一家企業(yè)該如何對(duì)自身風(fēng)險(xiǎn)及安全規(guī)程進(jìn)行實(shí)施?更具體地講，將著眼點(diǎn)集中在大數(shù)據(jù)技術(shù)領(lǐng)域，一家企業(yè)該如何實(shí)施其威脅情報(bào)流程?

不少企業(yè)認(rèn)為自身已經(jīng)非常了解疆域之內(nèi)的安全關(guān)鍵點(diǎn)以及入門(mén)點(diǎn)的具體位置。然而遺憾的是，他們會(huì)很快發(fā)現(xiàn)最為嚴(yán)重的安全問(wèn)題往往出現(xiàn)在其始料未及的區(qū)域。

“企業(yè)會(huì)高度關(guān)注自身ATM運(yùn)作狀態(tài)，但卻往往忽視了大型機(jī)所提供的細(xì)節(jié)警告提示，”Securonix公司首席營(yíng)銷(xiāo)官Sharon Vardi指出。“如果無(wú)法掌握這方面信息，企業(yè)相當(dāng)于把皇冠上的明珠拱手讓人，這顯然是種開(kāi)門(mén)揖盜的不智行為。”

要想真正了解安全關(guān)注重點(diǎn)，我們首先需要收集到能夠加以分析的數(shù)據(jù)，同時(shí)在分析過(guò)程中有目的地進(jìn)行針對(duì)性觀察。

然而，如果無(wú)法對(duì)當(dāng)前進(jìn)行當(dāng)中的完整數(shù)據(jù)流進(jìn)行收集與分析，企業(yè)仍然無(wú)法在安全保障工作中取得成功——換言之，單純對(duì)有限時(shí)間窗口之內(nèi)的運(yùn)作狀態(tài)進(jìn)行快照保存還遠(yuǎn)遠(yuǎn)不夠。我們需要在惡意活動(dòng)發(fā)生之前、當(dāng)中以及之后對(duì)數(shù)據(jù)進(jìn)行持續(xù)收集。

“企業(yè)還需要提升數(shù)據(jù)的涵蓋范圍，從內(nèi)部到網(wǎng)絡(luò)體系當(dāng)中、貫穿每一個(gè)端點(diǎn)甚至需要重視存在于自身網(wǎng)絡(luò)環(huán)境之外的外部與公共數(shù)據(jù)來(lái)源，”Blue Coat Systems公司高級(jí)威脅保護(hù)戰(zhàn)略與產(chǎn)品營(yíng)銷(xiāo)主管Alan Hall指出。“否則，即使在最理想的情況下我們能夠針對(duì)威脅做出的響應(yīng)舉措也將非常有限。”

行之有效的事件響應(yīng)機(jī)制需要依托于背景信息

在面對(duì)安全事故時(shí)，行之有效的響應(yīng)機(jī)制顯然必不可少。而要達(dá)到這一目標(biāo)，我們需要背景信息作為依托——具體來(lái)講，也就是那些超越原始形式、在收集之后進(jìn)行了整理的有效信息。背景信息能夠被用于識(shí)別高級(jí)、隱蔽乃至其它各種類(lèi)型的攻擊活動(dòng)，同時(shí)提供指引以幫助我們找到最理想的應(yīng)對(duì)辦法。

安全數(shù)據(jù)并不是大數(shù)據(jù)。這是一類(lèi)臃腫的病態(tài)數(shù)據(jù)。

“為了對(duì)安全事故進(jìn)行妥善管理，企業(yè)不僅需要收集數(shù)據(jù)，同時(shí)也必須以實(shí)時(shí)方式對(duì)數(shù)據(jù)進(jìn)行分析——而后進(jìn)行數(shù)據(jù)存儲(chǔ)，這樣一來(lái)這部分信息就能夠在日后用于比對(duì)新的實(shí)時(shí)數(shù)據(jù)，”Tripwire公司高級(jí)安全研究工程師Travis Smith表示。“目前的挑戰(zhàn)在于……數(shù)據(jù)存儲(chǔ)會(huì)帶來(lái)一定程度的運(yùn)營(yíng)成本——另外，數(shù)據(jù)的管理與使用同樣可能帶來(lái)種種實(shí)際難題。”

