被安全数据淹没?如何令威胁情报为你服务
作者:星期五, 十一月 6, 20150

公司该怎样运作风险和安全项目?更具体点,大数据时代,公司该怎样运作其威胁情报处理?

640.webp

很多公司貌似认为自己知道打开他们企业王国大门的钥匙是什么,以及入口点位于哪里。然而不幸的是,惨重的教训会让他们很快明白最严重的数据泄露经常发生在别的地方。

比如,银行会关注意他们取款机活动,却会忽略大型主机中通过的微小警告信号。而忽视了这一点,他们的核心业务就会置于风险之中,成为黑客的首选攻击目标。

要清楚应关注什么,就得收集那些可以被分析的数据,并把关注点放到执行分析上。然而,如果公司不持续收集并分析完整的数据流,他们就不会成功——成功要求的不只是有限时间窗口内的一段快照。要收集的数据必须包括恶意活动发生之前、过程中及之后的。

不令如此,还需要囊括来自整个网络内部、每个终端,甚至网络外部公开来源的数据。否则,应急响应会非常有限。

有效事件响应需要环境支持

有能力对事件做出响应就是威胁情报大展身手的地方。而这,需要环境支持(上下文)——原始数据之外的信息。上下文可被用于识别高级或隐蔽攻击,甚或数据泄露——还能教你怎样做出最佳反应。

想要恰当地管理安全事件,公司不仅要收集数据,还需要实时分析数据——然后存储数据以便以后能用于关联新的实时数据。挑战在于,存储数据需要资金——而且,数据管理和使用可能很成问题。

现实情况是,想分析日志的安全团队受制于决定记录什么以及从哪些系统中记录日志的开发者。这些日志细节常常在系统开发的时候就内置(或者更确切地说,被排除)于系统。

完整抓包揭示问题实质

甚至,安全日志还仅仅是冰山一角。问题的实质隐藏在从整个网络中抓取的完整数据包中。越过这个只拿日志的障碍,走向网络数据包抓取,让公司背上了安全数据的负担——另一大挑战:

安全数据不是大数据。它是病态肥胖的数据。

——崔维斯·史密斯,著名安全公司Tripwire高级安全研究工程师

通常,数据存储最佳实践是存30天的数据流量——尽管有些行业策略和某些政府规章要求更多“如果安全团队纯粹生活在警报模式里,无力去分析上下文,则会忽略掉很多。

有时候这不仅仅是一个存多少的问题,还会涉及到客户从他们的安全管理项目中获取所需有多难的问题。安全团队要么没有警报,要么警报太少,还有一种情况,就是严重的警报疲劳。

要考虑的其他数据来源

即要绝对捕获你的日志数据,但也要寻求超越日志并组织一些企业自身内部网络的反馈,还应该将会话联系在一起以捕获数据包流,最终执行一个完整的数据包抓取。

此外,还应该考虑那些可能不会被列入传统安全数据范畴的外部数据反馈。。如社交网络上的活动、求职活动和员工在公司设备和网络中操作的其他数据源。

某些数据来源可能看起来不像安全数据,但可以大幅改变安全数据上下文,并为公司审查他们的风险分析提供一个全新视角。当然,想用好威胁情报,反馈必须可信且建立在可靠来源基础上。这包括你自身内部的反馈。大量应用会产生很多看起来非恶意的内部数据流,这些内部数据大多数是让业务团队得以开展工作所用的共享数据。这种数据反馈及反馈的质量也是不容忽视的。

这些内部专用的网络通信通常会被只监视入侵和渗透检测系统日志的行为给忽略或无视掉。究其原因,是因为这些数据流通常是在网络内部横向移动,从不流过入侵监视系统,也不穿越边界防火墙。

入侵和渗透只发生在设备流量进入或流出公司网络的时候。同样,命令与控制通信也可以通过使用外部临时站点逃避网络检测。而大多数时候,在这一层发现问题就已经晚了。

需要看哪些上下文?

论及决定要采用哪些上下文来发现公司面临的威胁和正在经历的攻击,通常可以考虑以下3个选项之一:

1. 让系统自行决定上下文并期待厂商定义的配置和规则能“做正确的事”。

2. 利用你随时间推移而习得的上下文并期待你对自己的环境足够了解——或者至少与攻击者对你环境的了解程度相当。

3. 以一种即时、特定的时尚方式定义你的上下文;努力拉入威胁数据和相应的支持情报;然后祈祷你能保持攻防游戏的领先优势且不陷入警报疲劳之中。

或者,你可以利用安全社区,采用由其他人定义的跨行业、跨剖析的上下文集合来选择并订制上下文。“安全团队需要利用其他公司的经验来切实观察他们自己的IT生活。这是理解真实上下文的极好途径。”汉弗莱斯说。

当涉及到内部人士偷窃数据并将数据发送给竞争对手的问题时,上下文便在于看到你的员工和承包商异常频繁地访问数据。你还有可能捕获到员工将数据共享到公司外部的流量,比如说通过个人电子邮件账户或可移动USB存储器。

最近业绩考核表现不佳的员工可以被打上更加危险的标签。如果第三方厂商多次进行登录尝试并试图访问不必要访问的公司系统,那很有可能该厂商要么在进行恶意活动要么被钓鱼攻击袭击了。

但,不仅仅是人和系统可以提供上下文,文件本身也可以是上下文实体。观察文件的行为同样重要。

文件存放在哪儿?谁访问了它?访问IP地址是多少?文件曾被复制/移动到了哪里?

