用Adaptive-Security來應對高級定向攻擊

1、Gartner：用自適應安全架構(gòu)來應對高級定向攻擊引言大多數(shù)企業(yè)在安全保護方面會優(yōu)先集中在攔截和防御(例如反病毒)以及基于策略的控制(如防火墻)，將危險攔截在外(但只是如下圖示的右上角四分之一部分)。然而，完美的防御是不可能(參見“2020安全防御已成徒勞：通過周密普遍的監(jiān)控和情報共享來保護信息安全”)。高級定向攻擊總能輕而易舉地繞過傳統(tǒng)防火墻和基于黑白名單的預防機制。所有機構(gòu)都應該從現(xiàn)在認識到自己處在持續(xù)的風險狀態(tài)。但情況是，企業(yè)盲信防御措施能100%奏效，他們更加過度依賴這些傳統(tǒng)預防機制。結(jié)果，面對不可避免的侵害行為時，大多數(shù)的企業(yè)只有有限的能力檢測和反應，隨之而來是“停擺”時間變長，損失

2、變大。圖1：自適應防御系統(tǒng)的四個階段(預測-防御-監(jiān)控-回溯)實際情況中，提升后的防御、檢測、響應和預測服務都需要應對各種攻擊，不管是否高級。更重要的是不要將其視作封閉固定的功能，而應以智能集成聯(lián)動的方式工作，對于高級威脅，自適應系統(tǒng)需持續(xù)完善保護功能。自適應防護架構(gòu)的關(guān)鍵能力1. “防御能力” 是指一系列策略集、產(chǎn)品和服務可以用于防御攻擊。這個方面的關(guān)鍵目標是通過減少被攻擊面來提升攻擊門檻，并在受影響前攔截攻擊動作。2. “檢測能力”用于發(fā)現(xiàn)那些逃過防御網(wǎng)絡的攻擊，該方面的關(guān)鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失。檢測能力非常關(guān)鍵，因為企業(yè)應該假設自己已處在被攻擊狀態(tài)中。3.

3、“回溯能力”用于高效調(diào)查和補救被檢測分析功能(或外部服務)查出的事務，以提供入侵認證和攻擊來源分析，并產(chǎn)生新的預防手段來避免未來事故。4. “預測能力”使系安全系統(tǒng)可從外部監(jiān)控下的黑客行動中學習，以主動鎖定對現(xiàn)有系統(tǒng)和信息具有威脅的新型攻擊，并對漏洞劃定優(yōu)先級和定位。該情報將反饋到預防和檢測功能，從而構(gòu)成整個處理流程的閉環(huán)。作為一個有價值的框架，根據(jù)自適應防護架構(gòu)將有助于企業(yè)對現(xiàn)有和未來的安全投入進行劃分并確定投入是均衡的。不要讓當前市面上的“明星”安全創(chuàng)業(yè)公司的來確定安全投資，機構(gòu)需評估當前的安全投入和能力來決定哪里不足。自適應架構(gòu)還可以幫助企業(yè)篩選和評估安全供應商。毫無疑問，提供多方面安全

4、能力的供應商在戰(zhàn)略上優(yōu)勝于只提供單方面能力的。安全防護是一項持續(xù)處理過程在持續(xù)攻擊時代，企業(yè)需要完成對安全思維的根本性切換，從“應急響應”到“持續(xù)響應”，前者認為攻擊是偶發(fā)的，一次性的事故，而后者則認為攻擊是不間斷的，黑客滲透系統(tǒng)和信息的努力是不可能完全攔截的，系統(tǒng)應承認自己時刻處于被攻擊中。在這樣的認知下，我們才能認清持續(xù)監(jiān)控的必要性(見圖2)。圖2. 自適應安全架構(gòu)需要持續(xù)監(jiān)控持續(xù)監(jiān)控和分析是自適應安全架構(gòu)的核心如圖2所示，為面向高級攻擊而實現(xiàn)真正的自適應及基于風險的響應，下一代安全防護程序的核心一定是持續(xù)的，主動監(jiān)控和可視化將持續(xù)分析攻擊痕跡，這將生成大量數(shù)據(jù)。然而，除非配以恰當?shù)姆治?

