APT防范思路“掉头”内网

企业内网承载大量的核心资产和机密数据,虽然用户采用了层层叠加的网络安全防护产品,SOC、监控中心、网管系统、流量分析系统等处处把关,但出现在内网的攻击和泄露事件并未减少。究其缘由,这与内网安全数年来不能改变的传统防护技术有关,更与内网入侵事件所处的场景化有关。

那么,何为“传统”、何为“情景”呢?

内网防护现状是离散的、非体系化的防护方法,而大量的安全事件或者是内部员工的恶意、无意造成,或者是长期的潜伏或离职意向前的突发行为。因此,要想在内网发现不法人员盗取数据的‘行走轨迹’,就要借助防御APT攻击的思路,针对内网定制化的情景,通过获取样本,建立正常行为模型,然后分析内部网络流量或终端服务器上的行为,做到情景感知,这将是有别于传统防御方案的新起点、后续监测和分析的触发点。

APT攻击防范的难点在于,黑客采用了高度定制的代码,有时很可能只适用“一次”,随之潜伏下来,由于没有已知的特征,所以这些攻击很难被传统对检测手段发现。而静态检测无法检测到深度攻击行为,但动态检测由于存在大量的环境组合,无法穷举,所以不应该使用任何一种单独的方法对目标进行检测,这就需要把所有信息关联起来分析。而针对内网环境,WebRAY所倡导的方法,是把有效对付APT攻击的成功经验、关联分析等技术部署在企业内网情景中,而这必然离不开大数据技术作为“支点”。

大数据带来“情景”分析新机遇

内网安全的重要性不言而喻,那么,用户部署安全攻击防护产品、终端病毒的防范、对服务器加固、网络隔离、部署身份认证和安全审计系统,这系列动作的目的又是什么呢?不外乎形成一个有效的流程:预警→监控 →溯源→安全事件责任认定。但是,现实与梦想总有差距。

9

大数据技术应用带来了内网检测预警新形态和新机遇。由于传统的、基于SOL存储的安全信息无法整合分析,只能对可以定义的数据进行存储,对于不能定义的数据丢弃,在数据的完整性层面势单力薄。而大数据系统采用NoSQL的非结构化存储,这种技术突破了之前SOC等系统采用的SQL存储的模式,可以保存所有数据,保证了数据的完整性。

作为大数据分析平台,采集与存储阶段都要尽可能保证数据完整性,而WebRAY方案从路由器旁路采集数据流量、服务器状态、安全设备的日志和相关信息,同时采用漏洞扫描器,主动去扫描检测数据,构建大数据分析的因子,提高了判别的准确性。另外,大数据分析也让WebRAY在业内提出了先进的5W1H分析方法,并以此为主线,满足了用户内网安全流程的建设目标,实现了内控管理的情景感知。

5W1H分析系统中的情景感知因素有Who、When、Where、What、Why、How,通过这些因素可有构建出“主体”到“客体”的访问行为情景。主体是人或应用,客体是应用或数据。而情境分析首先关注审计客体和审计动作,即以What和How为主要关联对象,发现任何一个存在的异常现象。这些常见的异常情景包括:登录异常行为(异常时间、异常IP、多IP登录、频繁登录失败等)、业务违规行为(恶意业务订购、业务只查询不办理、高频业务访问、业务绕行等)、共享账号(一个账号短时间换IP,一个IP登了多个账号等)。另外,5W1H分析方法在网络事件中的应用,还可以解决证据的准确性、完整性等问题就,并且通过合并、改变、简化、取消等操作解决证据存储瓶颈。

  内网安全“五步曲”

为了应对“新常态”下的安全风险,有效保障业务安全,OWASP 2015中国应用安全论坛重点围绕“如何利用大数据分析来保障业务安全”进行多角度深层次的讨论。而WebRAY所倡导的“大数据+情景化”的内控安全方法更是得到了参会嘉宾的高度认可,与此同时,企业在内控安全管理中,可以采用以下5个具体步骤进行实践,从而实现大数据分析的内网异常检测:

10

第1阶段中的主动采集、扫描、探测网络威胁,以及监控、识别获取证据等,对应着登录异常行为;第2阶段中的数据关联、分析、归一化,对应源IP伪造、DDoS攻击识别等流量异常行为;第3阶段中的深度分析,用于形成完整的回溯流程、确定单独事件的5W1H元素,形成混合模式的5W1H链条、以及针对Who链条的信誉体系库;第4阶段的计算与专家库介入是在前面3个阶段后开始,此时已经能够重现完整事件过程,而专家的介入,是为了校对事件追溯过程,通过内置的事件分析模版,进行责任匹配等;第5阶段是定责,这包括了初步认定结果、展示相关问题及其证据链、更新WHO信誉库。

11

最后,用户需要重点注意的是在第2阶段,需要事先定义好安全情景,其完整的功能包括数据关联分析、归并、形成Key-Value形态的范式,NOSQL存储,便于检索等,其目的在于解决重复登录系统、异地登陆、绕行登录等异常信息。而这个阶段也是发挥‘大数据+情景化’的关键所在,是大数据内网安全达到情景化、可视化、感知化,责任化的优势所在。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2023-08-24 09:38:00
大数据资讯 关注县域数据能力建设,抢占产数业务发展先机
2023年《数字中国建设整体布局规划》正式发布,数据能力已成为我国区域发展的底座和创新引擎。 <详情>
2023-03-30 11:15:07
云资讯 分布式时代已至,数据如何更有价值?
无论是连通各大集群内大型超大型数据中心,还是连接边缘侧小型、边缘数据中心,分布式云计算都已成为这张算力网络最重要的支撑。在此背景下,云计算步入分布式时代。 <详情>
2023-03-01 19:27:00
市场情报 FlagOpen大模型技术开源体系,开启大模型时代“新Linux”生态
大数据+大算力+强算法=大模型”是当前人工智能发展的主要技术路径。语言大模型ChatGPT成为现象级应用,人工智能进入普及应用的新时期。 <详情>
2023-01-09 09:36:46
大数据资讯 我国互联网广告数据匿名实施服务正式上线
《指南》形成的“技术保障、评估规制、过程控制”的互信制衡机制,适用于各类互联网广告业务,包括广告投放、程序化交易、广告监测等应用场景下的数据匿名化处理。 <详情>
2022-12-30 10:10:19
大数据资讯 中国移动磐维数据库正式发布
未来,随着数据库功能和稳定性等进一步增强,磐维数据库将在中国移动内外部的广泛应用中积累更多复杂业务场景实践经验,进一步提升数据库产品的核心技术能力,助力数智化转 <详情>