六項提示幫你運用威脅情報技術

■憂二

六項提示幫你運用威脅情報技術

■憂二

一家企業該如何對自身風險及安全規程進行實施?更具體地講，將著眼點集中在大數據技術領域，一家企業該如何實施其威脅情報流程?

不少企業認為自身已經非常了解疆域之內的安全關鍵點以及入門點的具體位置。然而遺憾的是，他們會很快發現最為嚴重的安全問題往往出現在其始料未及的區域。

“企業會高度關注自身ATM運作狀態，但卻往往忽視了大型機所提供的細節警告提示，”Securonix公司首席營銷官Sharon Vardi指出?！叭绻麩o法掌握這方面信息，企業相當于把皇冠上的明珠拱手讓人，這顯然是種開門揖盜的不智行為?！?/p>

要想真正了解安全關注重點，我們首先需要收集到能夠加以分析的數據，同時在分析過程中有目的地進行針對性觀察。

然而，如果無法對當前進行當中的完整數據流進行收集與分析，企業仍然無法在安全保障工作中取得成功——換言之，單純對有限時間窗口之內的運作狀態進行快照保存還遠遠不夠。我們需要在惡意活動發生之前、當中以及之后對數據進行持續收集。

“企業還需要提升數據的涵蓋范圍，從內部到網絡體系當中、貫穿每一個端點甚至需要重視存在于自身網絡環境之外的外部與公共數據來源，”Blue Coat Systems公司高級威脅保護戰略與產品營銷主管Alan Hall指出?！胺駝t，即使在最理想的情況下我們能夠針對威脅做出的響應舉措也將非常有限?！?/p>

行之有效的事件響應機制需要依托于背景信息

在面對安全事故時，行之有效的響應機制顯然必不可少。而要達到這一目標，我們需要背景信息作為依托——具體來講，也就是那些超越原始形式、在收集之后進行了整理的有效信息。背景信息能夠被用于識別高級、隱蔽乃至其它各種類型的攻擊活動，同時提供指引以幫助我們找到最理想的應對辦法。

安全數據并不是大數據。這是一類臃腫的病態數據。

“為了對安全事故進行妥善管理，企業不僅需要收集數據，同時也必須以實時方式對數據進行分析——而后進行數據存儲，這樣一來這部分信息就能夠在日后用于比對新的實時數據，”Tripw ire公司高級安全研究工程師Travis Smith表示?！澳壳暗奶魬鹪谟凇瓟祿鎯硪欢ǔ潭鹊倪\營成本——另外，數據的管理與使用同樣可能帶來種種實際難題?！?/p>

現實情況是，希望進行日志信息分析的安全團隊需要把賭注放在開發人員身上，因為只有后者在日志當中記錄與系統相關的合適信息，這部分數據才能真正服務于安全保障工作。而這些具體細節往往在系統開發過程當中就已經決定了(更準確地講，很多系統中干脆不存在此類細節記錄機制)。

利用完整的數據包捕捉能力揭開真相

即使在上述環節中得到了肯定的答案，安全日志也只能算是保障工作整體中的冰山一角。實際上，真相源自貫穿整個網絡體系的完整數據包當中。我們需要擺脫以往那種單純提取日志信息的思維束縛，轉而進入網絡捕捉與安全相關的數據負載——但這又帶來另一大挑戰：“安全數據并非大數據，”Smith解釋道?！斑@是一種臃腫的病態數據”。

正常數據存儲的最佳實踐要求保留過去三十天當中的流量，然而一部分行業政策可能提出更高的要求，特別是政府方面的監管機構?！叭绻踩珗F隊始終處于純戒備狀態之下，那么其幾乎沒辦法對背景信息進行分析，”Hall補充稱。

有時候除了具體頻率之外，怎樣實現也成了另一大難題：客戶似乎很難真正憑借自己的安全管理項目獲得預期中的效果?！鞍踩珗F隊要么完全沒有得到任何警報或者警報數量太低……要么就是由于警報不斷涌現而陷入精神疲勞狀態，”Proficio公司市場營銷副總裁John Hum phreys解釋道。

其它數據來源亦需要加以考量

正如Tripwire公司的Smith所建議，除了要對日志數據進行捕捉之外，大家同時還需要關注日志之外的信息來源，并“整理一部分內部網絡中生成的內容。大家也有必要將會話同捕捉到的數據包字符串加以結合，最終實現完整的數據包捕捉流程?！?/p>

Vardi進一步補充稱，“大家還應該考慮審視那些傳統角度講并不屬于安全數據的外部數據來源?！逼渲邪‵acebook操作、職位搜索以及其它一些可能由企業內部員工立足于業務環境并使用辦公體系下設備與網絡所訪問的數據源。

