RSA歸來話感受

RSA過去有一段時(shí)間了，但是給我留下的沖擊仍然很大。作為第一次參加RSA的國(guó)內(nèi)廠商，WebRAY能得以有機(jī)會(huì)在全球最大的信息安全展會(huì)上展示自己，這讓我感到自豪，同時(shí)也非常感謝中關(guān)村管委會(huì)給我們的大力支持。而同時(shí)，這也是一次全面學(xué)習(xí)國(guó)際信息安全發(fā)展趨勢(shì)的大好機(jī)會(huì)。隨著時(shí)間的過去，許多類似于砸盒子的噱頭慢慢淡去，而真正給我留下印象的是兩個(gè)關(guān)鍵詞：“威脅情報(bào)”和“情景感知”。

高級(jí)的定向攻擊使“防范”為中心的策略已經(jīng)過時(shí)。安全是對(duì)抗，不可能完全防范。做安全的思路應(yīng)該從防止安全入侵這種不可能的任務(wù)轉(zhuǎn)到了防止損失這一關(guān)鍵任務(wù)上，防范措施必不可少，但是基于預(yù)警、響應(yīng)的時(shí)間差更關(guān)鍵。從未來看，企業(yè)安全將會(huì)發(fā)生一個(gè)大的轉(zhuǎn)變：即以“信息和人”為中心的安全策略，結(jié)合全面的內(nèi)部監(jiān)控和安全情報(bào)共享。全方位的內(nèi)部監(jiān)控和安全情報(bào)是保護(hù)信息安全的主要手段。實(shí)際的安全工作中，很多用戶知道要嚴(yán)防死守外部侵襲，但往往忽略了內(nèi)部威脅對(duì)系統(tǒng)造成的破壞，實(shí)際上大多數(shù)安全威脅都來自內(nèi)部。外部的防御與內(nèi)部的控制(內(nèi)部異常行為的發(fā)現(xiàn)與處置)都很重要。

針對(duì)外部的攻擊(即外防)，主要通過獲取威脅情報(bào)，依靠專業(yè)的安全分析團(tuán)隊(duì)，分析之后形成情報(bào)的處置決策，并通過網(wǎng)絡(luò)安全設(shè)備或終端上的安全軟件來執(zhí)行決策(Action)，達(dá)到針對(duì)高級(jí)攻擊的防范。

內(nèi)部異常行為的監(jiān)控(即內(nèi)控):內(nèi)部的異常行為造成的破壞是安全事故最大的來源，外部攻擊者發(fā)起APT攻擊，其中的部分環(huán)節(jié)Delivery、Exploitation、Installation、Command and Control (C2)、Actions on Objectives都需要通過“內(nèi)部行走”才能接觸到敏感數(shù)據(jù)達(dá)到盜取或破壞的目的;同時(shí)企業(yè)內(nèi)部的威脅源包括可能準(zhǔn)備離職有惡意的內(nèi)部人員、內(nèi)部人員的長(zhǎng)期慢速的信息泄露、內(nèi)部攻擊也可能具備內(nèi)部訪問權(quán)限的合作伙伴或者第三方發(fā)起。如果通過制定不同的情景，通過獲取樣本，建立正常行為模型，然后分析內(nèi)部網(wǎng)絡(luò)流量或終端服務(wù)器上的行為，并發(fā)現(xiàn)異常，情景感知(Context-Aware)是安全監(jiān)測(cè)的很重要觸發(fā)點(diǎn)。

外防：威脅情報(bào)

大家談到APT的監(jiān)測(cè)與防御時(shí)，其實(shí)最難的是“P”,攻擊者可以花足夠長(zhǎng)的時(shí)間來進(jìn)行“低速”攻擊，傳統(tǒng)的監(jiān)測(cè)手段不可能發(fā)現(xiàn)，同時(shí)要做審計(jì)的話需要足夠長(zhǎng)時(shí)間的數(shù)據(jù)，這個(gè)數(shù)據(jù)到底多大又是個(gè)問題。沒有集體共享的威脅和攻擊的情報(bào)，單個(gè)組織將無法保衛(wèi)自己。Gartner也預(yù)測(cè)為大量企業(yè)提供可視化的威脅和攻擊情報(bào)的安全服務(wù)商將更受市場(chǎng)的歡迎。安全情報(bào)以“空間”換“時(shí)間”，用協(xié)作來應(yīng)對(duì)APT攻擊的“P”。

