RSA歸來話感受

RSA過去有一段時間了，但是給我留下的沖擊仍然很大。作為第一次參加RSA的國內(nèi)廠商，WebRAY能得以有機(jī)會在全球最大的信息安全展會上展示自己，這讓我感到自豪，同時也非常感謝中關(guān)村管委會給我們的大力支持。而同時，這也是一次全面學(xué)習(xí)國際信息安全發(fā)展趨勢的大好機(jī)會。隨著時間的過去，許多類似于砸盒子的噱頭慢慢淡去，而真正給我留下印象的是兩個關(guān)鍵詞：“威脅情報”和“情景感知”。

高級的定向攻擊使“防范”為中心的策略已經(jīng)過時。安全是對抗，不可能完全防范。做安全的思路應(yīng)該從防止安全入侵這種不可能的任務(wù)轉(zhuǎn)到了防止損失這一關(guān)鍵任務(wù)上，防范措施必不可少，但是基于預(yù)警、響應(yīng)的時間差更關(guān)鍵。從未來看，企業(yè)安全將會發(fā)生一個大的轉(zhuǎn)變：即以“信息和人”為中心的安全策略，結(jié)合全面的內(nèi)部監(jiān)控和安全情報共享。全方位的內(nèi)部監(jiān)控和安全情報是保護(hù)信息安全的主要手段。實際的安全工作中，很多用戶知道要嚴(yán)防死守外部侵襲，但往往忽略了內(nèi)部威脅對系統(tǒng)造成的破壞，實際上大多數(shù)安全威脅都來自內(nèi)部。外部的防御與內(nèi)部的控制(內(nèi)部異常行為的發(fā)現(xiàn)與處置)都很重要。

針對外部的攻擊(即外防)，主要通過獲取威脅情報，依靠專業(yè)的安全分析團(tuán)隊，分析之后形成情報的處置決策，并通過網(wǎng)絡(luò)安全設(shè)備或終端上的安全軟件來執(zhí)行決策(Action)，達(dá)到針對高級攻擊的防范。

內(nèi)部異常行為的監(jiān)控(即內(nèi)控):內(nèi)部的異常行為造成的破壞是安全事故最大的來源，外部攻擊者發(fā)起APT攻擊，其中的部分環(huán)節(jié)Delivery、Exploitation、Installation、Command and Control (C2)、Actions on Objectives都需要通過“內(nèi)部行走”才能接觸到敏感數(shù)據(jù)達(dá)到盜取或破壞的目的;同時企業(yè)內(nèi)部的威脅源包括可能準(zhǔn)備離職有惡意的內(nèi)部人員、內(nèi)部人員的長期慢速的信息泄露、內(nèi)部攻擊也可能具備內(nèi)部訪問權(quán)限的合作伙伴或者第三方發(fā)起。如果通過制定不同的情景，通過獲取樣本，建立正常行為模型，然后分析內(nèi)部網(wǎng)絡(luò)流量或終端服務(wù)器上的行為，并發(fā)現(xiàn)異常，情景感知(Context-Aware)是安全監(jiān)測的很重要觸發(fā)點。

外防：威脅情報

大家談到APT的監(jiān)測與防御時，其實最難的是“P”,攻擊者可以花足夠長的時間來進(jìn)行“低速”攻擊，傳統(tǒng)的監(jiān)測手段不可能發(fā)現(xiàn)，同時要做審計的話需要足夠長時間的數(shù)據(jù)，這個數(shù)據(jù)到底多大又是個問題。沒有集體共享的威脅和攻擊的情報，單個組織將無法保衛(wèi)自己。Gartner也預(yù)測為大量企業(yè)提供可視化的威脅和攻擊情報的安全服務(wù)商將更受市場的歡迎。安全情報以“空間”換“時間”，用協(xié)作來應(yīng)對APT攻擊的“P”。

針對外部的攻擊，通過獲取威脅情報，依靠專業(yè)的安全分析團(tuán)隊，分析之后形成情報的處置決策(action)，并通過網(wǎng)絡(luò)安全設(shè)備或終端上的安全軟件來執(zhí)行決策。整個過程可以通過機(jī)器的自動化執(zhí)行。

威脅情報一般包括信譽(yù)情報(“壞”的IP地址、URL、域名等，比如C2服務(wù)器相關(guān)信息)、攻擊情報(攻擊源、攻擊工具、利用的漏洞、該采取的方式等)等。我們經(jīng)常可以從CERT、安全服務(wù)廠商、防病毒廠商、政府機(jī)構(gòu)和安全組織那里看到安全預(yù)警通告、漏洞通告、威脅通告等等，這些都屬于典型的安全威脅情報。 而隨著新型威脅的不斷增長，也出現(xiàn)了新的安全威脅情報，例如僵尸網(wǎng)絡(luò)地址情報(Zeus/SpyEye Tracker)、0day漏洞信息、惡意URL地址情報，等等。這些情報對于防守方進(jìn)行防御十分有幫助，但是卻不是單一的一個防守方自身能夠獲取和維護(hù) 得了的。因此，現(xiàn)在出現(xiàn)了安全威脅情報市場，有專門的人士、公司和組織建立一套安全威脅情報分析系統(tǒng)，獲得這些情報，并將這些情報賣給作為防守方的企業(yè)和組織。安全威脅情報市場現(xiàn)在是一個很大的新興安全細(xì)分市場。

國外安全威脅情報的來源，簡單總結(jié)如下(含開源及商業(yè))

• OSINT

• Dell SecureWorks

• RSA NetWitness Live/Verisign iDefense

• Symantec Deepsight

• McAfee Threat Intelligence

• SANS

• CVEs, CWEs, OSVDB (Vulns)

