn)行檢測(cè)���,這就需要把所有信息關(guān)聯(lián)起來(lái)分析。而針對(duì)內(nèi)網(wǎng)環(huán)境�,WebRAY所倡導(dǎo)的方法,是把有效對(duì)付APT攻擊的成功經(jīng)驗(yàn)����、關(guān)聯(lián)分析等技術(shù)部署在企業(yè)內(nèi)網(wǎng)情景中�����,而這必然離不開(kāi)大數(shù)據(jù)技術(shù)作為“支點(diǎn)”�。
大數(shù)據(jù)帶來(lái)“情景”分析新機(jī)遇
內(nèi)網(wǎng)安全的重要性不言而喻�����,那么��,用戶部署安全攻擊防護(hù)產(chǎn)品�����、終端病毒的防范�����、對(duì)服務(wù)器加固����、網(wǎng)絡(luò)隔離、部署身份認(rèn)證和安全審計(jì)系統(tǒng),這系列動(dòng)作的目的又是什么呢�?不外乎形成一個(gè)有效的流程:預(yù)警→監(jiān)控→溯源→安全事件責(zé)任認(rèn)定。但是�,現(xiàn)實(shí)與夢(mèng)想總有差距。
權(quán)小文表示�,大數(shù)據(jù)技術(shù)應(yīng)用帶來(lái)了內(nèi)網(wǎng)檢測(cè)預(yù)警新形態(tài)和新機(jī)遇。他說(shuō)��,“由于傳統(tǒng)的�、基于SOL存儲(chǔ)的安全信息無(wú)法整合分析,只能對(duì)可以定義的數(shù)據(jù)進(jìn)行存儲(chǔ)����,對(duì)于不能定義的數(shù)據(jù)丟棄,在數(shù)據(jù)的完整性層面勢(shì)單力薄�����。而大數(shù)據(jù)系統(tǒng)采用NoSQL的非結(jié)構(gòu)化存儲(chǔ)���,這種技術(shù)突破了之前SOC等系統(tǒng)采用的SQL存儲(chǔ)的模式����,可以保存所有數(shù)據(jù)���,保證了數(shù)據(jù)的完整性�����。”
作為大數(shù)據(jù)分析平臺(tái)���,采集與存儲(chǔ)階段都要盡可能保證數(shù)據(jù)完整性,而WebRAY方案從路由器旁路采集數(shù)據(jù)流量��、服務(wù)器狀態(tài)�����、安全設(shè)備的日志和相關(guān)信息����,同時(shí)采用漏洞掃描器,主動(dòng)去掃描檢測(cè)數(shù)據(jù)�����,構(gòu)建大數(shù)據(jù)分析的因子���,提高了判別的準(zhǔn)確性�。另外,大數(shù)據(jù)分析也讓W(xué)ebRAY在業(yè)內(nèi)提出了先進(jìn)的5W1H分析方法����,并以此為主線,滿足了用戶內(nèi)網(wǎng)安全流程的建設(shè)目標(biāo)���,實(shí)現(xiàn)了內(nèi)控管理的情景感知�。
5W1H分析系統(tǒng)中的情景感知因素有Who����、When、Where�、What、Why���、How��,通過(guò)這些因素可有構(gòu)建出“主體”到“客體”的訪問(wèn)行為情景��。主體是人或應(yīng)用��,客體是應(yīng)用或數(shù)據(jù)���。而情境分析首先關(guān)注審計(jì)客體和審計(jì)動(dòng)作�,即以What和How為主要關(guān)聯(lián)對(duì)象��,發(fā)現(xiàn)任何一個(gè)存在的異?,F(xiàn)象����。這些常見(jiàn)的異常情景包括:登錄異常行為(異常時(shí)間、異常IP�、多IP登錄、頻繁登錄失敗等)���、業(yè)務(wù)違規(guī)行為(惡意業(yè)務(wù)訂購(gòu)���、業(yè)務(wù)只查詢不辦理、高頻業(yè)務(wù)訪問(wèn)����、業(yè)務(wù)繞行等)、共享賬號(hào)(一個(gè)賬號(hào)短時(shí)間換IP�����,一個(gè)IP登了多個(gè)賬號(hào)等)�。另外�,5W1H分析方法在網(wǎng)絡(luò)事件中的應(yīng)用��,還可以解決證據(jù)的準(zhǔn)確性��、完整性等問(wèn)題就���,并且通過(guò)合并���、改變、簡(jiǎn)化����、取消等操作解決證據(jù)存儲(chǔ)瓶頸。
內(nèi)網(wǎng)安全“五步曲”
為了應(yīng)對(duì)“新常態(tài)”下的安全風(fēng)險(xiǎn)��,有效保障業(yè)務(wù)安全����,OWASP 2015中國(guó)應(yīng)用安全論壇重點(diǎn)圍繞“如何利用大數(shù)據(jù)分析來(lái)保障業(yè)務(wù)安全”進(jìn)行多角度深層次的討論。而WebRAY所倡導(dǎo)的“大數(shù)據(jù)+情景化”的內(nèi)控安全方法更是得到了參會(huì)嘉賓的高度認(rèn)可����,與此同時(shí),權(quán)小文還建議企業(yè)在內(nèi)控安全管理中�,可以采用以下5個(gè)具體步驟進(jìn)行實(shí)踐����,從而實(shí)現(xiàn)大數(shù)據(jù)分析的內(nèi)網(wǎng)異常檢測(cè):
第1階段中的主動(dòng)采集����、掃描、探測(cè)網(wǎng)絡(luò)威脅���,以及監(jiān)控、識(shí)別獲取證據(jù)等�����,對(duì)應(yīng)著登錄異常行為�;第2階段中的數(shù)據(jù)關(guān)聯(lián)、分析��、歸一化�,對(duì)應(yīng)源IP偽造、DDoS攻擊識(shí)別等流量異常行為�����;第3階段中的深度分析����,用于形成完整的回溯流程���、確定單獨(dú)事件的5W1H元素,形成混合模式的5W1H鏈條�����、以及針對(duì)Who鏈條的信譽(yù)體系庫(kù)�;第4階段的計(jì)算與專家?guī)旖槿胧窃谇懊?個(gè)階段后開(kāi)始,此時(shí)已經(jīng)能夠重現(xiàn)完整事件過(guò)程��,而專家的介入�����,是為了校對(duì)事件追溯過(guò)程����,通過(guò)內(nèi)置的事件分析模版,進(jìn)行責(zé)任匹配等���;第5階段是定責(zé)��,這包括了初步認(rèn)定結(jié)果��、展示相關(guān)問(wèn)題及其證據(jù)鏈��、更新WHO信譽(yù)庫(kù)�����。
最后��,權(quán)小文表示:“用戶需要重點(diǎn)注意的是在第2階段����,需要事先定義好安全情景,其完整的功能包括數(shù)據(jù)關(guān)聯(lián)分析�、歸并��、形成Key-Value形態(tài)的范式����,NOSQL存儲(chǔ),便于檢索等�����,其目的在于解決重復(fù)登錄系統(tǒng)、異地登陸��、繞行登錄等異常信息�。而這個(gè)階段也是發(fā)揮‘大數(shù)據(jù)+情景化’的關(guān)鍵所在,是大數(shù)據(jù)內(nèi)網(wǎng)安全達(dá)到情景化�����、可視化��、感知化���,責(zé)任化的優(yōu)勢(shì)所在�。”