針對(duì)外部的攻擊，通過獲取威脅情報(bào)，依靠專業(yè)的安全分析團(tuán)隊(duì)，分析之后形成情報(bào)的處置決策(action)，并通過網(wǎng)絡(luò)安全設(shè)備或終端上的安全軟件來執(zhí)行決策。整個(gè)過程可以通過機(jī)器的自動(dòng)化執(zhí)行。

威脅情報(bào)一般包括信譽(yù)情報(bào)(“壞”的IP地址、URL、域名等，比如C2服務(wù)器相關(guān)信息)、攻擊情報(bào)(攻擊源、攻擊工具、利用的漏洞、該采取的方式等)等。我們經(jīng)?？梢詮腃ERT、安全服務(wù)廠商、防病毒廠商、政府機(jī)構(gòu)和安全組織那里看到安全預(yù)警通告、漏洞通告、威脅通告等等，這些都屬于典型的安全威脅情報(bào)。 而隨著新型威脅的不斷增長(zhǎng)，也出現(xiàn)了新的安全威脅情報(bào)，例如僵尸網(wǎng)絡(luò)地址情報(bào)(Zeus/SpyEye Tracker)、0day漏洞信息、惡意URL地址情報(bào)，等等。這些情報(bào)對(duì)于防守方進(jìn)行防御十分有幫助，但是卻不是單一的一個(gè)防守方自身能夠獲取和維護(hù) 得了的。因此，現(xiàn)在出現(xiàn)了安全威脅情報(bào)市場(chǎng)，有專門的人士、公司和組織建立一套安全威脅情報(bào)分析系統(tǒng)，獲得這些情報(bào)，并將這些情報(bào)賣給作為防守方的企業(yè)和組織。安全威脅情報(bào)市場(chǎng)現(xiàn)在是一個(gè)很大的新興安全細(xì)分市場(chǎng)。

國(guó)外安全威脅情報(bào)的來源，簡(jiǎn)單總結(jié)如下(含開源及商業(yè))

• OSINT

• Dell SecureWorks

• RSA NetWitness Live/Verisign iDefense

• Symantec Deepsight

• McAfee Threat Intelligence

• SANS

• CVEs, CWEs, OSVDB (Vulns)

• iSight Partners

• ThreatStream

• OpenDNS

• MAPP

• IBM QRadar

• Palo Alto Wildfire

• Crowdstrike

• AlienVault OTX

• RecordedFuture

• Team Cymru

• ISACs / US-CERT

• FireEye/Mandiant

• Vorstack

• CyberUnited

• Norse IPViking/Darklist

內(nèi)控：情景感知

對(duì)比2013年和2014年的Gartner技術(shù)成熟度曲線可看出，情境感知(Context-Aware-Security)從谷底區(qū)到穩(wěn)步攀升期的一個(gè)快速轉(zhuǎn)變。

情境主要指“主體”到“客體”的訪問行為情景。主體是人或應(yīng)用，客體是應(yīng)用或數(shù)據(jù)。情景在這里包含的因素有Who、What、To-What、When、Where等。情境分析首先關(guān)注審計(jì)客體和審計(jì)動(dòng)作，以What和How為主要關(guān)聯(lián)對(duì)象。

簡(jiǎn)單的情境可包括：

Who，低信譽(yù)的用戶(比如已經(jīng)中毒的用戶，發(fā)現(xiàn)存在攻擊行為的用戶)

What，來自IT不支持的Linux 客戶端的訪問(客戶端都是Win7，突然來了個(gè)Linux來訪問自然不正常)

To What，對(duì)敏感數(shù)據(jù)的訪問(是否訪問的是敏感數(shù)據(jù))

When，周日凌晨的訪問(這明顯不是工作時(shí)間，訪問也明顯異常)

Where，來自沒有業(yè)務(wù)的海外(這也很明顯異常)。

常見的異常情景比如：登錄異常行為包括：異常時(shí)間、異常IP、多IP登錄、頻繁登錄失敗等行為。業(yè)務(wù)違規(guī)行為：包括惡意業(yè)務(wù)訂購(gòu)、業(yè)務(wù)只查詢不辦理、高頻業(yè)務(wù)訪問、業(yè)務(wù)繞行等等。共享賬號(hào)：一個(gè)賬號(hào)短時(shí)間換IP，一個(gè)IP登了多個(gè)賬號(hào)等。

