你永远不能保护看不见的资产!谈威胁情报来源

DJ的札记 2014-11-08

最近圈内热议智能感知和情报驱动(Intelligence Aware或Intelligence Driven),正好最近我们的数据安全产品已添加了情景感知功能,正在研发行为分析与情报智能感知模块,于是写一篇心得与大家分享。


情报来自于看得见的资产


“可见性”是重中之重。在设计情报智能感知模块时,应最先考虑的不是情报分享的规范和方法,而是端点、网络、用户、应用、数据的“可见性”。


这是一个经常被忽视的要点。如果你现有的安全管理平台还不能可视化展现50%以上的关键信息资产,那么你最好先暂停建设大数据安全平台的尝试,而应脚踏实地做好桌面管理、用户认证、网络安全域、流量监控、数据治理等能够增加“可见性”的基础工作。


大数据安全分析,与传统SIEM最大的区别也是最关键的基础是海量数据采集。做过大数据的业内人士都知道,没有全部数据而是只有部分数据子集存在很大问题,具有虚假欺骗性,很可能诱导错误结论,南辕北辙。试想企业辛辛苦苦建了大数据平台,只能采集具有误导性的少量数据,那是多么令人沮丧的结果。


端点(Endpoint)仍是兵家必争之地


请记住,真实终端提供的情报,永远比沙盒蜜罐虚拟机之类的产品可靠得多。目前流行的攻击中,专门针对市售此类产品的消痕手段已开始普及:在沙盒里的行为,与真实终端内的完全不同。攻防不断演变,最初沙盒出现时,黑客没接触过,实际效果惊人。随着沙盒产品的普及,黑客研究对策有成果,效果已经出现折扣。未来,蜜罐里获取的情报,甚至有可能带来负面影响。所以,应尽量保证终端的可见性,并重视真实端点情报。


知道所有操作系统和客户端程序以及版本十分重要。如果不受支持的操作系统或过时客户端在运行,可能会引入预料之外的漏洞。如果不知道操作系统和应用版本,又怎么能评估风险?修补漏洞?


高价值的行为情报依托于大规模IAM(SSO)的部署


如果不同业务系统的用户身份认证各自为政,那后期很难做关联实现行为分析。基线是发现行为异常的基础,只有打通企业单点登录,让用户权限和行为全局可见,才能获取高价值的行为威胁情报。


目前行为相关的威胁情报已经不仅仅局限于外部,内部恶意行为监控也逐渐发展起来。这些也不是单靠沙盒能够实现的了。此话题也很复杂,以后有时间再展开讨论。


网络的可见性较易达到


网络安全厂商一直是信息安全业内最为庞大的群体。可以实现网络可见性的产品也很丰富,并且容易获得。新上市的高端的防火墙、IPS、UTM等类别的安全产品或多或少都有。如果企业目前部署的是老旧且廉价的产品,那么最好还是先换成下一代的吧。除了国外厂商,目前国内也有实力雄厚的研发团队,其产品能提供丰富的“可见性”功能,有些先进的还能做一定的威胁情报采集和分析。


应用的可见性可以获得,但难以达到卓越效果


应用的可见性一直有厂商提供,bit9就是其中的佼佼者。可它已经做了11年,到目前还没退出,这是一个又苦又累的活儿。就应用来说,国外和国内大不相同,国外厂商的效果不一定好。而国内目前只有一些杀毒厂商有黑白名单的积累。


数据“可见性”需要内容识别和分类分级


数据的重要性各不相同。企业内的数据可以有很多不同的分类,特定类别数据比其它的更有价值。关键数据只占企业数据总量的10%左右,而黑客攻击的目标就是盗取这些数据。数据的“可见性”就是要把敏感重要的数据组成、分布、使用状况展现出来,以与其它海量低价值数据区分开来。


分类分级的数据治理方法,是业内被广泛推荐的,也是众多行业监管机构开始着重要求的。目前国内很多行业的大型企业已经开始推广数据分类分级规范。这方面的技术难点,是准确高性能的内容识别算法,和实时高效分类数据的引擎,能做好的厂商也就一两家。


90%以上的APT攻击是为了盗取关键数据。分析数据的异常动向,可以有效侦测并防御APT。例如,某台终端过去一周内保有的敏感数据数量突然剧增;凌晨时分大量敏感数据从某网段流向未经授权的另一网段;一周内某台设备比以往同时间段内多50倍的尝试打开敏感数据的行为。


可见性并非各自独立,而是相互关联


敏感数据可能存储在终端中,在网络中传输,被某些应用读取,也经常见于用户操作行为,这些可见性并不是孤立的,最佳实践是把它们放在一起分析,比单一厂商的产品中的智能分析更有预见性。这也正是大数据安全分析的吸引力所在。


看不见的资产无法保护!


现在的APT攻击越来越有针对性,指望一般性保护措施能够有效并不现实。目前的恶意软件利用大量无处不在的漏洞,甚至可以智能自适应环境尝试发现系统弱点,其自身有很多种变化形式,观测恶意软件的特征和可疑行为,监控可疑的网络链接和传输数据内容,是抵御攻击的根本基础。而采集这些情报都需要端点、用户、网络、应用、和数据的“可见性”。


限于时间和篇幅,更多细节以后再聊。




高质量原创信息安全文章,关注新技术和大趋势,请关注本公众号DJ_notes


本站仅按申请收录文章,版权归原作者所有
如若侵权,请联系本站删除
觉得不错,分享给更多人看到