現(xiàn)實(shí)情況是，希望進(jìn)行日志信息分析的安全團(tuán)隊(duì)需要把賭注放在開(kāi)發(fā)人員身上，因?yàn)橹挥泻笳咴谌罩井?dāng)中記錄與系統(tǒng)相關(guān)的合適信息，這部分?jǐn)?shù)據(jù)才能真正服務(wù)于安全保障工作。而這些具體細(xì)節(jié)往往在系統(tǒng)開(kāi)發(fā)過(guò)程當(dāng)中就已經(jīng)決定了(更準(zhǔn)確地講，很多系統(tǒng)中干脆不存在此類(lèi)細(xì)節(jié)記錄機(jī)制)。

利用完整的數(shù)據(jù)包捕捉能力揭開(kāi)真相

即使在上述環(huán)節(jié)中得到了肯定的答案，安全日志也只能算是保障工作整體中的冰山一角。實(shí)際上，真相源自貫穿整個(gè)網(wǎng)絡(luò)體系的完整數(shù)據(jù)包當(dāng)中。我們需要擺脫以往那種單純提取日志信息的思維束縛，轉(zhuǎn)而進(jìn)入網(wǎng)絡(luò)捕捉與安全相關(guān)的數(shù)據(jù)負(fù)載——但這又帶來(lái)另一大挑戰(zhàn)：“安全數(shù)據(jù)并非大數(shù)據(jù)，”Smith解釋道。“這是一種臃腫的病態(tài)數(shù)據(jù)”。

正常數(shù)據(jù)存儲(chǔ)的最佳實(shí)踐要求保留過(guò)去三十天當(dāng)中的流量，然而一部分行業(yè)政策可能提出更高的要求，特別是政府方面的監(jiān)管機(jī)構(gòu)。“如果安全團(tuán)隊(duì)始終處于純戒備狀態(tài)之下，那么其幾乎沒(méi)辦法對(duì)背景信息進(jìn)行分析，”Hall補(bǔ)充稱(chēng)。

有時(shí)候除了具體頻率之外，怎樣實(shí)現(xiàn)也成了另一大難題：客戶(hù)似乎很難真正憑借自己的安全管理項(xiàng)目獲得預(yù)期中的效果。“安全團(tuán)隊(duì)要么完全沒(méi)有得到任何警報(bào)或者警報(bào)數(shù)量太低……要么就是由于警報(bào)不斷涌現(xiàn)而陷入精神疲勞狀態(tài)，”Proficio公司市場(chǎng)營(yíng)銷(xiāo)副總裁John Humphreys解釋道。

其它數(shù)據(jù)來(lái)源亦需要加以考量

正如Tripwire公司的Smith所建議，除了要對(duì)日志數(shù)據(jù)進(jìn)行捕捉之外，大家同時(shí)還需要關(guān)注日志之外的信息來(lái)源，并“整理一部分內(nèi)部網(wǎng)絡(luò)中生成的內(nèi)容。大家也有必要將會(huì)話(huà)同捕捉到的數(shù)據(jù)包字符串加以結(jié)合，最終實(shí)現(xiàn)完整的數(shù)據(jù)包捕捉流程。”

Vardi進(jìn)一步補(bǔ)充稱(chēng)，“大家還應(yīng)該考慮審視那些傳統(tǒng)角度講并不屬于安全數(shù)據(jù)的外部數(shù)據(jù)來(lái)源。”其中包括Facebook操作、職位搜索以及其它一些可能由企業(yè)內(nèi)部員工立足于業(yè)務(wù)環(huán)境并使用辦公體系下設(shè)備與網(wǎng)絡(luò)所訪問(wèn)的數(shù)據(jù)源。

