幾年前，有一家公司試圖向我推銷他們的最新產(chǎn)品，說這個(gè)產(chǎn)品可以幫我檢測并阻止惡意軟件感染企業(yè)系統(tǒng)。我禮貌地拒絕了，并解釋說我的公司有很多工程師，不可能受到席卷互聯(lián)網(wǎng)的惡意軟件的困擾。而且我還告訴這家供應(yīng)商，我們已經(jīng)部署了企業(yè)級防病毒產(chǎn)品來應(yīng)對這類問題。

[[109019]]

不過最終我還是嘗試了他們的試用版產(chǎn)品，設(shè)置它來捕捉離開交換端口分析器(Switched Port Analyzer)端口的邊緣互聯(lián)網(wǎng)流量。讓我非常震驚的是，當(dāng)我打開該設(shè)備并登錄后，我才發(fā)現(xiàn)我們的問題有多么嚴(yán)重。我看到公司內(nèi)有十多個(gè)系統(tǒng)都檢測到了惡意軟件，盡管它們都安裝了防病毒軟件，并且更新了最新的病毒庫。這些病毒感染都在忙著進(jìn)行命令控制回調(diào)到世界各地的服務(wù)器，并可能已經(jīng)存在一段時(shí)間了，只是我們不知道。其中有些流量似乎是相當(dāng)良性的鏈接欺詐，而其他惡意軟件正在發(fā)送我們根本無法破譯的加密數(shù)據(jù)。無論如何，很顯然，我們存在問題，而且必須采取行動(dòng)。從此我開始接觸安全分析技術(shù)。

惡意軟件影響著我們所有人，無論我們的企業(yè)部署了怎樣的防御措施。這是一種隱形和復(fù)雜的威脅，我們長久以來依賴的反惡意軟件只是給我們制造了一個(gè)安全的幻覺。

在這篇文章中，我們將討論檢測和防止當(dāng)今惡意軟件、高級持續(xù)威脅(APT)、零日漏洞等所需要的不同類型的產(chǎn)品，并探討如何將數(shù)據(jù)整合到安全分析技術(shù)中，以對企業(yè)面臨的威脅提供一個(gè)新的更廣闊的視圖。

首先，可以說是最重要的，支持惡意軟件為中心安全分析系統(tǒng)的技術(shù)是專門的高級惡意軟件防御產(chǎn)品，正如上面描述的產(chǎn)品。就我而言，F(xiàn)ireEye是我選擇的供應(yīng)商，因?yàn)槠涮貏e利用了虛擬化技術(shù)，另外Damballa、Bit9和很多其他供應(yīng)商也提供類似的引人注目的產(chǎn)品。

FireEye的威脅防御平臺(tái)可以實(shí)時(shí)分析流量，并限制惡意軟件在虛擬機(jī)中進(jìn)行進(jìn)一步分析。該產(chǎn)品還能夠?qū)ふ夜餐膼阂廛浖灻?，它也能夠基于系統(tǒng)的啟發(fā)式行為進(jìn)行檢測。這在檢測APT和零日攻擊中尤為重要，因?yàn)槠渲懈静淮嬖诤灻?/p>

FireEye產(chǎn)品的一個(gè)缺點(diǎn)是，它只能檢測連接到該設(shè)備覆蓋網(wǎng)絡(luò)的系統(tǒng)上的惡意軟件。這是一個(gè)巨大的缺陷，為此，很多移動(dòng)設(shè)備可能無法受到保護(hù)。這正是Trusteer或Bit9等公司的基于代理的方法派上用場的地方。通過在每個(gè)端點(diǎn)安裝代理，你可以保護(hù)設(shè)備--無論設(shè)備的位置：在辦公室、家里或在路上。

如果專有惡意軟件防御系統(tǒng)不可行，你可能需要再看看你的入侵防御系統(tǒng)(IPS)。我注意到很多IPS供應(yīng)商構(gòu)建惡意軟件檢測規(guī)則到他們的產(chǎn)品中，其中有些非常接近專有高級惡意軟件檢測供應(yīng)商提供的功能。