5、輔以外部資源如場景和社區(qū)信息、威脅智能感知系統(tǒng)來提升準確度)用于提取高執(zhí)行力建議，大數(shù)據(jù)只是噪音而已?？梢杂枚喾N分析手段來處理這些數(shù)據(jù)，包括啟發(fā)性方法、統(tǒng)計方法、推理建模、機器學習、聚類分析、貝葉斯建模。我們相信，今后所有高效的安全防護平臺除了包括傳統(tǒng)的安全信息事件管理系統(tǒng)之外，核心能力中都會嵌入特定領(lǐng)域分析系統(tǒng)。企業(yè)監(jiān)控應轉(zhuǎn)為主動式，應覆蓋盡可能多的IT棧層，包括網(wǎng)絡活動層、端點層、系統(tǒng)交互層、應用事務層和用戶行為層?？梢暬瘧摪ㄆ髽I(yè)和員工個人設備，并支持跨企業(yè)數(shù)據(jù)中心和外部云服務。未來的防御不僅要深入到控制層，還應該包括監(jiān)控和可視化(見圖3)。圖3. 全技術(shù)層的持續(xù)監(jiān)控相比傳統(tǒng)的SIEM

6、系統(tǒng)能有效監(jiān)控的數(shù)據(jù)，企業(yè)持續(xù)監(jiān)控所有實體和層，所產(chǎn)生的數(shù)據(jù)容量更大、周轉(zhuǎn)率更高、更加多樣化。這樣也是為什么Gartner研究認為大數(shù)據(jù)將帶來下一代安全防護解決方案的原因之一(見“信息安全將成為一個大數(shù)據(jù)分析問題”)。另一個原因是，到2020年，為存儲用于回溯分析的監(jiān)控數(shù)據(jù)，40%的企業(yè)需建立專門安全數(shù)據(jù)中心。通過一段時間的存儲和數(shù)據(jù)分析，并融入場景、外部威脅和社群智慧，“正?！蹦Ｊ讲拍芙ⅲ覕?shù)據(jù)分析也可以用于分辨出從正常模式偏離的行為。隨著技術(shù)支持，這些能力將逐步變得主流，我們相信，自適應防護架構(gòu)也將變成主流，并作為供應平臺集成大量組件，并且提供可以方便使用的嵌入式分析引擎。自適應防護架

7、構(gòu)的6種關(guān)鍵輸入在我們揭示自適應防護架構(gòu)的12個能力前，需認識到6種關(guān)鍵輸入也是該架構(gòu)不可分割的部分，也需要在安全選型決策中貫徹(見圖4)。圖4策略：用于定義和描述各項組織需求包括系統(tǒng)配置、補丁需求、網(wǎng)絡活動、哪些應用允許執(zhí)行，哪些應被禁止，反病毒掃描的頻率、敏感數(shù)據(jù)保護、應急響應等等。這些策略通常源于內(nèi)部指導和外部影響，例如管理需求。策略驅(qū)動企業(yè)安全平臺如何主動預防以及響應高級威脅?！皥鼍啊保?基于當前條件的信息(如地點、時間、漏洞狀態(tài)等)，場景感知使用額外信息提升信息安全決策正確性。對于分辨哪些攻擊逃過傳統(tǒng)安全防護機制，以及幫助確定有意義的偏離正常行為而不需要增加大量誤報率時，對場景的利用

8、非常關(guān)鍵?！吧鐓^(qū)智慧”：為更好地應對高級威脅，信息應該是聚合的，可通過基于云的社區(qū)進行分析和分享的，理想的情況下，還應該擁有在相似行業(yè)和地區(qū)進行信息聚合及分析的能力。這種“眾包”智能可以提升所有參與者的整體防護能力，例如社區(qū)智慧適用來回答這樣的問題：“還有哪些企業(yè)同我們一樣?有其他人之前碰到這樣的應用/URL/IP地址嗎?是否有一個我們的同行已經(jīng)開發(fā)出一個新方法來檢測出這個高級威脅并可分享給其他人?”因此，更好的社區(qū)可讓企業(yè)分享最佳實踐、知識和技巧。規(guī)模性的社區(qū)將受益于網(wǎng)絡效應。有些社區(qū)是自我組織的，例如 FS-ISAC，有些是政府資助的，如北美計算機緊急響應小組 (US-CERT);其他有些

