全流分析取證:高級(jí)威脅哪里跑?!
網(wǎng)絡(luò)安全的趨勢(shì)和技術(shù)選擇
網(wǎng)絡(luò)空間安全涉及的安全響應(yīng),是指在安全事件發(fā)生后,通過(guò)人工或者自動(dòng)化的方式,能采取相應(yīng)的措施,降低安全事件帶來(lái)的危害和影響;從啟明星辰發(fā)布的近幾年安全態(tài)勢(shì)觀察報(bào)告來(lái)看,安全響應(yīng)都作為重要的一個(gè)技術(shù)領(lǐng)域被提及。在安全防御體系的演進(jìn)中,從PPDR模型,到NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)組織)定義的比較權(quán)威的IPDRR模型,都強(qiáng)調(diào)了安全響應(yīng)是在安全事件處理中的非常重要的能力。
啟明星辰認(rèn)為,在安全響應(yīng)中,最主要的應(yīng)用思路,是基于安全攻擊鏈模型發(fā)掘完整的攻擊過(guò)程,并針對(duì)此攻擊過(guò)程中發(fā)現(xiàn)的系統(tǒng)薄弱點(diǎn),進(jìn)行針對(duì)性的加固。通過(guò)一個(gè)攻擊線索,找到攻擊的利用手段和系統(tǒng)薄弱環(huán)節(jié),以及安全檢測(cè)設(shè)備在此場(chǎng)景下的失效原因,需要全流程全維度的過(guò)程和行為追蹤,而全流量分析取證往往成為了不二之選。
圖1 :惡意軟件市場(chǎng)已經(jīng)高度組織化(來(lái)源:?jiǎn)⒚餍浅桨踩珣B(tài)勢(shì)報(bào)告)
啟明星辰認(rèn)為,基于網(wǎng)絡(luò)流量元數(shù)據(jù)和數(shù)據(jù)包的采集,進(jìn)行流行為的安全威脅分析和取證,是未來(lái)最重要安全技術(shù)之一。Gartner的最新報(bào)告也指出:NTA(網(wǎng)絡(luò)流量分析)和NFT(網(wǎng)絡(luò)取證工具)正在逐步演變?yōu)橥ㄟ^(guò)采集和存儲(chǔ)網(wǎng)絡(luò)分析以外的更多數(shù)據(jù),實(shí)現(xiàn)更大范圍的威脅檢測(cè)和攻擊取證能力。
傳統(tǒng)的“預(yù)防加檢測(cè)”有其天然局限性,“持續(xù)檢測(cè)與響應(yīng)”才能應(yīng)對(duì)今天不斷變化的威脅局面。
全流量分析取證在安全中的價(jià)值
1:具備完整攻擊鏈的全過(guò)程信息存儲(chǔ)和展示
網(wǎng)絡(luò)攻擊的成功實(shí)施,通常是利用系統(tǒng)的薄弱環(huán)節(jié),通過(guò)多種手段最終進(jìn)入系統(tǒng)內(nèi)部,造成系統(tǒng)破壞或者是獲取所需信息。即使我們已經(jīng)部署了防火墻、IDS、IPS、數(shù)據(jù)庫(kù)防御、郵件防御系統(tǒng)等產(chǎn)品,貌似扎緊了防御的籬笆,但面對(duì)持續(xù)的、層出不窮的高級(jí)威脅攻擊手法和樣本變體,有時(shí)還是無(wú)法阻止各類(lèi)攻擊的發(fā)生,這足以說(shuō)明當(dāng)前攻擊形勢(shì)的復(fù)雜性和隱蔽性。通過(guò)對(duì)攻擊過(guò)程的分析和分解,洛克希德·馬丁公司提出了攻擊鏈的概念,此概念一經(jīng)推出就得到了廣大安全廠商的認(rèn)可;近兩年非?;馃岬腁TT&CK模型,也是在此技術(shù)上結(jié)合攻擊鏈的各個(gè)階段,提煉出常用的攻擊手法和方式,成為了很多安全廠商設(shè)計(jì)安全檢測(cè)設(shè)備的一個(gè)標(biāo)尺。
圖2:ATT&CK在Google Trends上過(guò)去一年多的趨勢(shì)變化
然而,品類(lèi)繁多復(fù)雜的安全檢測(cè)設(shè)備,往往只能覆蓋攻擊鏈的幾個(gè)過(guò)程,而無(wú)法完整的呈現(xiàn)出一個(gè)完整的攻擊活動(dòng)。這些相互重疊的安全設(shè)備的檢測(cè)能力,往往會(huì)給攻擊者帶來(lái)可乘之機(jī):每個(gè)設(shè)備只能展示部分相關(guān)的攻擊信息,無(wú)法完整的展示攻擊行為過(guò)程和前后的串聯(lián)關(guān)系,那么在后續(xù)的響應(yīng)環(huán)節(jié)就做不到毫發(fā)無(wú)遺,只會(huì)導(dǎo)致同類(lèi)型的攻擊讓我們疲于應(yīng)付,安全事件層出不窮了。