“開源情報與企業數據相結合能夠很好地解決這些問題，”Vardi強調稱。這類數據源從表面上看似乎同安全數據沒有任何關聯，但其卻能夠顯著改變安全數據的背景信息，同時幫助企業利用多種新型方式審視自身風險狀況。當然，要讓威脅情報真正具備實用性，這部分信息必須真實可信且基于值得依賴的來源，其中也包括我們的內部數據來源。時至今日，大量應用程序會在日常工作當中持續生成似乎毫無危害的內部流量，其中大部分的設計目標在于實現數據共享，從而幫助業務團隊完成自己的既定任務。然而，這些數據的存在及其實際質量也會成為安全工作中不容忽視的重要一環。

這些純內部網絡通信往往被忽視，或者干脆不會被那些單純監控入侵以及滲透活動的系統日志所發現。這一般是由于此類流量只在內部網絡中進行橫向傳輸，而不會跨越入侵監控系統或者觸及周邊防火墻的控制路徑。

“入侵與滲透活動只會發生在設備網絡流量進入或者傳出企業網絡的情況之下，”富士通旗下子公司PFU Systems銷售與市場推廣經理Carm ine CLementelli指出?！芭c外部臨時性網站所使用的命令與控制通信機制類似，在大多數情況下，在這一層面中發現問題時往往為時已晚?！?/p>

我們該重視哪些背景信息?

說到背景信息檢測這一話題，我們首先可以利用其找到當前企業所面臨的威脅以及正在經受的攻擊活動，以下三個選項則是大家應當認真考量的主要實現方式：

1.要求系統自動定義背景信息，并希望其由供應商定義的配置以及規則能夠“切實達成使命”。

2.使用大家自己隨時間推移而逐步積累并掌握到的背景信息，并希望其足以涵蓋整個業務環境——或者至少要能夠與攻擊者們了解到的情況基本相當。

3.對當前的實時性狀況進行背景信息定義;盡可能提取能夠匹配安全要求的威脅數據及支持情報;而后祈禱我們能夠在這場爭分奪秒的競爭當中占得先機，同時又不至于被大量警報搞得身心俱疲。

或者，大家也可以充分發揮安全社區帶來的使得，并利用由其他人選定的跨行業、跨配置定義，而后對其中的背景信息進行自定義?！鞍踩珗F隊需要運用其它企業的實踐經驗，并從中了解自身IT環境的真實狀況，”Humphreys指出?！斑@是一種非常值得提倡的真實背景信息審視思路?！?/p>

而在涉及內部人員竊取數據并將其發送給競爭對手的情況時，我們能夠通過其中的背景信息了解到自身員工與承包商可能會以遠高于正常水平的頻率進行數據訪問。當然，大家也可以捕捉到員工同企業外部接收者進行數據共享的其它蛛絲馬跡，例如通過個人郵箱賬戶或者便攜U盤發送數據。

舉例來說，近期發布過不良評論內容的員工可以被標記為潛在的內部風險因素。如果第三方供應商進行過多次登錄嘗試并試圖訪問企業內訪問頻度極低的某些系統，那么這種跡象也極有可能意味著該供應商有意進行惡意行為或者已經遭受到釣魚攻擊。

但背景信息并不單純與人員以及系統相關?！坝袝r候一份文檔也可能成為攻擊活動的入口，”Vardi指出?！搬槍ξ募热莸男袨橥瑯有枰J真加以對待。其存在于何處?有誰進行過訪問?通過哪個IP地址進行訪問?其又被傳輸到了哪里?”

Vardi同時補充稱，“將這一切異常狀況同其它事故及警報信息相結合，就能幫助我們掌握到與預料之外的惡意活動相關的具體背景信息。舉例來說，如果某位員工、合作伙伴或者客戶平時基本利用Windows PC上的火狐瀏覽器進行訪問，但卻在突然之間開始利用Mac設備上的Safari瀏覽器下載企業文件，那么這就可能意味著其中存在著潛在安全風險?！?/p>

ATM欺詐則是真實世界當中發生過的案例，而且最近一段時間引發了業界的巨大反響。想象一下，銀行客戶在過去二十年中一直將某種特定的交互方式作為主要銀行事務處理途徑，那么我們完全可以快速從其行為當中找到異常狀況，具體包括他們的取款金額、取款地點以及所使用的卡片。大家甚至可以通過其在同一天內利用同一張卡在不同位置取款來認定其可能遭遇的欺詐活動。

大家也可以利用同樣的原則監控指向企業資源的訪問外加內部網絡當中的用戶及系統活動——而不僅僅局限于ATM以及取款行為。

下面來看幾種具體案例：

·某一端點記錄到單一用戶在網絡當中多次通過同一位置使用多個用戶登錄憑證。如果看到這種狀況，那么大家的系統很有可能已經遭到惡意入侵。

·未經加密的出站/入站流量與內部往來傳輸流量相關聯——內部往來傳輸流量主要用于監控橫向的網絡活動傳輸。這種聯網流程可能標志著網絡中存在著未經授權的用戶或者設備進行登錄之狀況。

