第一次世界大战中的凡尔登战役,二战时期的斯大林格勒大会战,这些如雷贯日的战役都是当时历史上的转折战役,此战后攻防的平衡由此打破,战场发生了翻天变化。对于信息安全的历史,就是在攻与防的螺旋式斗争中前进,时至今日,在这场战役中,黑客由于手握APT重器而暂时占优,也由此制造了一个个黑烟四起的黑道世界。
随着大数据技术的发展和成熟,将这些技术应用到安全领域的大数据安全分析,会成为APT攻防战役中的转折点吗?
企业被“ 入侵”100%不可避免,只是时间早晚的问题
被“入侵”是指黑客通过各种途径潜伏进入到企业。APT攻击入侵之所以不可避免,除APT所用的超能武器外,还有重要的外在原因。其一是一种“对手不对称”的对抗,APT入侵初期只是为了控制一个跳板,因此入侵的攻防实际是一个超级黑客组织和一个安全意识不佳的普通员工之间的对抗,一个稍显专业的钓鱼网站就让员工沦陷,而传统的边界安全设备采用以漏洞为中心的被动防御体系,在防范未知威胁上无能为力,这必然造就对抗的后果是黑方100%能胜利,所以企业被入侵也就是自然而然的事情。另外一个原因是BYOD的普及以及万物互联的物联网(IoE)的发展,企业的终端控制权将逐渐丧失,大量属于企业和非属于企业的移动设备随时随地的接入网络,控制权的消失,标志安全控制权的消失,跳板的可选择性也越来越大。总而言之,企业被入侵,那是板上钉钉的事情,只不过是有的企业发现了,有的企业还蒙在鼓里自娱自乐的YY着自己的安全。
既然入侵依然迟早不可避免,那么入侵后的内网攻防则必定会成为攻防战役的主战场。
APT“入侵”到“破坏”还有很长时间窗
如果将数据外发或者造成企业系统不可用看做是APT攻击的破坏结果,那么对于APT攻击而言,从入侵到破坏还有很长的路要黑。入侵仅仅只是大幕开启,跳板只是跳板,为了达到攻击的目标,APT攻击链的大部分活动都是在企业的网络内部完成,包括跳板的控制,企业内部横向渗透,重要资产数据的控制和转移,数据外发、攻击痕迹的擦除等,其中从入侵跳板到数据外发之间的过程,就是入侵到破坏之间的时间窗,在这个时间窗中,APT有大量的内部活动,以及外部互联的活动,在这个时间窗里的检测与反检测才是APT攻防最核心的斗智斗勇。
APT攻击在内网的活动都被隐藏在内网正常的行为中,要想从中找出蛛丝马迹远非寻常方法可以达到。网络从千兆迈向万兆,需要分析的数据急剧上升,网络速度越来越快,也意味找包处理和转发速度越来越快,网络中的事件发送速率也随之激增。同时,为了增强检测的准确性和快速性,除对网络传输的各种数据包进行检测外,还需要收集网络内部的信息,以及外部的信息,也就是所谓的扩大情景感知的范围以及增加威胁情报的分析,所以这些要求,都极大的增加了在这个时间窗中有效检测的难度,传统的各种分析工具如SIEM都是这场战役的战败者。
华为大数据安全分析,APT攻防战役中的转折点
时势造英雄,随大数据技术的发展,包括数据从采集、存储到分析处理技术的成熟,机器自学习和人工智能的发展,大数据分析平台可以从海量的数据中找到APT攻击的蛛丝马迹。
华为CIS安全分析平台,采用大数据基础平台,充分利用了大数据在面对海量信息的高效处理的能力,如Hadoop分布式数据库、实时流处理技术、spark等最新的技术,依托机器学习的智能,使得海量流量的挖掘和处理成为现实。CIS从时间和空间两个维度上扩大了流量收集范围,通过采集全网的流量、日志、文件等数据,尤其是关键路径的流量,以及终端的各种流量等,这些实时和离线的流量形成检测APT攻击的数据基础。在CIS大数据平台中,内置有丰富的异常检测模型,如web异常、DNS异常等等,这些模型可以对APT攻击链中的350+以上的异常行为进行检测。通过这些异常模型,可以从海量的流量中有效的检测非常轻微异常行为,而这些轻微的异常行为很大可能是APT攻击在某个环节的具体表现,正是由于可以检测出大量极易被忽视的这些轻微异常,CIS大数据安全分析实现了大海捞针,从蛛丝马迹中抽丝剥茧,这些细微异常线索通过多维度威胁关联分析,从而有效的将众多杂乱无章的异常有机的串联在一起,以点带线,以线成面,形成了具体的APT攻击链模,勾画出完整的攻击链,沿攻击链进行多维度的分析,最后准确定位APT高级攻击,真正实现了从漏洞为中心的传统安全体系发展到以威胁为中心,以攻击链为线索,依靠数据驱动的APT检测与拦截安全体系,为APT防护开创了新的局面,帮助企业有效的实现对APT威胁的管理,让企业成为APT攻防战役中的胜利者。