全流量分析取證,通過(guò)存儲(chǔ)網(wǎng)絡(luò)中所有的流量(可過(guò)濾掉一些低價(jià)值的視頻流量等),實(shí)現(xiàn)完整的攻擊過(guò)程在網(wǎng)絡(luò)數(shù)據(jù)傳輸中的快照,依據(jù)一定的自動(dòng)查詢(xún)規(guī)則或者是手工查詢(xún)的方式,展示出整個(gè)攻擊鏈的所有相關(guān)信息。
同時(shí)對(duì)于全流量分析取證產(chǎn)品,通過(guò)和傳統(tǒng)安全檢測(cè)設(shè)備、流量分析設(shè)備系統(tǒng)聯(lián)動(dòng),能實(shí)現(xiàn)一點(diǎn)檢測(cè),全攻擊鏈還原取證的能力,實(shí)現(xiàn)100%準(zhǔn)確的攻擊有效性判斷和關(guān)鍵證據(jù)的獲取,是構(gòu)建攻擊活動(dòng)的完整證據(jù)鏈的數(shù)據(jù)基座。
2:協(xié)助識(shí)別網(wǎng)絡(luò)攻擊的有效性,可實(shí)現(xiàn)網(wǎng)絡(luò)攻擊超低誤報(bào)
因?yàn)榫W(wǎng)絡(luò)業(yè)務(wù)的低時(shí)延要求,自動(dòng)化攻擊行為的發(fā)生,和每年大幅增長(zhǎng)的系統(tǒng)漏洞,對(duì)安全檢測(cè)設(shè)備的快速響應(yīng)能力提出了更高的要求。另一方面,因?yàn)樾枰档吐﹫?bào)率的因素,大量的攻擊誤報(bào)就成為了網(wǎng)絡(luò)攻擊檢測(cè)中的常態(tài)。
通過(guò)傳統(tǒng)安全檢測(cè)設(shè)備和全流量分析取證設(shè)備的聯(lián)動(dòng),通過(guò)對(duì)一條流的客戶(hù)端行為,服務(wù)器的行為,以及同一個(gè)客戶(hù)端&服務(wù)器端的多條流的行為的驗(yàn)證,能快速準(zhǔn)確的分析出是否是一個(gè)成功的攻擊行為:
圖3:?jiǎn)⒚餍浅饺髁糠治鋈∽C設(shè)備和檢測(cè)設(shè)備聯(lián)動(dòng)
近年來(lái)各大安全廠商不停的在SIEM/SOAR上進(jìn)行能力布局,是類(lèi)似的分析取證的思路,但此類(lèi)分析取證還是基于已有的網(wǎng)絡(luò)安全設(shè)備的日志信息等,完整性和準(zhǔn)確性上存在一定的不足。而全流分析取證設(shè)備上有完整的攻擊過(guò)程信息,有攻擊前和攻擊后的客戶(hù)端/服務(wù)器行為,這些都能較容易的幫助安全檢測(cè)設(shè)備快速準(zhǔn)確甄別誤報(bào)信息,真正發(fā)揮安全檢測(cè)設(shè)備的快速檢測(cè)優(yōu)勢(shì)和實(shí)時(shí)的安全響應(yīng)處置策略。
3:實(shí)現(xiàn)基于多種復(fù)雜流量組合的攻擊過(guò)程分析
全流分析取證產(chǎn)品在pcap原始數(shù)據(jù)、協(xié)議元數(shù)據(jù)、流統(tǒng)計(jì)信息等全維度信息的基礎(chǔ)上,可以實(shí)現(xiàn)在線/實(shí)時(shí),離線/批量的安全模型分析,彌補(bǔ)當(dāng)前網(wǎng)絡(luò)安全設(shè)備檢測(cè)能力的不足。
圖4:?jiǎn)⒚餍浅饺魅∽C方案的多場(chǎng)景安全分析能力
基于全流分析取證產(chǎn)品的完整數(shù)據(jù),可以實(shí)現(xiàn)由最簡(jiǎn)單的統(tǒng)計(jì)分析,到最復(fù)雜的人工智能等多種場(chǎng)景的安全威脅分析,驗(yàn)證攻擊是否成功,分析模型是否準(zhǔn)確,能良好的解決傳統(tǒng)的基于特征、指紋和用戶(hù)網(wǎng)絡(luò)行為的攻擊檢測(cè)方式帶來(lái)的誤報(bào)和漏報(bào)的問(wèn)題,此種自證能力是全流分析取證產(chǎn)品獨(dú)特且難以被其他產(chǎn)品取代的優(yōu)秀能力。
-
重磅|啟明星辰集團(tuán)發(fā)布《2019-2020網(wǎng)絡(luò)安全態(tài)勢(shì)觀察報(bào)告》08/18
-
啟明星辰:唯有“羅縷紀(jì)存” 方能證據(jù)確鑿08/17
-
四川將率先建設(shè)白酒行業(yè)工業(yè)互聯(lián)網(wǎng)標(biāo)識(shí)解析二級(jí)節(jié)點(diǎn)08/17
-
匯聚芯片/模組/網(wǎng)絡(luò)/平臺(tái)/應(yīng)用廠商全產(chǎn)業(yè)鏈,IOTE 2020深圳移動(dòng)物聯(lián)網(wǎng)產(chǎn)業(yè)生態(tài)大會(huì)成功舉辦08/10
-
浙江攜手奧地利 智慧城市項(xiàng)目“云對(duì)接”08/05