一家企业该如何对自身风险及安全规程进行实施?更具体地讲,将着眼点集中在大数据技术领域,一家企业该如何实施其威胁情报流程?
不少企业认为自身已经非常了解疆域之内的安全关键点以及入门点的具体位置。然而遗憾的是,他们会很快发现最为严重的安全问题往往出现在其始料未及的区域。
“企业会高度关注自身ATM运作状态,但却往往忽视了大型机所提供的细节警告提示,”Securonix公司首席营销官Sharon Vardi指出。“如果无法掌握这方面信息,企业相当于把皇冠上的明珠拱手让人,这显然是种开门揖盗的不智行为。”
要想真正了解安全关注重点,我们首先需要收集到能够加以分析的数据,同时在分析过程中有目的地进行针对性观察。
然而,如果无法对当前进行当中的完整数据流进行收集与分析,企业仍然无法在安全保障工作中取得成功——换言之,单纯对有限时间窗口之内的运作状态进行快照保存还远远不够。我们需要在恶意活动发生之前、当中以及之后对数据进行持续收集。
“企业还需要提升数据的涵盖范围,从内部到网络体系当中、贯穿每一个端点甚至需要重视存在于自身网络环境之外的外部与公共数据来源,”Blue Coat Systems公司高级威胁保护战略与产品营销主管Alan Hall指出。“否则,即使在最理想的情况下我们能够针对威胁做出的响应举措也将非常有限。”
行之有效的事件响应机制需要依托于背景信息
在面对安全事故时,行之有效的响应机制显然必不可少。而要达到这一目标,我们需要背景信息作为依托——具体来讲,也就是那些超越原始形式、在收集之后进行了整理的有效信息。背景信息能够被用于识别高级、隐蔽乃至其它各种类型的攻击活动,同时提供指引以帮助我们找到最理想的应对办法。
安全数据并不是大数据。这是一类臃肿的病态数据。
“为了对安全事故进行妥善管理,企业不仅需要收集数据,同时也必须以实时方式对数据进行分析——而后进行数据存储,这样一来这部分信息就能够在日后用于比对新的实时数据,”Tripwire公司高级安全研究工程师Travis Smith表示。“目前的挑战在于……数据存储会带来一定程度的运营成本——另外,数据的管理与使用同样可能带来种种实际难题。”
现实情况是,希望进行日志信息分析的安全团队需要把赌注放在开发人员身上,因为只有后者在日志当中记录与系统相关的合适信息,这部分数据才能真正服务于安全保障工作。而这些具体细节往往在系统开发过程当中就已经决定了(更准确地讲,很多系统中干脆不存在此类细节记录机制)。
利用完整的数据包捕捉能力揭开真相
即使在上述环节中得到了肯定的答案,安全日志也只能算是保障工作整体中的冰山一角。实际上,真相源自贯穿整个网络体系的完整数据包当中。我们需要摆脱以往那种单纯提取日志信息的思维束缚,转而进入网络捕捉与安全相关的数据负载——但这又带来另一大挑战:“安全数据并非大数据,”Smith解释道。“这是一种臃肿的病态数据”。
正常数据存储的最佳实践要求保留过去三十天当中的流量,然而一部分行业政策可能提出更高的要求,特别是政府方面的监管机构。“如果安全团队始终处于纯戒备状态之下,那么其几乎没办法对背景信息进行分析,”Hall补充称。
有时候除了具体频率之外,怎样实现也成了另一大难题:客户似乎很难真正凭借自己的安全管理项目获得预期中的效果。“安全团队要么完全没有得到任何警报或者警报数量太低……要么就是由于警报不断涌现而陷入精神疲劳状态,”Proficio公司市场营销副总裁John Humphreys解释道。
其它数据来源亦需要加以考量
正如Tripwire公司的Smith所建议,除了要对日志数据进行捕捉之外,大家同时还需要关注日志之外的信息来源,并“整理一部分内部网络中生成的内容。大家也有必要将会话同捕捉到的数据包字符串加以结合,最终实现完整的数据包捕捉流程。”
Vardi进一步补充称,“大家还应该考虑审视那些传统角度讲并不属于安全数据的外部数据来源。”其中包括Facebook操作、职位搜索以及其它一些可能由企业内部员工立足于业务环境并使用办公体系下设备与网络所访问的数据源。
“开源情报与企业数据相结合能够很好地解决这些问题,”Vardi强调称。这类数据源从表面上看似乎同安全数据没有任何关联,但其却能够显著改变安全数据的背景信息,同时帮助企业利用多种新型方式审视自身风险状况。当然,要让威胁情报真正具备实用性,这部分信息必须真实可信且基于值得依赖的来源,其中也包括我们的内部数据来源。时至今日,大量应用程序会在日常工作当中持续生成似乎毫无危害的内部流量,其中大部分的设计目标在于实现数据共享,从而帮助业务团队完成自己的既定任务。然而,这些数据的存在及其实际质量也会成为安全工作中不容忽视的重要一环。
这些纯内部网络通信往往被忽视,或者干脆不会被那些单纯监控入侵以及渗透活动的系统日志所发现。这一般是由于此类流量只在内部网络中进行横向传输,而不会跨越入侵监控系统或者触及周边防火墙的控制路径。
“入侵与渗透活动只会发生在设备网络流量进入或者传出企业网络的情况之下,”富士通旗下子公司PFU Systems销售与市场推广经理Carmine CLementelli指出。“与外部临时性网站所使用的命令与控制通信机制类似,在大多数情况下,在这一层面中发现问题时往往为时已晚。”
我们该重视哪些背景信息?