“開(kāi)源情報(bào)與企業(yè)數(shù)據(jù)相結(jié)合能夠很好地解決這些問(wèn)題，”Vardi強(qiáng)調(diào)稱(chēng)。這類(lèi)數(shù)據(jù)源從表面上看似乎同安全數(shù)據(jù)沒(méi)有任何關(guān)聯(lián)，但其卻能夠顯著改變安全數(shù)據(jù)的背景信息，同時(shí)幫助企業(yè)利用多種新型方式審視自身風(fēng)險(xiǎn)狀況。當(dāng)然，要讓威脅情報(bào)真正具備實(shí)用性，這部分信息必須真實(shí)可信且基于值得依賴(lài)的來(lái)源，其中也包括我們的內(nèi)部數(shù)據(jù)來(lái)源。時(shí)至今日，大量應(yīng)用程序會(huì)在日常工作當(dāng)中持續(xù)生成似乎毫無(wú)危害的內(nèi)部流量，其中大部分的設(shè)計(jì)目標(biāo)在于實(shí)現(xiàn)數(shù)據(jù)共享，從而幫助業(yè)務(wù)團(tuán)隊(duì)完成自己的既定任務(wù)。然而，這些數(shù)據(jù)的存在及其實(shí)際質(zhì)量也會(huì)成為安全工作中不容忽視的重要一環(huán)。

這些純內(nèi)部網(wǎng)絡(luò)通信往往被忽視，或者干脆不會(huì)被那些單純監(jiān)控入侵以及滲透活動(dòng)的系統(tǒng)日志所發(fā)現(xiàn)。這一般是由于此類(lèi)流量只在內(nèi)部網(wǎng)絡(luò)中進(jìn)行橫向傳輸，而不會(huì)跨越入侵監(jiān)控系統(tǒng)或者觸及周邊防火墻的控制路徑。

“入侵與滲透活動(dòng)只會(huì)發(fā)生在設(shè)備網(wǎng)絡(luò)流量進(jìn)入或者傳出企業(yè)網(wǎng)絡(luò)的情況之下，”富士通旗下子公司PFU Systems銷(xiāo)售與市場(chǎng)推廣經(jīng)理Carmine CLementelli指出。“與外部臨時(shí)性網(wǎng)站所使用的命令與控制通信機(jī)制類(lèi)似，在大多數(shù)情況下，在這一層面中發(fā)現(xiàn)問(wèn)題時(shí)往往為時(shí)已晚。”

我們?cè)撝匾暷男┍尘靶畔?

說(shuō)到背景信息檢測(cè)這一話(huà)題，我們首先可以利用其找到當(dāng)前企業(yè)所面臨的威脅以及正在經(jīng)受的攻擊活動(dòng)，以下三個(gè)選項(xiàng)則是大家應(yīng)當(dāng)認(rèn)真考量的主要實(shí)現(xiàn)方式：

1. 要求系統(tǒng)自動(dòng)定義背景信息，并希望其由供應(yīng)商定義的配置以及規(guī)則能夠“切實(shí)達(dá)成使命”。

2. 使用大家自己隨時(shí)間推移而逐步積累并掌握到的背景信息，并希望其足以涵蓋整個(gè)業(yè)務(wù)環(huán)境——或者至少要能夠與攻擊者們了解到的情況基本相當(dāng)。

3. 對(duì)當(dāng)前的實(shí)時(shí)性狀況進(jìn)行背景信息定義;盡可能提取能夠匹配安全要求的威脅數(shù)據(jù)及支持情報(bào);而后祈禱我們能夠在這場(chǎng)爭(zhēng)分奪秒的競(jìng)爭(zhēng)當(dāng)中占得先機(jī)，同時(shí)又不至于被大量警報(bào)搞得身心俱疲。

或者，大家也可以充分發(fā)揮安全社區(qū)帶來(lái)的使得，并利用由其他人選定的跨行業(yè)、跨配置定義，而后對(duì)其中的背景信息進(jìn)行自定義。“安全團(tuán)隊(duì)需要運(yùn)用其它企業(yè)的實(shí)踐經(jīng)驗(yàn)，并從中了解自身IT環(huán)境的真實(shí)狀況，”Humphreys指出。“這是一種非常值得提倡的真實(shí)背景信息審視思路。”