9、是安全廠商創(chuàng)建的面向合作伙伴和平臺上開發(fā)者的生態(tài)系統(tǒng)。威脅情報：危險情報的核心是那些提供可信有價值的主題源，如IP地址、域、URLs、文件、應用等等。然而，高級威脅情報服務還應提供給企業(yè)關(guān)于攻擊者/機構(gòu)的組織方式攻擊目標等情報(見“安全威脅情報服務提供商技術(shù)概覽”)，另外，服務商還應該提供相應的指導，幫助企業(yè)針對性防護這些攻擊。現(xiàn)在更多的威脅情報以可機讀的格式發(fā)布，這樣可以更容易直接整合進入網(wǎng)絡、Web、郵件和漏洞安全平臺中(見“可機讀的威脅情報技術(shù)概覽”)。漏洞分析：該信息提供給企業(yè)對其所用到的設備、系統(tǒng)、應用和接口中的漏洞進行分析。除了包括一致的漏洞，分析還包括存在于企業(yè)客戶和第三方應用中

10、的一些未知的漏洞，可通過主動測試其應用、庫和接口來完成。供應商實驗室：大多數(shù)安全防護平臺廠商提供最新的信息來支持他們的防護解決方案例如，為提供對最新發(fā)現(xiàn)的威脅進行保護，黑白名單以及規(guī)則和模式都會更新。自適應安全防護過程中的12個關(guān)鍵功能為實現(xiàn)全面的自適應安全防護架構(gòu)，實現(xiàn)對攻擊的攔截、預防、檢測和響應，我們認為如下12個特別的功能非常必要(見圖5)。圖5如下是這12種功能的簡單介紹，從右上象限開始按照順時鐘指針方向開始介紹，需注意順序不代表重要程度，對于全面防護來說他們同等重要。加固和隔離系統(tǒng)：任何信息安全架構(gòu)的初始功能都是采用多種技術(shù)降低攻擊面，限制黑客接觸系統(tǒng)、發(fā)現(xiàn)漏洞和執(zhí)行惡意代碼的能力

11、。無論應用在網(wǎng)絡防護墻(只允許訪問某些端口/能力)或者系統(tǒng)應用控制層(只允許某些應用執(zhí)行，見“如何有效部署應用控制”)，傳統(tǒng)的“默認拒絕”模式(白名單)算一種有效的功能，數(shù)據(jù)加密系統(tǒng)也可以視做信息系統(tǒng)層的白名單和加固方式。漏洞以及補丁管理：用于識別和關(guān)閉漏洞的漏洞及路徑管理功能也可以納入此類。結(jié)合端點隔離和沙盒技術(shù)，可主動限制網(wǎng)絡/系統(tǒng)/進程/應用相互接口的能力，也是此類的另一種方式(見“面向高級攻擊的虛擬化和控制系統(tǒng)技術(shù)概覽”)。轉(zhuǎn)移攻擊：簡單來說，該領(lǐng)域功能可是企業(yè)在黑客攻防中獲得時間上的非對稱優(yōu)勢，通過多種技術(shù)使攻擊者難以定位真正的系統(tǒng)核心以及可利用漏洞，以及隱藏混淆系統(tǒng)接口信息(如創(chuàng)建

12、虛假系統(tǒng)、漏洞和信息)。例如，被Juniper網(wǎng)絡收購的Mykonos科技可以創(chuàng)建一個無漏洞的應用層鏡像，隨后提供一個活躍目標的蜜罐。Unisys Stealth可以將網(wǎng)絡系統(tǒng)隱藏，而CSGs invotas解決方案整合了豐富多樣的偏離技術(shù)。雖然隱藏式安全并不能根本性解決問題，這種方式也視作一種可分層的、深層防御策略。事故預防：該類別覆蓋多種成熟的預防方式防止黑客未授權(quán)而進入系統(tǒng)，包括傳統(tǒng)的“黑白名單式”的反惡意病毒掃描以及基于網(wǎng)絡主機的入侵預防系統(tǒng)?！靶袨樘卣鳌?也是這方面的另一層應用例如，為防止系統(tǒng)和控制中心交流，可使用來自第三方知名發(fā)布的服務信息和情報并整合進入網(wǎng)絡、網(wǎng)管或者基于主機的控

