被安全數據淹沒?如何令威脅情報為你服務

責任編輯:editor006

作者:nana

2015-11-06 14:12:25

摘自:安全牛

某些數據來源可能看起來不像安全數據,但可以大幅改變安全數據上下文,并為公司審查他們的風險分析提供一個全新視角。你可以將同樣的原則應用在對公司資源的訪問和其他用戶及系統(tǒng)網絡活動的監(jiān)視上——不僅僅是ATM及和取款活動。

公司該怎樣運作風險和安全項目?更具體點,大數據時代,公司該怎樣運作其威脅情報處理?

很多公司貌似認為自己知道打開他們企業(yè)王國大門的鑰匙是什么,以及入口點位于哪里。然而不幸的是,慘重的教訓會讓他們很快明白最嚴重的數據泄露經常發(fā)生在別的地方。

比如,銀行會關注意他們取款機活動,卻會忽略大型主機中通過的微小警告信號。而忽視了這一點,他們的核心業(yè)務就會置于風險之中,成為黑客的首選攻擊目標。

要清楚應關注什么,就得收集那些可以被分析的數據,并把關注點放到執(zhí)行分析上。然而,如果公司不持續(xù)收集并分析完整的數據流,他們就不會成功——成功要求的不只是有限時間窗口內的一段快照。要收集的數據必須包括惡意活動發(fā)生之前、過程中及之后的。

不令如此,還需要囊括來自整個網絡內部、每個終端,甚至網絡外部公開來源的數據。否則,應急響應會非常有限。

有效事件響應需要環(huán)境支持

有能力對事件做出響應就是威脅情報大展身手的地方。而這,需要環(huán)境支持(上下文)——原始數據之外的信息。上下文可被用于識別高級或隱蔽攻擊,甚或數據泄露——還能教你怎樣做出最佳反應。

想要恰當地管理安全事件,公司不僅要收集數據,還需要實時分析數據——然后存儲數據以便以后能用于關聯(lián)新的實時數據。挑戰(zhàn)在于,存儲數據需要資金——而且,數據管理和使用可能很成問題。

現(xiàn)實情況是,想分析日志的安全團隊受制于決定記錄什么以及從哪些系統(tǒng)中記錄日志的開發(fā)者。這些日志細節(jié)常常在系統(tǒng)開發(fā)的時候就內置(或者更確切地說,被排除)于系統(tǒng)。

完整抓包揭示問題實質

甚至,安全日志還僅僅是冰山一角。問題的實質隱藏在從整個網絡中抓取的完整數據包中。越過這個只拿日志的障礙,走向網絡數據包抓取,讓公司背上了安全數據的負擔——另一大挑戰(zhàn):

安全數據不是大數據。它是病態(tài)肥胖的數據。

——崔維斯·史密斯,著名安全公司Tripwire高級安全研究工程師

通常,數據存儲最佳實踐是存30天的數據流量——盡管有些行業(yè)策略和某些政府規(guī)章要求更多“如果安全團隊純粹生活在警報模式里,無力去分析上下文,則會忽略掉很多。

有時候這不僅僅是一個存多少的問題,還會涉及到客戶從他們的安全管理項目中獲取所需有多難的問題。安全團隊要么沒有警報,要么警報太少,還有一種情況,就是嚴重的警報疲勞。

要考慮的其他數據來源

即要絕對捕獲你的日志數據,但也要尋求超越日志并組織一些企業(yè)自身內部網絡的反饋,還應該將會話聯(lián)系在一起以捕獲數據包流,最終執(zhí)行一個完整的數據包抓取。

此外,還應該考慮那些可能不會被列入傳統(tǒng)安全數據范疇的外部數據反饋。。如社交網絡上的活動、求職活動和員工在公司設備和網絡中操作的其他數據源。

某些數據來源可能看起來不像安全數據,但可以大幅改變安全數據上下文,并為公司審查他們的風險分析提供一個全新視角。當然,想用好威脅情報,反饋必須可信且建立在可靠來源基礎上。這包括你自身內部的反饋。大量應用會產生很多看起來非惡意的內部數據流,這些內部數據大多數是讓業(yè)務團隊得以開展工作所用的共享數據。這種數據反饋及反饋的質量也是不容忽視的。