·利用基于行為的檢測技術審視出站流量與點到點傳輸流量，從而了解相關流量到底通往何處以及其通過該路徑的實際頻率。我們不能單純依靠針對入口這一種檢測方式;大家還需要假定惡意軟件已經存在于內部網絡當中，并據此對出口同樣加以觀察。

·充分發揮命令與控制檢測的固有優勢，同時識別那些著眼于進行數據外泄的現有攻擊活動。請注意，一般來講數據外泄狀況不會以單獨的一次下載操作出現;其往往由一系列發生在給定時間段之內的小規?；顒庸餐瑯嫵?。在此期間，我們觀察到的只是一大堆橫向往來的數據傳輸行為——在這種情況下，我們就需要借力于行為分析而非純粹的數據包分析?？紤]到經過IT/安全認證的網站亦有可能被攻擊者們所侵入，因此由其提供的各類服務——例如存儲服務——亦有可能借此逃過黑名單與過濾系統的監控法眼。

·除了依靠宏觀性應用監控實現應用功能分析，我們還應當著眼于其它層面。舉例來說，Facebook的整體安全狀況也許沒什么問題，但如果員工在利用Facebook進行聊天、視頻查看以及視頻上傳時，情況顯然會出現明顯變化。具體來講，哪些數據會以怎樣的方式被傳輸至/自Facebook中的各項功能?這絕對是安全團隊必須重視的又一大問題。

我們該如何加以應對?

背景信息不僅在攻擊活動檢測當中十分必要，同時也能夠用于識別攻擊行為的來源、阻斷攻擊影響擴展并修復業務系統當中已經被攻擊所破壞的環節。

“在集成化檢測調查、分析與取證體系當中，大家能夠查看到過去四個月當中的全部零日安全警告，”Niara公司市場營銷副總裁John Dasher表示?！霸诖酥?，大家可以審視自己的日志信息、數據包流以及威脅來源，從而將個人與特定設備進行關聯。大家還能夠了解哪些用戶訪問過哪些特定系統、應用程序以及文件，從而掌握造成危害的根源究竟是什么——例如某個PDF文件?！?/p>

某些復雜的攻擊活動雖然看起來非?？梢?，但有可能并不會觸發任何警報。但如果其中存在著某個指向已知惡意IP地址的出口，那么大家就能夠觀察到該IP地址與造成安全威脅的PDF來源相符，而后采取合理的應對措施。

與此同時，同樣重要的就是不要被大量警報信息消耗掉過多精力，因為不斷出現的警報有可能需要經過數天甚至數星期的時間才能排查完成，這就使得我們有可能錯過了在其它位置悄然進行的真正攻擊活動。大家需要有能力將檢測到的行為與某些背景信息加以結合，從而盡可能在合適的時間段采取最理想的處理辦法。

“我們不可能始終擁有完美的應對手段，畢竟我們的網絡運維團隊并不是每周7天、每天24小時始終工作，”Humphreys提醒道?！坝需b于此，大家應當支持最新且效果最出色的防火墻方案，并發出指令來暫時性阻斷惡意流量。大家必須要使用最理想的工具，并選擇明智且具備高度自動化水平的使用方式?！?/p>

背景環境下實施威脅情報機制的重要意義

不少大型企業都會將自身定位為全球安全威脅情報的持有者，因為他們擁有成千上萬客戶以及與之相匹配的數十萬節點，同時會將自身擁有的數據與其它企業進行共享。對這部分數據進行提取與診斷，而后單純依賴基于簽名及規則的解決方案加以處理則意味著，不斷變化的惡意軟件將能夠非常輕松地脫光此類機制的監控視野?！斑@種方式并不具備可實施性，”Clementelli強調稱。

在對威脅情報項目進行實施規劃時，大家應該始終謹記一點——威脅情報的實際價值直接取決于數據源與數據供應機制的質量。一套良好的分析引擎如果只能獲取到糟糕的數據信息，那么其實際效果可能還不如一套水平較低但采用高可靠性、高相關度情報的分析引擎。背景信息必須要能夠與大家所掌握的其它變量結合起來——請記住，安全分析工作所需要的絕不僅僅是安全數據。

在應對這些挑戰的同時，大家很可能還需要物色一位在大數據與安全分析方面擁有出色水平的安全專家。同樣的，請確保自身的安全識別解決方案供應商以及其它安全產品供應商有能力針對內部與第三方廠商風險管理方案以及安全事件響應提供必要的專業知識。這種能力之所以如此重要，是因為只有能夠同時涵蓋上游與下游供應鏈的方案才能挫敗更多潛在的攻擊活動。而當攻擊活動已經被證實成功后，同樣重要的則是限制危害的影響范圍，同時立即將網絡基礎設施恢復到正常運作狀態以及既定的安全水平。