由于传统的防御体系侧重于互联网、第三方等边界的网络安全防护,对于突破边界后在内网埋伏、感染、操控内部服务器及数据的恶意行为识别和监测缺乏有效手段 。
例如台湾第一银行事件中,恶意代码从伦敦分行传播至ATM 软件分发服务器,并进一步感染ATM 目标服务器,在整个内部转播路径以及目标ATM 服务器安装了异常代码文件都没有被发现 。
4. 单打独斗式的防御,无法面对有组织有计划的针对性攻击
面对近几年陆续发现的多起swift 事件,其幕后黑手直指臭名昭著的Lazarus 黑客组织 。如此专业化组织严密的黑客组织,仅靠企业自身进行防护显得力不从心 。
如何快速提前获取0day 攻击恶意代码特征与文件路径、黑客远程控制服务器IP 地址、钓鱼邮件地址、假冒网站异常威胁情报,并及时与内部防护系统联动,成为企业安全防护的重要保障关键能力之一 。
5. 缺乏海量数据的关联分析和可视化分析能力
从一系列安全事件来看,从植入没有明显恶意特征的代码到分行服务器、到利用软件升级契机下发ATM 升级软件、再到黑客复用现有的网络端口进行外部远程控制通信,单独看每一个步骤可能无法准确判断单个行为是否是恶意攻击,但是如果将整个路径上的行为串起来看是很有可能发现异常行为的 。
例如建立一种基于外部连接的异常分析模型,当发现ATM管理服务器与外部通讯时,分析通讯的进程、相关程序文件的安装时间、来源以及传播路径,并检查下游ATM 设备通讯流量情况,并通过可视化手段可以直观的还原出,ATM 设备通过内部管理服务器作为跳板与外部进行异常连接的情况 。
当然,这一方面需要大量的信息安全日志数据作为支撑,包括内外网边界及关键路径上的网络流量情况、服务器设备的异常行为检测情况、恶意远程通讯IP 地址等外部威胁情报等,另一方面需要有实时快速处理海量数据和建模关联分析的能力,以及可视化展现能力,毕竟可疑事件最终还是需要人工准确判断 。
以上关键环节的薄弱点正是我们目前静态的、被动式防御体系的薄弱点,传统的安全防护体系已经逐渐不能适应外部攻击防护的需要 。以下结合业界研究分析及实践情况,就如何构建新一代安全防护体系谈几点思路 。
02
构建数据驱动的自适应安全防护体系
正如刚才描述的静态被动式安全防护体系弱点,新一代信息安全防护体系应该朝着如下的四个方向进行转变:
1. 由被动监控向主动预防转变 。2. 由边界安全向全网安全转变 。3. 由静态特征识别向动态异常分析转变 。4. 由系统安全向业务驱动安全为转变 。
最终,信息安全的所有问题本质上将转变为大数据分析问题 。
传统的应急式安全响应中心将转变为持续安全响应中心 。为了实现这个目标,我们将从以前以Policy 策略、Protect 防护、Detect 检测、Response 响应四个阶段组成的PPDR 安全防护体系,转变为以Gartner 最新提出的并获得业界主流安全企业和研究机构认可的PPDR 安全防护体系 。
即以Predict 预测、Protect 防护、Detect 检测、Response 响应四个阶段组成的新PPDR 闭环安全防护模型,并且在不同阶段引入威胁情报、大数据分析、机器学习、云防护等新技术和服务,从而真正构建一个能进行持续性威胁响应、智能化、协同化的自适应安全防护体系 。
预测阶段
该阶段的目标是获得一种攻击“预测能力”,可从外部威胁情报中学习,以主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位 。
该情报将反馈到防护阶段和检测功能,从而构成整个威胁处理流程的闭环 。这里面有两个关键要素:一是威胁情报本身;二是对威胁情报的利用 。
所谓威胁情报,是指一组基于证据的描述威胁的关联信息,包括威胁相关的环境信息、手法机制、指标、影响以及行动建议等 。可进一步分为基础数据、技术情报、战术情报、战略情报4 个层次 。
基础数据, 例如PE 可执行程序样本、netflow 网络流数据、终端日志、DNS 与whois 记录等;
技术情报, 例如恶意远程控制服务器地址、恶意网站、电话、钓鱼邮件地址、恶意代码HASH 值、修改的特定注册表项、系统漏洞、异常账号、洗钱手法等;
战术情报, 包括已发现的外部攻击者和目标信息、攻击手段和过程、可能造成的攻击影响、应急响应建议等;
战略情报, 主要指社会、政治、经济和文化动机、历史攻击轨迹和目标趋势、攻击重点、攻击组织的技术能力评估等 。
推荐阅读
- 明明是200M宽带,可网络为啥还是那么差?教你轻松突破网速限制
- 如何基于TCP/IP协议进行MFC Socket网络通讯编程
- 网络安全普及:为何一条不明链接,就能让电脑换了主人?
- IP地址和子网掩码的计算
- 淘宝达人推广靠谱吗 怎样成为淘宝达人
- BIAS:蓝牙冒充攻击
- 浅谈分布式存储中的网络通信
- 虚拟网络VPN的实现技术
- 网络安全防护-虚拟专用网技术概述
- 看看有哪些 Web 攻击技术