這些內部專用的網絡通信通常會被只監(jiān)視入侵和滲透檢測系統(tǒng)日志的行為給忽略或無視掉。究其原因,是因為這些數據流通常是在網絡內部橫向移動,從不流過入侵監(jiān)視系統(tǒng),也不穿越邊界防火墻。

入侵和滲透只發(fā)生在設備流量進入或流出公司網絡的時候。同樣,命令與控制通信也可以通過使用外部臨時站點逃避網絡檢測。而大多數時候,在這一層發(fā)現(xiàn)問題就已經晚了。

需要看哪些上下文?

論及決定要采用哪些上下文來發(fā)現(xiàn)公司面臨的威脅和正在經歷的攻擊,通??梢钥紤]以下3個選項之一:

1. 讓系統(tǒng)自行決定上下文并期待廠商定義的配置和規(guī)則能“做正確的事”。

2. 利用你隨時間推移而習得的上下文并期待你對自己的環(huán)境足夠了解——或者至少與攻擊者對你環(huán)境的了解程度相當。

3. 以一種即時、特定的時尚方式定義你的上下文;努力拉入威脅數據和相應的支持情報;然后祈禱你能保持攻防游戲的領先優(yōu)勢且不陷入警報疲勞之中。

或者,你可以利用安全社區(qū),采用由其他人定義的跨行業(yè)、跨剖析的上下文集合來選擇并訂制上下文。“安全團隊需要利用其他公司的經驗來切實觀察他們自己的IT生活。這是理解真實上下文的極好途徑。”漢弗萊斯說。

當涉及到內部人士偷竊數據并將數據發(fā)送給競爭對手的問題時,上下文便在于看到你的員工和承包商異常頻繁地訪問數據。你還有可能捕獲到員工將數據共享到公司外部的流量,比如說通過個人電子郵件賬戶或可移動USB存儲器。

最近業(yè)績考核表現(xiàn)不佳的員工可以被打上更加危險的標簽。如果第三方廠商多次進行登錄嘗試并試圖訪問不必要訪問的公司系統(tǒng),那很有可能該廠商要么在進行惡意活動要么被釣魚攻擊襲擊了。

但,不僅僅是人和系統(tǒng)可以提供上下文,文件本身也可以是上下文實體。觀察文件的行為同樣重要。

文件存放在哪兒?誰訪問了它?訪問IP地址是多少?文件曾被復制/移動到了哪里?

這些里面的每一個——當連同其他事件和警報一起考察的時候,都能帶來額外的上下文,若不考慮這些方面,則有可能留下惡意活動漏網之魚。比如說,如果一個員工、合作伙伴或客戶通常在Windows電腦上使用火狐瀏覽器登錄,而忽然之間換成了在Mac電腦上用Safari登錄,那就很可能是問題。

ATM詐騙是現(xiàn)實世界中另一個越來越成為大問題的例子。假設有一個銀行客戶已經開戶20年了,而且大多數時候都以一定的模式跟銀行互動。那你就可以從他們的活動中發(fā)現(xiàn)異?,F(xiàn)象:取款金額、取款地點,使用的銀行卡,甚或一天中在不同地點刷卡的次數。

你可以將同樣的原則應用在對公司資源的訪問和其他用戶及系統(tǒng)網絡活動的監(jiān)視上——不僅僅是ATM及和取款活動。

以下是一些應用案例:

