信息安全的“無間道” 如何嚴防內鬼?
俗話說,明槍易躲,暗“賊”難防;外神好躲,內鬼難防。看過《無間道》或者玩過《三國殺》的應該都清楚,他們時刻以非內鬼身份去思考和與別人溝通,到關鍵時刻爆發,給予致命一擊。
網絡安全領域也是如此,一條黑色產業鏈正在無形的吞噬著這個時代,個人信息泄漏已經在生活中埋下了一顆定時炸彈,并且“內鬼”已經讓這顆炸彈開始倒計時。
據公安部網站消息,自今年4月公安部部署全國公安機關開展打擊整治網絡侵犯公民個人信息犯罪專項行動以來,截至目前,全國公安機關網絡安全保衛部門累計查破刑事案件1200余起,抓獲犯罪嫌疑人3300余人,其中抓獲銀行、教育、電信、快遞、證券、電商網站等行業內部人員270余人,網絡黑客90余人,繳獲信息290余億條,清理違法有害信息42萬余條,關停網站、欄目近900個,專項行動取得明顯成效。
由此數據我們發現,信息泄露主要有兩個渠道:內鬼加黑客,從這組數據看比例是270:90=3:1,也就是說信息泄露的75%為內鬼所為。
“內鬼”不除 個人信息安全難以保障
對數據比較敏感的同學不難發現,行業內部人員監守自盜的數字則要比黑客高出3倍,當然我們也不排除黑客躲藏技術或許更高一籌的情況,不過可以確認的是,“內鬼”已經成為現階段信息泄漏的主要途徑之一。“內鬼”不除,個人信息安全就難以得到保障。
“內鬼”因何如此猖獗?一方面是由于企業內網的薄弱,我們發現很多企業內網除了統一的整體安全保護體系例如防火墻、IDS、防病毒、數據庫審計、口令密碼等之外,基本沒有專門的技術智能化保護措施,針對這些核心資源進行有效保護;另一方面,即使企業會根據業務需求制定內部安全策略,以權限的形式指派承擔相關職責的人員,但這并不能有效防范擁有合法權限的內部用戶的異常行為,即合法用戶的異常行為。
因此基于內部用戶的行為分析,能夠發現內部人員的操作是否會對系統安全產生威脅,是解決內部威脅預警、檢測并保證系統安全的重要技術手段。
基于內部用戶的行為分析區別于基于特征的分析,后者雖然是一種立桿見影的手段,對于傳統的安全風險很有效,但時效性欠缺,并需要強大的相應隊伍。而基于用戶行為的分析,是一種較為復雜的方式,通過數據統計的方式來尋找異常,但缺點是準確度不確定,收集的數據越完善,準確度越高。
如何做到準確無誤的找到并抓獲這個“內鬼”?就需要知道他訪問的目的地、所用端口、什么協議以及訪問了什么端口、IP等內容,好在很多網絡安全設備廠商用標準數據交換方式很好的解決了這個問題。
以NetFlow標準為例,由于一個IP數據包的Flow至少定義了幾個關鍵元素:源IP地址、目的IP地址、源端口號、目的端口號、第三層協議的類型等,NetFlow可以利用分析IP數據包的幾種屬性,快速區分網絡中傳送的各種類型的業務數據流。
而瀚思則可以通過大數據安全平臺的采集器將日志和NetFlow統一收集,從而進行關聯分析。
做好關聯分析 最終揪出“內鬼”
但是,在做好關聯分析前還要弄清楚一件事情:日志、網絡流量、權量抓包的數據分析并不是新的課題,但為什么現在不奏效了?
這是由于在大數據時代,企業的這些數據量要以億為單位,而“內鬼”的異常行為所產生的日志,只有幾條,在大數據技術和機器學習技術的能力不完善的情況下,要做到在這些數據中查找出幾條的異常數據,說成大海撈針也只是有過之而不及。
HanSight瀚思不擔心這個問題,相反,對于我們來說,數據量越大,數據源越多,對于分析的結果越精準。
正如上文提到的,有了日志和數據流,HanSight UBA就可以如魚得水,其基于實際安全場景的多維度異常檢測功能,通過獨特的“儀表盤”功能將機器學習和算法產生的各種數值結果翻譯成用戶能夠理解的安全場景。
實測表明,在普通的服務器上,HanSight UBA利用GPU優化的高速算法,一分鐘內就能完成大部分企業業務場景下的行為數據分析,得益于HanSight瀚思特殊數據庫和算法,這要比用Spark實現快三四十倍。
HanSight UBA 產品界面
瀚思希望利用機器學習讓讓潛在的威脅浮出水面,更讓威脅發現速度和準確率方面遠快于傳統的網絡威脅發現解決方案。
落實到具體的分析規則,客戶可以與HanSight瀚思共同定制。就內部威脅而言,分析被審計用戶當前審計周期的行為和行為的相似性,同時針對具有異常行為的用戶通過敏感活動屏蔽方法分析具體的異常活動,并通過更新敏感活動權重以建立一個動態更新的異常行為檢測模型。最終從不同維度,按系統預設的不同模塊生成分析結果,以圖表來展現局內整體的安全態勢。
其實針對企業中的“內鬼”,堡壘機技術是一個很好課題,它綜合了運維管理和安全的融合,切斷了終端計算機對網絡和服務器資源的直接訪問,繼而采用協議代理的方式,接管了終端計算機對網絡和服務器的訪問。如果“內鬼”想繞過堡壘機也并無可能,但這一些都不會逃過大數據安全分析平臺的眼睛,通過收集的服務器日志進行關聯分析,就該可以發現該用戶是否通過堡壘機登陸。
特洛伊木馬攻破固若金湯的特洛伊的道理,我們耳熟能詳,最堅固的堡壘,往往都是從內部攻破的,信息安全也同樣如此。
多年前,在攻防之間總有著“道高一尺魔高一丈”的說法,因為我們發現攻擊者總是在暗,防守者卻在明,演變到今天,已經不再是明暗,信息安全領域開始上演“無間道”大戲,而大數據安全分析平臺不僅可以讓黑客的攻擊暴露在運維人員的眼前,也必然可以讓內鬼的每一次行動在該平臺下無所遁形。