配置管理也是安全分析程序的關(guān)鍵組成部分。這里的重點(diǎn)是，你需要盤查關(guān)鍵系統(tǒng)(域服務(wù)器、應(yīng)用服務(wù)器、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器等)上的關(guān)鍵配置和可執(zhí)行文件，因?yàn)楣粽咄ǔ?huì)試圖用新版本取代這些文件以保護(hù)他們在你環(huán)境中的立足點(diǎn)。Tripwire的開源版本是一個(gè)免費(fèi)的數(shù)據(jù)完整性監(jiān)控工具，這是個(gè)很不錯(cuò)的工具，安全專業(yè)人士已經(jīng)使用了很長時(shí)間。

我們的網(wǎng)絡(luò)掃描工具在安全分析程序中發(fā)揮了很大的作用，這可能聽起來有點(diǎn)奇怪。防止惡意軟件感染環(huán)境的最好方法是通過有效的硬化。如果我們可以使用網(wǎng)絡(luò)掃描器來搜索網(wǎng)絡(luò)中未打補(bǔ)丁和過時(shí)的系統(tǒng)，我們就可以在攻擊者攻擊它們之前進(jìn)行修復(fù)。好消息是，因?yàn)橛泻芏嗑W(wǎng)絡(luò)掃描供應(yīng)商相互競爭，還發(fā)生了很多收購和并購交易，產(chǎn)品之間的功能差別并不大。還有一些免費(fèi)工具可以執(zhí)行網(wǎng)絡(luò)掃描，包括Nessus和OpenVAS，雖然與付費(fèi)工具相比，它們有一定的局限性。

威脅檢測安全分析的另一個(gè)重要部分是日志管理。我們的想法是把所有系統(tǒng)的日志信息保存在集中的安全位置，以備將來使用。當(dāng)攻擊者侵入系統(tǒng)時(shí)，他或她通常會(huì)通過編輯或刪除系統(tǒng)日志來刪除侵入的證據(jù)。轉(zhuǎn)移這些日志到中央存儲(chǔ)庫可以增加攻擊者篡改日志的難度。此外，通過集中日志記錄，企業(yè)可以更容易地在系統(tǒng)和應(yīng)用上搜索和運(yùn)行報(bào)告。

在你的日志中你應(yīng)該檢查這些事件：成功登錄之前經(jīng)過多次失敗登錄嘗試;通常從某個(gè)IP或位置登錄的用戶突然從其他位置登錄;沒有進(jìn)行DNS查詢連接到網(wǎng)絡(luò)IP地址的機(jī)器，或者具有大量出口流量的連接。這些事件中的任何一個(gè)都可能或者可能不會(huì)構(gòu)成問題，但任何兩個(gè)或以上的問題同時(shí)出現(xiàn)就可能意味著攻擊。

另外，如果無法選擇商業(yè)日志管理或安全信息和事件管理產(chǎn)品，還有很多免費(fèi)的SIEM工具。Splunk可作為你的日志搜索引擎，你每天可以免費(fèi)使用它來處理高達(dá)500MB的日志。我從沒用過其他工具，但我知道還有一個(gè)不錯(cuò)的免費(fèi)開源日志管理工具，即LogStash。

對于安全分析程序，我強(qiáng)烈推薦的最后一個(gè)工具是網(wǎng)絡(luò)分析工具，這種工具能夠捕捉和分析來自不同網(wǎng)絡(luò)的流量數(shù)據(jù)。這些流量數(shù)據(jù)包括IP地址、端口、協(xié)議和穿越網(wǎng)絡(luò)的流量的數(shù)據(jù)大小。基本上，這就是數(shù)據(jù)本身。

