在日前刚刚结束的RSA2013(美国)大会上,Blue Coat恶意软件研究人员Chris Larsen谈论了网络中的异常行为,即员工及其电脑做出的奇怪的行为。安全部门需要保护企业员工及其电脑,但他们也应该追踪这些异常行为。
例如,有一天,Larsen看到超过700个用户访问了恶意域名。然后,他将重点放在点击超过6次的9名用户上,发现其中一名用户的名称超过50个字符,这就很可疑。Larsen表示:“这可能是很可怕的东西,这也是我们试图寻找的,潜在的高级的有针对性的攻击。”
Larsen的数据来自于从Blue Coat的K9 Web保护浏览器插件收集的异常行为,该插件会警告用户恶意网站,并执行控制。不过,企业也可以从防火墙日志来挖掘这些信息,将大量的日志数据转变成关于潜在危险的情报信息。
防火墙和托管安全专家为企业提供了几个方法来找出网络中的异常行为:
1. 了解网络
在收集数据之前,企业需要知道“正常”行为是什么样的。Larsen只从Blue Coat的K9网络获取了5%的数据,因为这些是表现异常的行为。
托管安全供应商Dell Secureworks安全战略主管Jeff Williams表示,企业也需要这样做,通过分析其网络,企业就可以知道哪些行为属于异常行为,找出他们需要注意的5%的数据。
“如果你了解你的网络,知道哪些系统应该和哪些其他系统通信,以及它们之间的通信情况,应该发生的频率等,都能够帮助了解何为‘正常行为’,”他表示,“只有你了解何为正常行为,才能够找出异常行为。”
2. 收集所有数据
企业还需要配置其防火墙和其他设备来收集正确的数据。在很多情况下,企业只会存储丢弃的流量,因为他们认为这些数据是最有趣的。但防火墙管理公司FireMon首席技术官Jody Brazil表示,最严重的攻击往往能够穿过防火墙。
他表示,企业通常会禁用最常用的防火墙规则上的日志,很多时候因为防火墙负担过重。
Brazil表示:“如果防火墙在做自己的工作以及丢弃流量,而你信任你购买的这个技术,那我们为什么要将重点放在被丢弃的流量,而不是通过防火墙的流量?”
3. 找出愚蠢的异常行为
很多安全团队试图找出每个进入其网络的威胁,他们很快就会不堪重负。事实上,企业应该从简单的入手,找出那些看似愚蠢的异常行为,首先弄清楚是怎么回事。
Blue Coat的Larsen只注重那些最“招摇”的异常流量来减少其团队的工作量。在其RSA大会的展示中,他查看了访问了被列为“可疑网站”的用户,随后设置了更高的标准,检查点击超过30个可疑网站的10名用户,其中一名用户访问了37次包含35个x的.com顶级域名。他试图找出异常行为中的异常行为,这往往可能是真正的目标。
4. 结合威胁情报
很多时候,安全团队并不需要大量流量来发现恶意活动,而是流量的来向或去向。免费的黑名单和威胁数据源,再结合企业的防火墙日志,往往就能够找出恶意攻击。
Brazil表示,现在有很多像样的威胁情报源,以及廉价的工具,企业可以结合这两者与其防火墙数据来找出恶意活动。
5.回过头来检查
Blue Coat的Larsen表示,收集关于攻击的情报能够暴露攻击者的动机,并同时帮助训练安全团队和事件响应者。然而,即使在系统被清理和调查结束后,检查被感染的用户仍然会有所收获。