定位高級威脅和內部威脅的新趨勢——持續監測

2015-08-31 11:35:13 大云網　點擊量：評論 (0)

在網絡規模迅速膨脹的今天，經常會有這樣的消息傳來，某家公司或機構被外部或內部的威脅攻擊，信息被竊取。盡管惡意軟件防御能力在近年已經顯著提升，可以阻止大部分業余的、基礎廣泛的攻擊，然而善于尋找針對性

在網絡規模迅速膨脹的今天，經常會有這樣的消息傳來，某家公司或機構被外部或內部的威脅攻擊，信息被竊取。盡管惡意軟件防御能力在近年已經顯著提升，可以阻止大部分業余的、基礎廣泛的攻擊，然而善于尋找針對性方式的軟件行家所編寫的現代高級威脅仍可攻陷防范嚴密的網絡。

隨著內部威脅的增加，形勢變得更加復雜。在這個BYOD的時代，一些好心的員工很可能在不經意間就繞過了防線，將惡意代碼帶入核心網絡。等待惡意代碼自行現身無疑是老套的“城堡”法，而觀察它的表現行為，若有安全隱患即把它封鎖在防火墻外這樣的方式正逐漸演化為普遍而主動的防御方式。

在今年六月Gartner發布的安全與威脅管理報告中，Gartner機構的副總裁、資深分析師Neil MacDonald，描述了網絡安全的趨勢和最佳范本。他主張完善的保護不僅需要阻止和預防，也需要檢測和響應。若想做到這一點，Neil MacDonald推薦了一個新的、更加動態的防護方式，通過持續監測及分析防護網絡核心安全。在這個模型中，安全系統不斷監測內網發生的狀況，從應用程序到最終用戶設備。這明顯優于傳統的SEIM收日志再關聯分析的方案。它將更多的情報直接放置到安全系統中，使他們能夠在本地存儲及處理狀態信息，并應用大數據分析，以確定其趨勢及是否出現異常。

不同于簡單的閾值比較，這種方法可以找出那些為了更準確的洞察和防御而可能不被獲取的信息，MacDonald稱之為“情境感知智能”。這不僅僅是理論，各家安全廠商都在從臺式機、服務器和網絡收集到的數據上使用先進的行為分析，以尋找異常的用戶和應用程序。舉個例子，這種方式正被用在企業級防火墻上來更有效的將“好的信息”留下、除掉“壞的信息”。設備獲取技能正在為不同的應用程序和用戶動態地創建和完善一個關于 “正常”的基線。然后，用行為分析實時監測流量來識別出之前未知的高級威脅以及異常行為。

行為分析這樣的技術在與高級威脅的斗爭中變得日趨重要，因為現在專業編寫的惡意軟件經常使用組合方式來規避傳統的、基于標識的掃描防御。尤其是，代碼變形被黑客廣泛使用，以確定任意給定的兩個惡意軟件樣本間看起來沒有相同之處。然而，許多這些差異只是他們的偽裝。Verizon公司發現在其2015數據泄露調查報告中，70%的攻擊來自20種惡意軟件家族的變種。雖然大多數攻擊表面上看起來不相同，但其實攻擊表現是相同的。這些相似之處使得識別之前未被發現的威脅更加容易。全球范圍內統計分析的惡意軟件樣本顯示許多家族惡意軟件的行為模式可以很快的表現并被識別。

這一新的網絡安全設備對網絡實時流量進行模式匹配，即使采用了之前從未被發現的模式，潛在的威脅也能被發現。除了可以觀察應被鎖定的潛在威脅，這樣的網絡安全設備還能夠監測網絡中與用戶和應用程序有關聯的流量的行為。這些系統通常檢查流量中3—7層各種各樣的參數，從并發連接數和帶寬到URL格式和POST/ PUT比率。這能夠幫助檢測出不僅限于那些明顯的異常行為，例如拒絕服務攻擊和掃描等，還包括那些不易于發現的已成為攻擊目標的非正常數據轉移，不論是來自惡意撰寫的程序還是人為。

在周邊部署中，這兩種形式的持續監測可以互補：持續監測外部威脅的侵入同時也關注內部敏感信息的外泄。然而，在應對內部員工使用日漸繁多的方式進行網絡信息的傳入與傳出方面，他們在內部的安全防范中也發揮著日益重要的作用。不同于假想公司網絡環境是“干凈的”想法，很多組織已經開始積極的分割他們的網絡，將安全監測設備部署其中。這樣，他們可以觀測對于不同部門屬性來說的異常行為，例如在深夜的財務部從內部傳輸出信息或是工程系統的間歇性探查。

這種“行為智能”使主動識別風險成為可能。不同于舊的、靜態的、需要手動配置固定參數來搜尋的方式，自動不間斷的監測可以更好的解讀風險，也能夠優先且快速的處理威脅。最終，持續監測提供了對整個攻擊鏈條的可視化，使網絡安全人員立即能夠看到掃描、破壞和滲透的企圖。它會成為最好的防護實例，因為它直接監測代碼可能采取的行動，把網絡安全團隊從繁復的日志文件追查和大量的警報中解放出來，從而可以將更多的精力放在宏觀局面監控上去，更有效的阻止攻擊。

（作者：山石網科 CTO 劉向明）