而在涉及內(nèi)部人員竊取數(shù)據(jù)并將其發(fā)送給競(jìng)爭(zhēng)對(duì)手的情況時(shí)，我們能夠通過(guò)其中的背景信息了解到自身員工與承包商可能會(huì)以遠(yuǎn)高于正常水平的頻率進(jìn)行數(shù)據(jù)訪問(wèn)。當(dāng)然，大家也可以捕捉到員工同企業(yè)外部接收者進(jìn)行數(shù)據(jù)共享的其它蛛絲馬跡，例如通過(guò)個(gè)人郵箱賬戶(hù)或者便攜U盤(pán)發(fā)送數(shù)據(jù)。

舉例來(lái)說(shuō)，近期發(fā)布過(guò)不良評(píng)論內(nèi)容的員工可以被標(biāo)記為潛在的內(nèi)部風(fēng)險(xiǎn)因素。如果第三方供應(yīng)商進(jìn)行過(guò)多次登錄嘗試并試圖訪問(wèn)企業(yè)內(nèi)訪問(wèn)頻度極低的某些系統(tǒng)，那么這種跡象也極有可能意味著該供應(yīng)商有意進(jìn)行惡意行為或者已經(jīng)遭受到釣魚(yú)攻擊。

但背景信息并不單純與人員以及系統(tǒng)相關(guān)。“有時(shí)候一份文檔也可能成為攻擊活動(dòng)的入口，”Vardi指出。“針對(duì)文件內(nèi)容的行為同樣需要認(rèn)真加以對(duì)待。其存在于何處?有誰(shuí)進(jìn)行過(guò)訪問(wèn)?通過(guò)哪個(gè)IP地址進(jìn)行訪問(wèn)?其又被傳輸?shù)搅四睦?”

Vardi同時(shí)補(bǔ)充稱(chēng)，“將這一切異常狀況同其它事故及警報(bào)信息相結(jié)合，就能幫助我們掌握到與預(yù)料之外的惡意活動(dòng)相關(guān)的具體背景信息。舉例來(lái)說(shuō)，如果某位員工、合作伙伴或者客戶(hù)平時(shí)基本利用Windows PC上的火狐瀏覽器進(jìn)行訪問(wèn)，但卻在突然之間開(kāi)始利用Mac設(shè)備上的Safari瀏覽器下載企業(yè)文件，那么這就可能意味著其中存在著潛在安全風(fēng)險(xiǎn)。”

ATM欺詐則是真實(shí)世界當(dāng)中發(fā)生過(guò)的案例，而且最近一段時(shí)間引發(fā)了業(yè)界的巨大反響。想象一下，銀行客戶(hù)在過(guò)去二十年中一直將某種特定的交互方式作為主要銀行事務(wù)處理途徑，那么我們完全可以快速?gòu)钠湫袨楫?dāng)中找到異常狀況，具體包括他們的取款金額、取款地點(diǎn)以及所使用的卡片。大家甚至可以通過(guò)其在同一天內(nèi)利用同一張卡在不同位置取款來(lái)認(rèn)定其可能遭遇的欺詐活動(dòng)。

大家也可以利用同樣的原則監(jiān)控指向企業(yè)資源的訪問(wèn)外加內(nèi)部網(wǎng)絡(luò)當(dāng)中的用戶(hù)及系統(tǒng)活動(dòng)——而不僅僅局限于ATM以及取款行為。

下面來(lái)看幾種具體案例：

· 某一端點(diǎn)記錄到單一用戶(hù)在網(wǎng)絡(luò)當(dāng)中多次通過(guò)同一位置使用多個(gè)用戶(hù)登錄憑證。如果看到這種狀況，那么大家的系統(tǒng)很有可能已經(jīng)遭到惡意入侵。

