APT防范思路“掉头”内网
企业内网承载大量的核心资产和机密数据,虽然用户采用了层层叠加的网络安全防护产品,SOC、监控中心、网管系统、流量分析系统等处处把关,但出现在内网的攻击和泄露事件并未减少。究其缘由,这与内网安全数年来不能改变的传统防护技术有关,更与内网入侵事件所处的场景化有关。
那么,何为“传统”、何为“情景”呢?
内网防护现状是离散的、非体系化的防护方法,而大量的安全事件或者是内部员工的恶意、无意造成,或者是长期的潜伏或离职意向前的突发行为。因此,要想在内网发现不法人员盗取数据的‘行走轨迹’,就要借助防御APT攻击的思路,针对内网定制化的情景,通过获取样本,建立正常行为模型,然后分析内部网络流量或终端服务器上的行为,做到情景感知,这将是有别于传统防御方案的新起点、后续监测和分析的触发点。
APT攻击防范的难点在于,黑客采用了高度定制的代码,有时很可能只适用“一次”,随之潜伏下来,由于没有已知的特征,所以这些攻击很难被传统对检测手段发现。而静态检测无法检测到深度攻击行为,但动态检测由于存在大量的环境组合,无法穷举,所以不应该使用任何一种单独的方法对目标进行检测,这就需要把所有信息关联起来分析。而针对内网环境,WebRAY所倡导的方法,是把有效对付APT攻击的成功经验、关联分析等技术部署在企业内网情景中,而这必然离不开大数据技术作为“支点”。
大数据带来“情景”分析新机遇
内网安全的重要性不言而喻,那么,用户部署安全攻击防护产品、终端病毒的防范、对服务器加固、网络隔离、部署身份认证和安全审计系统,这系列动作的目的又是什么呢?不外乎形成一个有效的流程:预警→监控 →溯源→安全事件责任认定。但是,现实与梦想总有差距。
大数据技术应用带来了内网检测预警新形态和新机遇。由于传统的、基于SOL存储的安全信息无法整合分析,只能对可以定义的数据进行存储,对于不能定义的数据丢弃,在数据的完整性层面势单力薄。而大数据系统采用NoSQL的非结构化存储,这种技术突破了之前SOC等系统采用的SQL存储的模式,可以保存所有数据,保证了数据的完整性。
作为大数据分析平台,采集与存储阶段都要尽可能保证数据完整性,而WebRAY方案从路由器旁路采集数据流量、服务器状态、安全设备的日志和相关信息,同时采用漏洞扫描器,主动去扫描检测数据,构建大数据分析的因子,提高了判别的准确性。另外,大数据分析也让WebRAY在业内提出了先进的5W1H分析方法,并以此为主线,满足了用户内网安全流程的建设目标,实现了内控管理的情景感知。
5W1H分析系统中的情景感知因素有Who、When、Where、What、Why、How,通过这些因素可有构建出“主体”到“客体”的访问行为情景。主体是人或应用,客体是应用或数据。而情境分析首先关注审计客体和审计动作,即以What和How为主要关联对象,发现任何一个存在的异常现象。这些常见的异常情景包括:登录异常行为(异常时间、异常IP、多IP登录、频繁登录失败等)、业务违规行为(恶意业务订购、业务只查询不办理、高频业务访问、业务绕行等)、共享账号(一个账号短时间换IP,一个IP登了多个账号等)。另外,5W1H分析方法在网络事件中的应用,还可以解决证据的准确性、完整性等问题就,并且通过合并、改变、简化、取消等操作解决证据存储瓶颈。
内网安全“五步曲”
为了应对“新常态”下的安全风险,有效保障业务安全,OWASP 2015中国应用安全论坛重点围绕“如何利用大数据分析来保障业务安全”进行多角度深层次的讨论。而WebRAY所倡导的“大数据+情景化”的内控安全方法更是得到了参会嘉宾的高度认可,与此同时,企业在内控安全管理中,可以采用以下5个具体步骤进行实践,从而实现大数据分析的内网异常检测:
第1阶段中的主动采集、扫描、探测网络威胁,以及监控、识别获取证据等,对应着登录异常行为;第2阶段中的数据关联、分析、归一化,对应源IP伪造、DDoS攻击识别等流量异常行为;第3阶段中的深度分析,用于形成完整的回溯流程、确定单独事件的5W1H元素,形成混合模式的5W1H链条、以及针对Who链条的信誉体系库;第4阶段的计算与专家库介入是在前面3个阶段后开始,此时已经能够重现完整事件过程,而专家的介入,是为了校对事件追溯过程,通过内置的事件分析模版,进行责任匹配等;第5阶段是定责,这包括了初步认定结果、展示相关问题及其证据链、更新WHO信誉库。
▲
最后,用户需要重点注意的是在第2阶段,需要事先定义好安全情景,其完整的功能包括数据关联分析、归并、形成Key-Value形态的范式,NOSQL存储,便于检索等,其目的在于解决重复登录系统、异地登陆、绕行登录等异常信息。而这个阶段也是发挥‘大数据+情景化’的关键所在,是大数据内网安全达到情景化、可视化、感知化,责任化的优势所在。