说到背景信息检测这一话题,我们首先可以利用其找到当前企业所面临的威胁以及正在经受的攻击活动,以下三个选项则是大家应当认真考量的主要实现方式:
1. 要求系统自动定义背景信息,并希望其由供应商定义的配置以及规则能够“切实达成使命”。
2. 使用大家自己随时间推移而逐步积累并掌握到的背景信息,并希望其足以涵盖整个业务环境——或者至少要能够与攻击者们了解到的情况基本相当。
3. 对当前的实时性状况进行背景信息定义;尽可能提取能够匹配安全要求的威胁数据及支持情报;而后祈祷我们能够在这场争分夺秒的竞争当中占得先机,同时又不至于被大量警报搞得身心俱疲。
或者,大家也可以充分发挥安全社区带来的使得,并利用由其他人选定的跨行业、跨配置定义,而后对其中的背景信息进行自定义。“安全团队需要运用其它企业的实践经验,并从中了解自身IT环境的真实状况,”Humphreys指出。“这是一种非常值得提倡的真实背景信息审视思路。”
而在涉及内部人员窃取数据并将其发送给竞争对手的情况时,我们能够通过其中的背景信息了解到自身员工与承包商可能会以远高于正常水平的频率进行数据访问。当然,大家也可以捕捉到员工同企业外部接收者进行数据共享的其它蛛丝马迹,例如通过个人邮箱账户或者便携U盘发送数据。
举例来说,近期发布过不良评论内容的员工可以被标记为潜在的内部风险因素。如果第三方供应商进行过多次登录尝试并试图访问企业内访问频度极低的某些系统,那么这种迹象也极有可能意味着该供应商有意进行恶意行为或者已经遭受到钓鱼攻击。
但背景信息并不单纯与人员以及系统相关。“有时候一份文档也可能成为攻击活动的入口,”Vardi指出。“针对文件内容的行为同样需要认真加以对待。其存在于何处?有谁进行过访问?通过哪个IP地址进行访问?其又被传输到了哪里?”
Vardi同时补充称,“将这一切异常状况同其它事故及警报信息相结合,就能帮助我们掌握到与预料之外的恶意活动相关的具体背景信息。举例来说,如果某位员工、合作伙伴或者客户平时基本利用Windows PC上的火狐浏览器进行访问,但却在突然之间开始利用Mac设备上的Safari浏览器下载企业文件,那么这就可能意味着其中存在着潜在安全风险。”
ATM欺诈则是真实世界当中发生过的案例,而且最近一段时间引发了业界的巨大反响。想象一下,银行客户在过去二十年中一直将某种特定的交互方式作为主要银行事务处理途径,那么我们完全可以快速从其行为当中找到异常状况,具体包括他们的取款金额、取款地点以及所使用的卡片。大家甚至可以通过其在同一天内利用同一张卡在不同位置取款来认定其可能遭遇的欺诈活动。
大家也可以利用同样的原则监控指向企业资源的访问外加内部网络当中的用户及系统活动——而不仅仅局限于ATM以及取款行为。
下面来看几种具体案例:
· 某一端点记录到单一用户在网络当中多次通过同一位置使用多个用户登录凭证。如果看到这种状况,那么大家的系统很有可能已经遭到恶意入侵。
· 未经加密的出站/入站流量与内部往来传输流量相关联——内部往来传输流量主要用于监控横向的网络活动传输。这种联网流程可能标志着网络中存在着未经授权的用户或者设备进行登录之状况。
· 利用基于行为的检测技术审视出站流量与点到点传输流量,从而了解相关流量到底通往何处以及其通过该路径的实际频率。我们不能单纯依靠针对入口这一种检测方式;大家还需要假定恶意软件已经存在于内部网络当中,并据此对出口同样加以观察。
· 充分发挥命令与控制检测的固有优势,同时识别那些着眼于进行数据外泄的现有攻击活动。请注意,一般来讲数据外泄状况不会以单独的一次下载操作出现;其往往由一系列发生在给定时间段之内的小规模活动共同构成。在此期间,我们观察到的只是一大堆横向往来的数据传输行为——在这种情况下,我们就需要借力于行为分析而非纯粹的数据包分析。考虑到经过IT/安全认证的网站亦有可能被攻击者们所侵入,因此由其提供的各类服务——例如存储服务——亦有可能借此逃过黑名单与过滤系统的监控法眼。
· 除了依靠宏观性应用监控实现应用功能分析,我们还应当着眼于其它层面。举例来说,Facebook的整体安全状况也许没什么问题,但如果员工在利用Facebook进行聊天、视频查看以及视频上传时,情况显然会出现明显变化。具体来讲,哪些数据会以怎样的方式被传输至/自Facebook中的各项功能?这绝对是安全团队必须重视的又一大问题。
我们该如何加以应对?