· 未經(jīng)加密的出站/入站流量與內(nèi)部往來(lái)傳輸流量相關(guān)聯(lián)——內(nèi)部往來(lái)傳輸流量主要用于監(jiān)控橫向的網(wǎng)絡(luò)活動(dòng)傳輸。這種聯(lián)網(wǎng)流程可能標(biāo)志著網(wǎng)絡(luò)中存在著未經(jīng)授權(quán)的用戶(hù)或者設(shè)備進(jìn)行登錄之狀況。

· 利用基于行為的檢測(cè)技術(shù)審視出站流量與點(diǎn)到點(diǎn)傳輸流量，從而了解相關(guān)流量到底通往何處以及其通過(guò)該路徑的實(shí)際頻率。我們不能單純依靠針對(duì)入口這一種檢測(cè)方式;大家還需要假定惡意軟件已經(jīng)存在于內(nèi)部網(wǎng)絡(luò)當(dāng)中，并據(jù)此對(duì)出口同樣加以觀察。

· 充分發(fā)揮命令與控制檢測(cè)的固有優(yōu)勢(shì)，同時(shí)識(shí)別那些著眼于進(jìn)行數(shù)據(jù)外泄的現(xiàn)有攻擊活動(dòng)。請(qǐng)注意，一般來(lái)講數(shù)據(jù)外泄?fàn)顩r不會(huì)以單獨(dú)的一次下載操作出現(xiàn);其往往由一系列發(fā)生在給定時(shí)間段之內(nèi)的小規(guī)模活動(dòng)共同構(gòu)成。在此期間，我們觀察到的只是一大堆橫向往來(lái)的數(shù)據(jù)傳輸行為——在這種情況下，我們就需要借力于行為分析而非純粹的數(shù)據(jù)包分析。考慮到經(jīng)過(guò)IT/安全認(rèn)證的網(wǎng)站亦有可能被攻擊者們所侵入，因此由其提供的各類(lèi)服務(wù)——例如存儲(chǔ)服務(wù)——亦有可能借此逃過(guò)黑名單與過(guò)濾系統(tǒng)的監(jiān)控法眼。

· 除了依靠宏觀性應(yīng)用監(jiān)控實(shí)現(xiàn)應(yīng)用功能分析，我們還應(yīng)當(dāng)著眼于其它層面。舉例來(lái)說(shuō)，F(xiàn)acebook的整體安全狀況也許沒(méi)什么問(wèn)題，但如果員工在利用Facebook進(jìn)行聊天、視頻查看以及視頻上傳時(shí)，情況顯然會(huì)出現(xiàn)明顯變化。具體來(lái)講，哪些數(shù)據(jù)會(huì)以怎樣的方式被傳輸至/自Facebook中的各項(xiàng)功能?這絕對(duì)是安全團(tuán)隊(duì)必須重視的又一大問(wèn)題。

我們?cè)撊绾渭右詰?yīng)對(duì)?

背景信息不僅在攻擊活動(dòng)檢測(cè)當(dāng)中十分必要，同時(shí)也能夠用于識(shí)別攻擊行為的來(lái)源、阻斷攻擊影響擴(kuò)展并修復(fù)業(yè)務(wù)系統(tǒng)當(dāng)中已經(jīng)被攻擊所破壞的環(huán)節(jié)。

“在集成化檢測(cè)調(diào)查、分析與取證體系當(dāng)中，大家能夠查看到過(guò)去四個(gè)月當(dāng)中的全部零日安全警告，”Niara公司市場(chǎng)營(yíng)銷(xiāo)副總裁John Dasher表示。“在此之后，大家可以審視自己的日志信息、數(shù)據(jù)包流以及威脅來(lái)源，從而將個(gè)人與特定設(shè)備進(jìn)行關(guān)聯(lián)。大家還能夠了解哪些用戶(hù)訪問(wèn)過(guò)哪些特定系統(tǒng)、應(yīng)用程序以及文件，從而掌握造成危害的根源究竟是什么——例如某個(gè)PDF文件。”

某些復(fù)雜的攻擊活動(dòng)雖然看起來(lái)非常可疑，但有可能并不會(huì)觸發(fā)任何警報(bào)。但如果其中存在著某個(gè)指向已知惡意IP地址的出口，那么大家就能夠觀察到該IP地址與造成安全威脅的PDF來(lái)源相符，而后采取合理的應(yīng)對(duì)措施。

