“威胁情报与情景感知”:信息安全之外防与内控
2015-05-28 IDCUN 编辑:IDCUN
RSA归来话感受
RSA过去有一段时间了,但是给我留下的冲击仍然很大。作为第一次参加RSA的国内厂商,WebRAY能得以有机会在全球最大的信息安全展会上展示自己,这让我感到自豪,同时也非常感谢中关村管委会给我们的大力支持。而同时,这也是一次全面学习国际信息安全发展趋势的大好机会。随着时间的过去,许多类似于砸盒子的噱头慢慢淡去,而真正给我留下印象的是两个关键词:“威胁情报”和“情景感知”。
高级的定向攻击使“防范”为中心的策略已经过时。安全是对抗,不可能完全防范。做安全的思路应该从防止安全入侵这种不可能的任务转到了防止损失这一关键任务上,防范措施必不可少,但是基于预警、响应的时间差更关键。从未来看,企业安全将会发生一个大的转变:即以“信息和人”为中心的安全策略,结合全面的内部监控和安全情报共享。全方位的内部监控和安全情报是保护信息安全的主要手段。实际的安全工作中,很多用户知道要严防死守外部侵袭,但往往忽略了内部威胁对系统造成的破坏,实际上大多数安全威胁都来自内部。外部的防御与内部的控制(内部异常行为的发现与处置)都很重要。
针对外部的攻击(即外防),主要通过获取威胁情报,依靠专业的安全分析团队,分析之后形成情报的处置决策,并通过网络安全设备或终端上的安全软件来执行决策(Action),达到针对高级攻击的防范。
内部异常行为的监控(即内控):内部的异常行为造成的破坏是安全事故最大的来源,外部攻击者发起APT攻击,其中的部分环节Delivery、Exploitation、Installation、Command and Control (C2)、Actions on Objectives都需要通过“内部行走”才能接触到敏感数据达到盗取或破坏的目的;同时企业内部的威胁源包括可能准备离职有恶意的内部人员、内部人员的长期慢速的信息泄露、内部攻击也可能具备内部访问权限的合作伙伴或者第三方发起。如果通过制定不同的情景,通过获取样本,建立正常行为模型,然后分析内部网络流量或终端服务器上的行为,并发现异常,情景感知(Context-Aware)是安全监测的很重要触发点。
外防:威胁情报
大家谈到APT的监测与防御时,其实最难的是“P”,攻击者可以花足够长的时间来进行“低速”攻击,传统的监测手段不可能发现,同时要做审计的话需要足够长时间的数据,这个数据到底多大又是个问题。没有集体共享的威胁和攻击的情报,单个组织将无法保卫自己。Gartner也预测为大量企业提供可视化的威胁和攻击情报的安全服务商将更受市场的欢迎。安全情报以“空间”换“时间”,用协作来应对APT攻击的“P”。
针对外部的攻击,通过获取威胁情报,依靠专业的安全分析团队,分析之后形成情报的处置决策(action),并通过网络安全设备或终端上的安全软件来执行决策。整个过程可以通过机器的自动化执行。
威胁情报一般包括信誉情报(“坏”的IP地址、URL、域名等,比如C2服务器相关信息)、攻击情报(攻击源、攻击工具、利用的漏洞、该采取的方式等)等。我们经常可以从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告等等,这些都属于典型的安全威胁情报。 而随着新型威胁的不断增长,也出现了新的安全威胁情报,例如僵尸网络地址情报(Zeus/SpyEye Tracker)、0day漏洞信息、恶意URL地址情报,等等。这些情报对于防守方进行防御十分有帮助,但是却不是单一的一个防守方自身能够获取和维护 得了的。因此,现在出现了安全威胁情报市场,有专门的人士、公司和组织建立一套安全威胁情报分析系统,获得这些情报,并将这些情报卖给作为防守方的企业和组织。安全威胁情报市场现在是一个很大的新兴安全细分市场。
国外安全威胁情报的来源,简单总结如下(含开源及商业)
•OSINT
•Dell SecureWorks
•RSA NetWitness Live/Verisign iDefense
•Symantec Deepsight