斯諾登就是一典型的insider threats案例，按照安全設(shè)計(jì)理念，他是能被發(fā)現(xiàn)的，比如斯諾登經(jīng)常要同事的帳號(hào)訪問系統(tǒng)，比如斯諾登可能比一般員工更多的訪問了核心服務(wù)器，比如斯諾登可能短時(shí)間內(nèi)打包了很多的敏感數(shù)據(jù)等，這些行為都可以通過情景感知來發(fā)現(xiàn)異常。

下表列舉了認(rèn)證登錄情景中主要關(guān)心的一些要素點(diǎn)：

安全分析是核心能力

大數(shù)據(jù)時(shí)代數(shù)據(jù)的采集、存儲(chǔ)、分析、呈現(xiàn)等等，很少有一家能完全做的了，通吃也真沒必要也沒能力，從細(xì)分看，做采集的可能有集成商或服務(wù)商來完成實(shí)施工作，做存儲(chǔ)的有擅長(zhǎng)Hadoop的來做，做分析層的需要有懂業(yè)務(wù)、了解安全的服務(wù)團(tuán)隊(duì)做的插件或APP來完成，數(shù)據(jù)的呈現(xiàn)又是專門的團(tuán)隊(duì)來做。

數(shù)據(jù)是金子，對(duì)安全行業(yè)依然如此。數(shù)據(jù)分析師需要了解業(yè)務(wù)、了解安全、了解算法等等各項(xiàng)技能。比如關(guān)聯(lián)分析：用于在海量審計(jì)信息中找出異構(gòu)異源事件信息之間的關(guān)系，通過組合判斷多個(gè)異構(gòu)事件判斷操作行為性質(zhì)，發(fā)掘隱藏的相關(guān)性，發(fā)現(xiàn)可能存在的違規(guī)行為。比如數(shù)據(jù)挖掘：基于適當(dāng)?shù)乃惴▉韺?duì)數(shù)據(jù)集進(jìn)行聚類分類，能夠區(qū)分異常行為和正常行為。就上圖而言，中間的分析層，業(yè)內(nèi)做的好的很少，這個(gè)也是數(shù)據(jù)分析師能充分發(fā)揮作用的地方。

我們的實(shí)踐

事實(shí)上，一種理念的盛行往往是對(duì)已經(jīng)存在的實(shí)踐的總結(jié)和提升。無論是威脅情報(bào)也好，情景感知也好，事實(shí)上其核心技術(shù)在業(yè)界早有實(shí)踐，只是沒有如此清晰并且成趨勢(shì)的被總結(jié)和表述出來。WebRAY在從事Web安全的實(shí)踐過程中就已經(jīng)在我們的系列安全產(chǎn)品中融入了安全情報(bào)體系。

WebRAY在“烽火臺(tái)”網(wǎng)站監(jiān)控預(yù)警平臺(tái)體系中內(nèi)置了全球的IP信譽(yù)庫(kù)，并且每天更新200萬條信息。監(jiān)控平臺(tái)會(huì)把IP信譽(yù)體系更新到各個(gè)授權(quán)防護(hù)節(jié)點(diǎn)，并且以可視化形態(tài)展現(xiàn)web訪問者的信譽(yù)，從而為用戶提供決策依據(jù)，將攻擊扼殺在萌芽之中。

而從另一個(gè)方面， Web應(yīng)用防護(hù)系統(tǒng)，又是非常寶貴的情報(bào)收集源頭。通過我們遍布全國(guó)的4000多臺(tái)WAF設(shè)備，將攻擊情況定期匯總到“烽火臺(tái)”系統(tǒng)，并通過我們的安全團(tuán)隊(duì)進(jìn)行識(shí)別和挖掘，從而形成新的額IP信譽(yù)庫(kù)， 更新到烽火臺(tái)，并同步到全部的WAF系統(tǒng)上。

當(dāng)然我們也希望有一天可以把我們的威脅情報(bào)轉(zhuǎn)化成直接的信息資產(chǎn)有價(jià)的提供給其他安全企業(yè)、管理機(jī)構(gòu)、和最終用戶。我認(rèn)為，威脅情報(bào)的直接商品化是必然的趨勢(shì)。