分配給單一用戶的終端從同一位置使用多個用戶ID多次登錄網絡。如果你看到這種情況,有可能是系統(tǒng)已經被攻破了。未加密的縱向數據流量與內部橫向數據流量關聯(lián)了起來——請注意進入你網絡并橫向移動的網絡活動。這一關聯(lián)的數據流可能就是網絡中出現(xiàn)了未授權用戶或設備的跡象。利用基于行為的出站流量和點對點流量檢測技術監(jiān)視流量走向及沿該走向的通信頻率。關注準入不應該是唯一的方法;你還得假設惡意軟件已經存在于你的網絡內部而監(jiān)視出口流量。利用命令和控制檢測來識別正在尋求漏出數據的現(xiàn)有攻擊。要注意數據滲漏往往不是只通過一次下載就能完成的;會是很長一段時間內一系列小規(guī)模下載串聯(lián)而成。長期活動中發(fā)生的是一系列橫向移動——基于行為分析而不僅僅是數據包分析。這方面的例子,可以參考經IT/安全認證過的網站被攻擊者劫持來用作不會被你的信譽和過濾系統(tǒng)檢測到的存儲服務。· 越過頂層應用監(jiān)視來分析正在使用中的應用功能。臉書作為一個整體可能對某些員工而言是可以的,但他們使用臉書聊天/看視頻/上傳視頻的時間和方式又是怎樣的呢?都有哪些數據,又有多少數據分別通過這些功能流進流出呢?

你該怎樣響應?

上下文不僅是攻擊檢測中不可或缺的部分,也在識別攻擊來源、封鎖攻擊范圍和修復攻擊影響中起著舉足輕重的作用。

“利用綜合檢測調查、分析和取證,你可以看到4個月前的零日漏洞警報。”安全分析和網絡取證公司Niara營銷副總裁約翰·達舍說,“然后你可以看你的日志、數據包流和威脅反饋以將特定的設備和人聯(lián)系起來。你還可以看到是哪個人登錄了哪個系統(tǒng)、應用和文檔,并借以確定是哪個資源——比如說一份PDF文檔,就是危害的源頭。”

高級攻擊有可能看起來比較可疑卻不一定觸發(fā)警報。但如果有數據向已知不良IP地址流出,你可能會看到該IP地址與那份PDF文檔的來源匹配上,然后你就可以采取恰當的行動了。

同時,注意避免陷入警報疲勞也十分重要,大量的警報有可能導致一場調查需要數天或數周才能完成,迫使你錯過其他地方正在發(fā)生的真正攻擊。你得能夠將活動與一些上下文聯(lián)系起來,這樣你才能在最佳的時機以最好的方式行動。

“屋漏偏逢連夜雨的事兒并不常見,你的網絡運維團隊也不是24小時全天候工作的。”漢弗萊斯警告道,“因此,你應該支持最新最主要的防火墻,并發(fā)送程序命令暫時阻止惡意流量。你必須在上下文中使用工具,而且要用得智慧,用得自動化。”

在上下文中運作威脅情報的價值

很多大公司都將自己定位于全球情報守護者,因為他們擁有成千上萬的客戶數以萬計的節(jié)點,而且他們與其他公司共享數據。攝取和消化這些數據,然后依靠僅僅基于簽名和規(guī)則的解決方案,意味著不斷變形的惡意軟件可以輕易攻破他們的防線。“這不是運作。”克萊門特里爭辯道。

當你計劃運作你的威脅情報項目的時候,要記得威脅情報的價值體現(xiàn)在數據來源和數據反饋進的程序上。一個好的分析引擎如果反饋進的都是不好的數據,那還不如一個像樣的分析引擎輔以可靠相關的情報來得更好。上下文應建立在你能看到的其他變量上——安全分析要求的不僅僅是純粹的安全數據。

接下這個挑戰(zhàn),你將很可能需要發(fā)現(xiàn)受過大數據和安全分析培訓的安全專家并與之合作。同樣地,要確保找出可以提供內部和第三方供應商風險管理以及安全應急響應的專門知識的解決方案提供商和安全廠商。在整條供應鏈上下盡可能多地阻止攻擊是非常關鍵的,但當攻擊成功了,控制損失和立即將你的網絡基礎設施恢復到正常運行和一個完全安全的狀態(tài)也是同等重要的。

鏈接已復制,快去分享吧

企業(yè)網版權所有?2010-2024 京ICP備09108050號-6京公網安備 11010502049343號