在网络规模迅速膨胀的今天,经常会有这样的消息传来,某家公司或机构被外部或内部的威胁攻击,信息被窃取。尽管恶意软件防御能力在近年已经显著提升,可以阻止大部分业余的、基础广泛的攻击,然而善于寻找针对性方式的软件行家所编写的现代高级威胁仍可攻陷防范严密的网络。
随着内部威胁的增加,形势变得更加复杂。在这个BYOD的时代,一些好心的员工很可能在不经意间就绕过了防线,将恶意代码带入核心网络。等待恶意代码自行现身无疑是老套的“城堡”法,而观察它的表现行为,若有安全隐患即把它封锁在防火墙外这样的方式正逐渐演化为普遍而主动的防御方式。
在今年六月Gartner发布的安全与威胁管理报告中,Gartner机构的副总裁、资深分析师Neil MacDonald,描述了网络安全的趋势和最佳范本。他主张完善的保护不仅需要阻止和预防,也需要检测和响应。若想做到这一点,Neil MacDonald推荐了一个新的、更加动态的防护方式,通过持续监测及分析防护网络核心安全。在这个模型中,安全系统不断监测内网发生的状况,从应用程序到最终用户设备。这明显优于传统的SEIM收日志再关联分析的方案。它将更多的情报直接放置到安全系统中,使他们能够在本地存储及处理状态信息,并应用大数据分析,以确定其趋势及是否出现异常。
不同于简单的阈值比较,这种方法可以找出那些为了更准确的洞察和防御而可能不被获取的信息,MacDonald称之为“情境感知智能”。这不仅仅是理论,各家安全厂商都在从台式机、服务器和网络收集到的数据上使用先进的行为分析,以寻找异常的用户和应用程序。举个例子,这种方式正被用在企业级防火墙上来更有效的将“好的信息”留下、除掉“坏的信息”。设备获取技能正在为不同的应用程序和用户动态地创建和完善一个关于 “正常”的基线。然后,用行为分析实时监测流量来识别出之前未知的高级威胁以及异常行为。
行为分析这样的技术在与高级威胁的斗争中变得日趋重要,因为现在专业编写的恶意软件经常使用组合方式来规避传统的、基于标识的扫描防御。尤其是,代码变形被黑客广泛使用,以确定任意给定的两个恶意软件样本间看起来没有相同之处。然而,许多这些差异只是他们的伪装。Verizon公司发现在其2015数据泄露调查报告中,70%的攻击来自20种恶意软件家族的变种。虽然大多数攻击表面上看起来不相同,但其实攻击表现是相同的。这些相似之处使得识别之前未被发现的威胁更加容易。全球范围内统计分析的恶意软件样本显示许多家族恶意软件的行为模式可以很快的表现并被识别。
这一新的网络安全设备对网络实时流量进行模式匹配,即使采用了之前从未被发现的模式,潜在的威胁也能被发现。除了可以观察应被锁定的潜在威胁,这样的网络安全设备还能够监测网络中与用户和应用程序有关联的流量的行为。这些系统通常检查流量中3—7层各种各样的参数,从并发连接数和带宽到URL格式和POST/ PUT比率。这能够帮助检测出不仅限于那些明显的异常行为,例如拒绝服务攻击和扫描等,还包括那些不易于发现的已成为攻击目标的非正常数据转移,不论是来自恶意撰写的程序还是人为。
在周边部署中,这两种形式的持续监测可以互补:持续监测外部威胁的侵入同时也关注内部敏感信息的外泄。然而,在应对内部员工使用日渐繁多的方式进行网络信息的传入与传出方面,他们在内部的安全防范中也发挥着日益重要的作用。不同于假想公司网络环境是“干净的”想法,很多组织已经开始积极的分割他们的网络,将安全监测设备部署其中。这样,他们可以观测对于不同部门属性来说的异常行为,例如在深夜的财务部从内部传输出信息或是工程系统的间歇性探查。
这种“行为智能”使主动识别风险成为可能。不同于旧的、静态的、需要手动配置固定参数来搜寻的方式,自动不间断的监测可以更好的解读风险,也能够优先且快速的处理威胁。最终,持续监测提供了对整个攻击链条的可视化,使网络安全人员立即能够看到扫描、破坏和渗透的企图。它会成为最好的防护实例,因为它直接监测代码可能采取的行动,把网络安全团队从繁复的日志文件追查和大量的警报中解放出来,从而可以将更多的精力放在宏观局面监控上去,更有效的阻止攻击。
(作者:山石网科 CTO 刘向明)