13、制器。事故檢測：一些攻擊者不可避免地會繞過傳統(tǒng)的攔截和預防機制，這時最重要的事情就是在盡可能短的時間里檢測到入侵，將黑客造成損害和泄露敏感的信息最小化。很多技術(shù)可用在此處，但大多數(shù)依賴于自適應防護體系的核心能力即分析持續(xù)監(jiān)控所收集的數(shù)據(jù)，方法包括從正常的網(wǎng)絡和端點行為中檢測出異常，檢測出有外向連接到已知的危險實體，或者是檢測作為潛在攻擊線索的事件和行為特征的序列。自適應安全架構(gòu)的核心功能是持續(xù)而嚴密的監(jiān)控功能，將分析那些正處于觀察中的與歷史數(shù)據(jù)沖突的情況，這樣安全運營分析就可以辨別出那些異常情況，不僅如此，發(fā)展中的持續(xù)安全運營中心和熟練的安全運營分析人員日益成為企業(yè)的重要核心之一。風險確認和排

14、序：一旦潛在問題被檢測到，就需要在不同實體中將攻擊的標志關(guān)聯(lián)起來進行確認，例如，首先觀察在沙盒環(huán)境中基于網(wǎng)絡的威脅檢測系統(tǒng)所觀察到進程、行為和注冊實體等，然后將其和實際端口中的情況相比。這種在網(wǎng)絡和端點中分析情報的能力正是前不久安全闡述FireEye收購Mandian的主要原因之一，基于內(nèi)外情景例如用戶、角色，信息的敏感性將被處理和資產(chǎn)將進行商業(yè)分析這些事務也會根據(jù)風險進行評估，并通知到企業(yè)，再經(jīng)過可視化處理，這樣安全運營分析人員就可以專注于優(yōu)先處理那些優(yōu)先級最高的高風險問題。事故隔離：一旦事故被識別、確認和排序，這個類別的工作將迅速隔離被感染系統(tǒng)和賬戶，防止其阻礙其他系統(tǒng)。常用的隔離能力包括

15、，端點隔離、賬戶封鎖、網(wǎng)絡層隔離、系統(tǒng)進程關(guān)閉，以及立即預防其他系統(tǒng)執(zhí)行同樣的惡意軟件或訪問同樣的被感染信息。調(diào)查/取證：當被感染的系統(tǒng)和賬戶被隔離好之后，通過回顧分析事件完整過程，利用持續(xù)監(jiān)控所獲取的數(shù)據(jù)，根本原因和全部缺口都終將解決。黑客是如何獲得據(jù)點的?這是個未知的漏洞還是沒有打補丁的漏洞?那些文件或者可執(zhí)行程序包含攻擊?多少系統(tǒng)受到影響?那些信息泄露了?某些情況下，企業(yè)也許想更多了解黑客的來源和動機是否國家支持的攻擊?如果是，哪個國家?都需要有歷史記錄的監(jiān)控信息來回答這些細節(jié)信息。對于一次完整的調(diào)查，單獨的網(wǎng)絡流數(shù)據(jù)可能不夠充分(同樣，對于系統(tǒng)監(jiān)控需要全端口)，需要結(jié)合附帶的高級分析工

16、具來回答。同樣，如果供應商的實驗室和研究團隊發(fā)布了新的簽名/規(guī)則/模式，也需要重新運行歷史數(shù)據(jù)以確定企業(yè)是否也曾是攻擊目標，或者該攻擊依然未被檢測出來。設計/模式改變：為預防新攻擊或系統(tǒng)重受感染，需要更改某些策略和控制例如，關(guān)閉漏洞、關(guān)閉網(wǎng)絡端口、特征升級、系統(tǒng)配置升級、用戶權(quán)限修改、用戶培訓修改或者提升信息防護選項的強度(例如加密)。更高級的平臺還可以自動化產(chǎn)生新特征/規(guī)則/模式來應對最新發(fā)現(xiàn)的高級攻擊其實就是通過“定制化防護”。然而，在集成新規(guī)則之前，首先要在持續(xù)監(jiān)控所產(chǎn)生的歷史數(shù)據(jù)中進行模擬攻防以主動測試其誤報率和漏報率。修復/改善： 當模型化并且決定生效，就開始著手實施改進了。利用新興