你的網(wǎng)絡(luò)分析工具將允許你搜索先前隱藏的流量中的模式。例如，早在去年，HD Moore發(fā)布了一篇關(guān)于漏洞利用統(tǒng)一即插即用(或UPnP)和簡單服務(wù)發(fā)現(xiàn)協(xié)議設(shè)備的博客文章。通過利用我的網(wǎng)絡(luò)分析工具，我對外部源IP地址進(jìn)行了模式查詢--針對我的公網(wǎng)IP地址之一，使用端口1900的用戶數(shù)據(jù)報(bào)文協(xié)議。在24小時(shí)內(nèi)，出現(xiàn)539個(gè)匹配模式。這表明攻擊者確實(shí)存在。

因?yàn)檗D(zhuǎn)發(fā)流量數(shù)據(jù)只是一些路由器和交換機(jī)的一個(gè)功能，你需要找到一種方法來捕捉和查看這些數(shù)據(jù)。你可以使用來自SolarWinds、NetScout或Lancope等公司的專有網(wǎng)絡(luò)分析工具，或者利用上述提到的日志管理工具。我選擇了21CT的LYNXeon的工具，因?yàn)樗粌H能夠?qū)α髁繑?shù)據(jù)進(jìn)行模式分析，還包括其他數(shù)據(jù)類型。下面讓我詳細(xì)介紹。

去年我在名為The Magic of Symbiotic Security的會(huì)議上做了一個(gè)演講，其中我介紹了促進(jìn)融合的安全生態(tài)系統(tǒng)—突破工具孤島，讓它們一起運(yùn)作以獲得最大效率。我們安全分析的終極目標(biāo)是讓上述提到的每個(gè)組件一起運(yùn)作，以獲得對所面臨威脅的清晰視圖。我們從惡意軟件以及入侵防御系統(tǒng)收集警報(bào)數(shù)據(jù)--其中包含關(guān)于惡意類型、目標(biāo)和來源的信息;我們還會(huì)收集關(guān)于文件簽名突然發(fā)生改變的系統(tǒng)的信息;我們收集環(huán)境中不同系統(tǒng)存在的漏洞信息;然后，我們收集日志文件生成的信息，例如失敗登錄嘗試或賬戶鎖定。我們利用供應(yīng)商為我們提供的訪問數(shù)據(jù)的工具來實(shí)現(xiàn)這些數(shù)據(jù)收集工作。這可以是通過API調(diào)用，簡單網(wǎng)絡(luò)管理協(xié)議警報(bào)或者直接的數(shù)據(jù)庫查詢。最后，所有這些數(shù)據(jù)都被整合到LYNXeon。接下來，我們使用模式查詢語言來尋找所有數(shù)據(jù)集的潛在惡意模式。

下面是一些報(bào)告例子，它們讓我們更好地了解網(wǎng)絡(luò)安全狀況：

連接到http://www.malwaredomainlist.com服務(wù)器的內(nèi)部系統(tǒng)

在很短的時(shí)間內(nèi)，連接到很多其他內(nèi)部系統(tǒng)的內(nèi)部系統(tǒng)

連接到惡意軟件或入侵檢測平臺(tái)已經(jīng)觸發(fā)警報(bào)的外部系統(tǒng)的內(nèi)部系統(tǒng)

使用不屬于企業(yè)基礎(chǔ)設(shè)施的DNS服務(wù)器的內(nèi)部系統(tǒng)

此外，在我的公司整合流量數(shù)據(jù)與其他數(shù)據(jù)類型的好處之一是，我們能夠根據(jù)一個(gè)位置發(fā)生事件來創(chuàng)建模式，并利用這些模式來尋找其他位置的類似問題，這些其他位置可能沒有部署完全相同的檢測機(jī)制。

上述建議是我自己的經(jīng)驗(yàn)，并不是全面的工具或工具類別清單，但這為你提供了一個(gè)基礎(chǔ)，讓你可以開始利用威脅檢測安全分析。在你的公司建立一個(gè)安全分析程序可能不會(huì)在一夜之間發(fā)生，但這肯定可以實(shí)現(xiàn)，并能夠幫助你提高檢測惡意軟件的能力。在這個(gè)過程中，不要忘了保持良好的數(shù)據(jù)指標(biāo)，這樣你就可以向高管展示投資回報(bào)率。