这些里面的每一个——当连同其他事件和警报一起考察的时候,都能带来额外的上下文,若不考虑这些方面,则有可能留下恶意活动漏网之鱼。比如说,如果一个员工、合作伙伴或客户通常在Windows电脑上使用火狐浏览器登录,而忽然之间换成了在Mac电脑上用Safari登录,那就很可能是问题。

ATM诈骗是现实世界中另一个越来越成为大问题的例子。假设有一个银行客户已经开户20年了,而且大多数时候都以一定的模式跟银行互动。那你就可以从他们的活动中发现异常现象:取款金额、取款地点,使用的银行卡,甚或一天中在不同地点刷卡的次数。

你可以将同样的原则应用在对公司资源的访问和其他用户及系统网络活动的监视上——不仅仅是ATM及和取款活动。

以下是一些应用案例:

  • 分配给单一用户的终端从同一位置使用多个用户ID多次登录网络。如果你看到这种情况,有可能是系统已经被攻破了。
  • 未加密的纵向数据流量与内部横向数据流量关联了起来——请注意进入你网络并横向移动的网络活动。这一关联的数据流可能就是网络中出现了未授权用户或设备的迹象。
  • 利用基于行为的出站流量和点对点流量检测技术监视流量走向及沿该走向的通信频率。关注准入不应该是唯一的方法;你还得假设恶意软件已经存在于你的网络内部而监视出口流量。
  • 利用命令和控制检测来识别正在寻求漏出数据的现有攻击。要注意数据渗漏往往不是只通过一次下载就能完成的;会是很长一段时间内一系列小规模下载串联而成。长期活动中发生的是一系列横向移动——基于行为分析而不仅仅是数据包分析。这方面的例子,可以参考经IT/安全认证过的网站被攻击者劫持来用作不会被你的信誉和过滤系统检测到的存储服务。
  • · 越过顶层应用监视来分析正在使用中的应用功能。脸书作为一个整体可能对某些员工而言是可以的,但他们使用脸书聊天/看视频/上传视频的时间和方式又是怎样的呢?都有哪些数据,又有多少数据分别通过这些功能流进流出呢?

你该怎样响应?

上下文不仅是攻击检测中不可或缺的部分,也在识别攻击来源、封锁攻击范围和修复攻击影响中起着举足轻重的作用。

“利用综合检测调查、分析和取证,你可以看到4个月前的零日漏洞警报。”安全分析和网络取证公司Niara营销副总裁约翰·达舍说,“然后你可以看你的日志、数据包流和威胁反馈以将特定的设备和人联系起来。你还可以看到是哪个人登录了哪个系统、应用和文档,并借以确定是哪个资源——比如说一份PDF文档,就是危害的源头。”

高级攻击有可能看起来比较可疑却不一定触发警报。但如果有数据向已知不良IP地址流出,你可能会看到该IP地址与那份PDF文档的来源匹配上,然后你就可以采取恰当的行动了。

同时,注意避免陷入警报疲劳也十分重要,大量的警报有可能导致一场调查需要数天或数周才能完成,迫使你错过其他地方正在发生的真正攻击。你得能够将活动与一些上下文联系起来,这样你才能在最佳的时机以最好的方式行动。

“屋漏偏逢连夜雨的事儿并不常见,你的网络运维团队也不是24小时全天候工作的。”汉弗莱斯警告道,“因此,你应该支持最新最主要的防火墙,并发送程序命令暂时阻止恶意流量。你必须在上下文中使用工具,而且要用得智慧,用得自动化。”

在上下文中运作威胁情报的价值

很多大公司都将自己定位于全球情报守护者,因为他们拥有成千上万的客户数以万计的节点,而且他们与其他公司共享数据。摄取和消化这些数据,然后依靠仅仅基于签名和规则的解决方案,意味着不断变形的恶意软件可以轻易攻破他们的防线。“这不是运作。”克莱门特里争辩道。

当你计划运作你的威胁情报项目的时候,要记得威胁情报的价值体现在数据来源和数据反馈进的程序上。一个好的分析引擎如果反馈进的都是不好的数据,那还不如一个像样的分析引擎辅以可靠相关的情报来得更好。上下文应建立在你能看到的其他变量上——安全分析要求的不仅仅是纯粹的安全数据。

接下这个挑战,你将很可能需要发现受过大数据和安全分析培训的安全专家并与之合作。同样地,要确保找出可以提供内部和第三方供应商风险管理以及安全应急响应的专门知识的解决方案提供商和安全厂商。在整条供应链上下尽可能多地阻止攻击是非常关键的,但当攻击成功了,控制损失和立即将你的网络基础设施恢复到正常运行和一个完全安全的状态也是同等重要的。

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章