• iSight Partners

• ThreatStream

• OpenDNS

• MAPP

• IBM QRadar

• Palo Alto Wildfire

• Crowdstrike

• AlienVault OTX

• RecordedFuture

• Team Cymru

• ISACs / US-CERT

• FireEye/Mandiant

• Vorstack

• CyberUnited

• Norse IPViking/Darklist

內(nèi)控：情景感知

對比2013年和2014年的Gartner技術(shù)成熟度曲線可看出，情境感知(Context-Aware-Security)從谷底區(qū)到穩(wěn)步攀升期的一個快速轉(zhuǎn)變。

情境主要指“主體”到“客體”的訪問行為情景。主體是人或應(yīng)用，客體是應(yīng)用或數(shù)據(jù)。情景在這里包含的因素有Who、What、To-What、When、Where等。情境分析首先關(guān)注審計客體和審計動作，以What和How為主要關(guān)聯(lián)對象。

簡單的情境可包括：

Who，低信譽(yù)的用戶(比如已經(jīng)中毒的用戶，發(fā)現(xiàn)存在攻擊行為的用戶)

What，來自IT不支持的Linux 客戶端的訪問(客戶端都是Win7，突然來了個Linux來訪問自然不正常)

To What，對敏感數(shù)據(jù)的訪問(是否訪問的是敏感數(shù)據(jù))

When，周日凌晨的訪問(這明顯不是工作時間，訪問也明顯異常)

Where，來自沒有業(yè)務(wù)的海外(這也很明顯異常)。

常見的異常情景比如：登錄異常行為包括：異常時間、異常IP、多IP登錄、頻繁登錄失敗等行為。業(yè)務(wù)違規(guī)行為：包括惡意業(yè)務(wù)訂購、業(yè)務(wù)只查詢不辦理、高頻業(yè)務(wù)訪問、業(yè)務(wù)繞行等等。共享賬號：一個賬號短時間換IP，一個IP登了多個賬號等。

斯諾登就是一典型的insider threats案例，按照安全設(shè)計理念，他是能被發(fā)現(xiàn)的，比如斯諾登經(jīng)常要同事的帳號訪問系統(tǒng)，比如斯諾登可能比一般員工更多的訪問了核心服務(wù)器，比如斯諾登可能短時間內(nèi)打包了很多的敏感數(shù)據(jù)等，這些行為都可以通過情景感知來發(fā)現(xiàn)異常。

下表列舉了認(rèn)證登錄情景中主要關(guān)心的一些要素點：

安全分析是核心能力

大數(shù)據(jù)時代數(shù)據(jù)的采集、存儲、分析、呈現(xiàn)等等，很少有一家能完全做的了，通吃也真沒必要也沒能力，從細(xì)分看，做采集的可能有集成商或服務(wù)商來完成實施工作，做存儲的有擅長Hadoop的來做，做分析層的需要有懂業(yè)務(wù)、了解安全的服務(wù)團(tuán)隊做的插件或APP來完成，數(shù)據(jù)的呈現(xiàn)又是專門的團(tuán)隊來做。

數(shù)據(jù)是金子，對安全行業(yè)依然如此。數(shù)據(jù)分析師需要了解業(yè)務(wù)、了解安全、了解算法等等各項技能。比如關(guān)聯(lián)分析：用于在海量審計信息中找出異構(gòu)異源事件信息之間的關(guān)系，通過組合判斷多個異構(gòu)事件判斷操作行為性質(zhì)，發(fā)掘隱藏的相關(guān)性，發(fā)現(xiàn)可能存在的違規(guī)行為。比如數(shù)據(jù)挖掘：基于適當(dāng)?shù)乃惴▉韺?shù)據(jù)集進(jìn)行聚類分類，能夠區(qū)分異常行為和正常行為。就上圖而言，中間的分析層，業(yè)內(nèi)做的好的很少，這個也是數(shù)據(jù)分析師能充分發(fā)揮作用的地方。

我們的實踐

事實上，一種理念的盛行往往是對已經(jīng)存在的實踐的總結(jié)和提升。無論是威脅情報也好，情景感知也好，事實上其核心技術(shù)在業(yè)界早有實踐，只是沒有如此清晰并且成趨勢的被總結(jié)和表述出來。WebRAY在從事Web安全的實踐過程中就已經(jīng)在我們的系列安全產(chǎn)品中融入了安全情報體系。

WebRAY在“烽火臺”網(wǎng)站監(jiān)控預(yù)警平臺體系中內(nèi)置了全球的IP信譽(yù)庫，并且每天更新200萬條信息。監(jiān)控平臺會把IP信譽(yù)體系更新到各個授權(quán)防護(hù)節(jié)點，并且以可視化形態(tài)展現(xiàn)web訪問者的信譽(yù)，從而為用戶提供決策依據(jù)，將攻擊扼殺在萌芽之中。

而從另一個方面， Web應(yīng)用防護(hù)系統(tǒng)，又是非常寶貴的情報收集源頭。通過我們遍布全國的4000多臺WAF設(shè)備，將攻擊情況定期匯總到“烽火臺”系統(tǒng)，并通過我們的安全團(tuán)隊進(jìn)行識別和挖掘，從而形成新的額IP信譽(yù)庫， 更新到烽火臺，并同步到全部的WAF系統(tǒng)上。

當(dāng)然我們也希望有一天可以把我們的威脅情報轉(zhuǎn)化成直接的信息資產(chǎn)有價的提供給其他安全企業(yè)、管理機(jī)構(gòu)、和最終用戶。我認(rèn)為，威脅情報的直接商品化是必然的趨勢。