17、的安全聯(lián)動系統(tǒng)可以將某些響應自動實施，策略更改可加入到安全策略實施點如防火墻、入侵防護系統(tǒng)(IPSs)，應用控制或者反惡意病毒系統(tǒng)中。雖然一些新興的安全響應聯(lián)動系統(tǒng)設計為可以自動和聯(lián)動這些改善事務，但在現(xiàn)在這個早期階段，企業(yè)依然更傾向于由那些安全運營專員、網(wǎng)絡安全專員或端點支持成員來實施這些變動。基線系統(tǒng)：系統(tǒng)會不停地進行變動;新的系統(tǒng)(如移動設備和云服務)也將不斷被引入;用戶賬戶不停的新建和撤銷;新的漏洞不斷地披露;新應用部署;針對新威脅的適應改造也一直進行著，所以，我們也應該持續(xù)對終端設備、服務器端系統(tǒng)、云服務、漏洞、關(guān)系和典型接口進行重定基線以及挖掘發(fā)現(xiàn)。攻擊預測：該領(lǐng)域正處于前沿而且日

18、益重要。通過檢測黑客的意圖，關(guān)注黑客市場和公告板;對垂直行業(yè)的興趣;以及對保護信息的類別和敏感度，這一領(lǐng)域內(nèi)的功能在于主動預測未來的攻擊和目標，使企業(yè)可以隨之調(diào)整安全防護策略來應對。例如，基于收集的情報，很有可能會有一個針對特定應用和OS的攻擊，企業(yè)可以主動實施應用防火墻防護功能，加強認證授權(quán)功能或者主動屏蔽某些接入類型。主動探索分析：隨著內(nèi)外情報的收集，需要對企業(yè)資產(chǎn)進行探索和風險評估以預測威脅，同時也許需要對企業(yè)策略和控制的調(diào)整。例如，當需要新購買一套云服務時，會帶來什么風險?是否需要上補充控制如加密?一個新應用無論是企業(yè)應用還是移動應用會帶來什么風險?是否已經(jīng)進行了漏洞掃描?是否需要應用

19、防火墻或者端點隔離?像同一系統(tǒng)一樣整合使用功能最終我們構(gòu)建的不應是一個擁有分離的12個信息安全功能的解決方案。我們的最終目標是一個更具適應性的智能安全防護體系，它整合了不同的功能，共同分享信息。例如，某個企業(yè)一開始并沒有”簽名“功能來預防一個漏洞，但當攻擊被發(fā)現(xiàn)后，就可以快速通過電子取證分析獲得的知識來攔截后續(xù)的感染，這就是”定制防護“。所以”簽名已死“的觀念是錯誤而夸大的，基于簽名的預防技術(shù)仍然很有用，即使用于攻擊突破后的防止感染擴大。另一個例子，一個基于網(wǎng)絡的高級威脅檢測應用也能通過對終端的攻擊指標的交換對比，來確認是否攻擊已控制了企業(yè)系統(tǒng)。所以，自適應安全體系在攻擊的全周期都可以發(fā)揮作用。結(jié)合眾多領(lǐng)域功能的持續(xù)事務中獲得的安全情報，以及不同層級安全控制中交換的情報，就闡述了對新一代情報感知安全控制(IASC：見TSP安全解決方案概要2014)，就像纖維組成繩子，不同功能的整合，功能間的情報交換，以及威脅情報在社區(qū)中的輸入輸出，這些優(yōu)勢都將構(gòu)建出一個全面的更強大的安全防護體系。評估系統(tǒng)中服務商和解決方案的價值完整的防護包括防御、檢測、回溯分析和預測能力。 更多的安全平臺功能覆蓋多個領(lǐng)域或?qū)Ｗ⒃谀硞€垂直領(lǐng)域。例如，下一代網(wǎng)絡安全平臺應包括防火墻、入侵預防、入侵檢