•McAfee Threat Intelligence
•SANS
•CVEs, CWEs, OSVDB (Vulns)
•iSight Partners
•ThreatStream
•OpenDNS
•MAPP
•IBM QRadar
•Palo Alto Wildfire
•Crowdstrike
•AlienVault OTX
•RecordedFuture
•Team Cymru
•ISACs / US-CERT
•FireEye/Mandiant
•Vorstack
•CyberUnited
•Norse IPViking/Darklist
内控:情景感知
对比2013年和2014年的Gartner技术成熟度曲线可看出,情境感知(Context-Aware-Security)从谷底区到稳步攀升期的一个快速转变。
情境主要指“主体”到“客体”的访问行为情景。主体是人或应用,客体是应用或数据。情景在这里包含的因素有Who、What、To-What、When、Where等。情境分析首先关注审计客体和审计动作,以What和How为主要关联对象。
简单的情境可包括:
Who,低信誉的用户(比如已经中毒的用户,发现存在攻击行为的用户)
What,来自IT不支持的Linux 客户端的访问(客户端都是Win7,突然来了个Linux来访问自然不正常)
To What,对敏感数据的访问(是否访问的是敏感数据)
When,周日凌晨的访问(这明显不是工作时间,访问也明显异常)
Where,来自没有业务的海外(这也很明显异常)。
常见的异常情景比如:登录异常行为包括:异常时间、异常IP、多IP登录、频繁登录失败等行为。业务违规行为:包括恶意业务订购、业务只查询不办理、高频业务访问、业务绕行等等。共享账号:一个账号短时间换IP,一个IP登了多个账号等。
斯诺登就是一典型的insider threats案例,按照安全设计理念,他是能被发现的,比如斯诺登经常要同事的帐号访问系统,比如斯诺登可能比一般员工更多的访问了核心服务器,比如斯诺登可能短时间内打包了很多的敏感数据等,这些行为都可以通过情景感知来发现异常。
下表列举了认证登录情景中主要关心的一些要素点:
安全分析是核心能力
大数据时代数据的采集、存储、分析、呈现等等,很少有一家能完全做的了,通吃也真没必要也没能力,从细分看,做采集的可能有集成商或服务商来完成实施工作,做存储的有擅长Hadoop的来做,做分析层的需要有懂业务、了解安全的服务团队做的插件或APP来完成,数据的呈现又是专门的团队来做。
数据是金子,对安全行业依然如此。数据分析师需要了解业务、了解安全、了解算法等等各项技能。比如关联分析:用于在海量审计信息中找出异构异源事件信息之间的关系,通过组合判断多个异构事件判断操作行为性质,发掘隐藏的相关性,发现可能存在的违规行为。比如数据挖掘:基于适当的算法来对数据集进行聚类分类,能够区分异常行为和正常行为。就上图而言,中间的分析层,业内做的好的很少,这个也是数据分析师能充分发挥作用的地方。
我们的实践
事实上,一种理念的盛行往往是对已经存在的实践的总结和提升。无论是威胁情报也好,情景感知也好,事实上其核心技术在业界早有实践,只是没有如此清晰并且成趋势的被总结和表述出来。WebRAY在从事Web安全的实践过程中就已经在我们的系列安全产品中融入了安全情报体系。
WebRAY在“烽火台”网站监控预警平台体系中内置了全球的IP信誉库,并且每天更新200万条信息。监控平台会把IP信誉体系更新到各个授权防护节点,并且以可视化形态展现web访问者的信誉,从而为用户提供决策依据,将攻击扼杀在萌芽之中。
而从另一个方面, Web应用防护系统,又是非常宝贵的情报收集源头。通过我们遍布全国的4000多台WAF设备,将攻击情况定期汇总到“烽火台”系统,并通过我们的安全团队进行识别和挖掘,从而形成新的额IP信誉库, 更新到烽火台,并同步到全部的WAF系统上。
当然我们也希望有一天可以把我们的威胁情报转化成直接的信息资产有价的提供给其他安全企业、管理机构、和最终用户。我认为,威胁情报的直接商品化是必然的趋势。