與此同時(shí)，同樣重要的就是不要被大量警報(bào)信息消耗掉過(guò)多精力，因?yàn)椴粩喑霈F(xiàn)的警報(bào)有可能需要經(jīng)過(guò)數(shù)天甚至數(shù)星期的時(shí)間才能排查完成，這就使得我們有可能錯(cuò)過(guò)了在其它位置悄然進(jìn)行的真正攻擊活動(dòng)。大家需要有能力將檢測(cè)到的行為與某些背景信息加以結(jié)合，從而盡可能在合適的時(shí)間段采取最理想的處理辦法。

“我們不可能始終擁有完美的應(yīng)對(duì)手段，畢竟我們的網(wǎng)絡(luò)運(yùn)維團(tuán)隊(duì)并不是每周7天、每天24小時(shí)始終工作，”Humphreys提醒道。“有鑒于此，大家應(yīng)當(dāng)支持最新且效果最出色的防火墻方案，并發(fā)出指令來(lái)暫時(shí)性阻斷惡意流量。大家必須要使用最理想的工具，并選擇明智且具備高度自動(dòng)化水平的使用方式。”

背景環(huán)境下實(shí)施威脅情報(bào)機(jī)制的重要意義

不少大型企業(yè)都會(huì)將自身定位為全球安全威脅情報(bào)的持有者，因?yàn)樗麄儞碛谐汕先f(wàn)客戶(hù)以及與之相匹配的數(shù)十萬(wàn)節(jié)點(diǎn)，同時(shí)會(huì)將自身?yè)碛械臄?shù)據(jù)與其它企業(yè)進(jìn)行共享。對(duì)這部分?jǐn)?shù)據(jù)進(jìn)行提取與診斷，而后單純依賴(lài)基于簽名及規(guī)則的解決方案加以處理則意味著，不斷變化的惡意軟件將能夠非常輕松地脫光此類(lèi)機(jī)制的監(jiān)控視野。“這種方式并不具備可實(shí)施性，”Clementelli強(qiáng)調(diào)稱(chēng)。

在對(duì)威脅情報(bào)項(xiàng)目進(jìn)行實(shí)施規(guī)劃時(shí)，大家應(yīng)該始終謹(jǐn)記一點(diǎn)——威脅情報(bào)的實(shí)際價(jià)值直接取決于數(shù)據(jù)源與數(shù)據(jù)供應(yīng)機(jī)制的質(zhì)量。一套良好的分析引擎如果只能獲取到糟糕的數(shù)據(jù)信息，那么其實(shí)際效果可能還不如一套水平較低但采用高可靠性、高相關(guān)度情報(bào)的分析引擎。背景信息必須要能夠與大家所掌握的其它變量結(jié)合起來(lái)——請(qǐng)記住，安全分析工作所需要的絕不僅僅是安全數(shù)據(jù)。

在應(yīng)對(duì)這些挑戰(zhàn)的同時(shí)，大家很可能還需要物色一位在大數(shù)據(jù)與安全分析方面擁有出色水平的安全專(zhuān)家。同樣的，請(qǐng)確保自身的安全識(shí)別解決方案供應(yīng)商以及其它安全產(chǎn)品供應(yīng)商有能力針對(duì)內(nèi)部與第三方廠商風(fēng)險(xiǎn)管理方案以及安全事件響應(yīng)提供必要的專(zhuān)業(yè)知識(shí)。這種能力之所以如此重要，是因?yàn)橹挥心軌蛲瑫r(shí)涵蓋上游與下游供應(yīng)鏈的方案才能挫敗更多潛在的攻擊活動(dòng)。而當(dāng)攻擊活動(dòng)已經(jīng)被證實(shí)成功后，同樣重要的則是限制危害的影響范圍，同時(shí)立即將網(wǎng)絡(luò)基礎(chǔ)設(shè)施恢復(fù)到正常運(yùn)作狀態(tài)以及既定的安全水平。