背景信息不仅在攻击活动检测当中十分必要,同时也能够用于识别攻击行为的来源、阻断攻击影响扩展并修复业务系统当中已经被攻击所破坏的环节。
“在集成化检测调查、分析与取证体系当中,大家能够查看到过去四个月当中的全部零日安全警告,”Niara公司市场营销副总裁John Dasher表示。“在此之后,大家可以审视自己的日志信息、数据包流以及威胁来源,从而将个人与特定设备进行关联。大家还能够了解哪些用户访问过哪些特定系统、应用程序以及文件,从而掌握造成危害的根源究竟是什么——例如某个PDF文件。”
某些复杂的攻击活动虽然看起来非常可疑,但有可能并不会触发任何警报。但如果其中存在着某个指向已知恶意IP地址的出口,那么大家就能够观察到该IP地址与造成安全威胁的PDF来源相符,而后采取合理的应对措施。
与此同时,同样重要的就是不要被大量警报信息消耗掉过多精力,因为不断出现的警报有可能需要经过数天甚至数星期的时间才能排查完成,这就使得我们有可能错过了在其它位置悄然进行的真正攻击活动。大家需要有能力将检测到的行为与某些背景信息加以结合,从而尽可能在合适的时间段采取最理想的处理办法。
“我们不可能始终拥有完美的应对手段,毕竟我们的网络运维团队并不是每周7天、每天24小时始终工作,”Humphreys提醒道。“有鉴于此,大家应当支持最新且效果最出色的防火墙方案,并发出指令来暂时性阻断恶意流量。大家必须要使用最理想的工具,并选择明智且具备高度自动化水平的使用方式。”
背景环境下实施威胁情报机制的重要意义
不少大型企业都会将自身定位为全球安全威胁情报的持有者,因为他们拥有成千上万客户以及与之相匹配的数十万节点,同时会将自身拥有的数据与其它企业进行共享。对这部分数据进行提取与诊断,而后单纯依赖基于签名及规则的解决方案加以处理则意味着,不断变化的恶意软件将能够非常轻松地脱光此类机制的监控视野。“这种方式并不具备可实施性,”Clementelli强调称。
在对威胁情报项目进行实施规划时,大家应该始终谨记一点——威胁情报的实际价值直接取决于数据源与数据供应机制的质量。一套良好的分析引擎如果只能获取到糟糕的数据信息,那么其实际效果可能还不如一套水平较低但采用高可靠性、高相关度情报的分析引擎。背景信息必须要能够与大家所掌握的其它变量结合起来——请记住,安全分析工作所需要的绝不仅仅是安全数据。
在应对这些挑战的同时,大家很可能还需要物色一位在大数据与安全分析方面拥有出色水平的安全专家。同样的,请确保自身的安全识别解决方案供应商以及其它安全产品供应商有能力针对内部与第三方厂商风险管理方案以及安全事件响应提供必要的专业知识。这种能力之所以如此重要,是因为只有能够同时涵盖上游与下游供应链的方案才能挫败更多潜在的攻击活动。而当攻击活动已经被证实成功后,同样重要的则是限制危害的影响范围,同时立即将网络基础设施恢复到正常运作状态以及既定的安全水平。