網(wǎng)絡(luò)安全的趨勢和技術(shù)選擇

　　網(wǎng)絡(luò)空間安全涉及的安全響應(yīng)，是指在安全事件發(fā)生后，通過人工或者自動(dòng)化的方式，能采取相應(yīng)的措施，降低安全事件帶來的危害和影響;從啟明星辰發(fā)布的近幾年安全態(tài)勢觀察報(bào)告來看，安全響應(yīng)都作為重要的一個(gè)技術(shù)領(lǐng)域被提及。在安全防御體系的演進(jìn)中，從PPDR模型，到NIST(美國國家標(biāo)準(zhǔn)組織)定義的比較權(quán)威的IPDRR模型，都強(qiáng)調(diào)了安全響應(yīng)是在安全事件處理中的非常重要的能力。

　　啟明星辰認(rèn)為，在安全響應(yīng)中，最主要的應(yīng)用思路，是基于安全攻擊鏈模型發(fā)掘完整的攻擊過程，并針對此攻擊過程中發(fā)現(xiàn)的系統(tǒng)薄弱點(diǎn)，進(jìn)行針對性的加固。通過一個(gè)攻擊線索，找到攻擊的利用手段和系統(tǒng)薄弱環(huán)節(jié)，以及安全檢測設(shè)備在此場景下的失效原因，需要全流程全維度的過程和行為追蹤，而全流量分析取證往往成為了不二之選。

　　圖1 ：惡意軟件市場已經(jīng)高度組織化(來源：啟明星辰安全態(tài)勢報(bào)告)

　　啟明星辰認(rèn)為，基于網(wǎng)絡(luò)流量元數(shù)據(jù)和數(shù)據(jù)包的采集，進(jìn)行流行為的安全威脅分析和取證，是未來最重要安全技術(shù)之一。Gartner的最新報(bào)告也指出：NTA(網(wǎng)絡(luò)流量分析)和NFT(網(wǎng)絡(luò)取證工具)正在逐步演變?yōu)橥ㄟ^采集和存儲(chǔ)網(wǎng)絡(luò)分析以外的更多數(shù)據(jù)，實(shí)現(xiàn)更大范圍的威脅檢測和攻擊取證能力。

　　傳統(tǒng)的“預(yù)防加檢測”有其天然局限性，“持續(xù)檢測與響應(yīng)”才能應(yīng)對今天不斷變化的威脅局面。

　　全流量分析取證在安全中的價(jià)值

　　1：具備完整攻擊鏈的全過程信息存儲(chǔ)和展示

　　網(wǎng)絡(luò)攻擊的成功實(shí)施，通常是利用系統(tǒng)的薄弱環(huán)節(jié)，通過多種手段最終進(jìn)入系統(tǒng)內(nèi)部，造成系統(tǒng)破壞或者是獲取所需信息。即使我們已經(jīng)部署了防火墻、IDS、IPS、數(shù)據(jù)庫防御、郵件防御系統(tǒng)等產(chǎn)品，貌似扎緊了防御的籬笆，但面對持續(xù)的、層出不窮的高級威脅攻擊手法和樣本變體，有時(shí)還是無法阻止各類攻擊的發(fā)生，這足以說明當(dāng)前攻擊形勢的復(fù)雜性和隱蔽性。通過對攻擊過程的分析和分解，洛克希德·馬丁公司提出了攻擊鏈的概念，此概念一經(jīng)推出就得到了廣大安全廠商的認(rèn)可;近兩年非?；馃岬腁TT&CK模型，也是在此技術(shù)上結(jié)合攻擊鏈的各個(gè)階段，提煉出常用的攻擊手法和方式，成為了很多安全廠商設(shè)計(jì)安全檢測設(shè)備的一個(gè)標(biāo)尺。

　　圖2：ATT&CK在Google Trends上過去一年多的趨勢變化

　　然而，品類繁多復(fù)雜的安全檢測設(shè)備，往往只能覆蓋攻擊鏈的幾個(gè)過程，而無法完整的呈現(xiàn)出一個(gè)完整的攻擊活動(dòng)。這些相互重疊的安全設(shè)備的檢測能力，往往會(huì)給攻擊者帶來可乘之機(jī)：每個(gè)設(shè)備只能展示部分相關(guān)的攻擊信息，無法完整的展示攻擊行為過程和前后的串聯(lián)關(guān)系，那么在后續(xù)的響應(yīng)環(huán)節(jié)就做不到毫發(fā)無遺，只會(huì)導(dǎo)致同類型的攻擊讓我們疲于應(yīng)付，安全事件層出不窮了。

　　全流量分析取證，通過存儲(chǔ)網(wǎng)絡(luò)中所有的流量(可過濾掉一些低價(jià)值的視頻流量等)，實(shí)現(xiàn)完整的攻擊過程在網(wǎng)絡(luò)數(shù)據(jù)傳輸中的快照，依據(jù)一定的自動(dòng)查詢規(guī)則或者是手工查詢的方式，展示出整個(gè)攻擊鏈的所有相關(guān)信息。

　　同時(shí)對于全流量分析取證產(chǎn)品，通過和傳統(tǒng)安全檢測設(shè)備、流量分析設(shè)備系統(tǒng)聯(lián)動(dòng)，能實(shí)現(xiàn)一點(diǎn)檢測，全攻擊鏈還原取證的能力，實(shí)現(xiàn)100%準(zhǔn)確的攻擊有效性判斷和關(guān)鍵證據(jù)的獲取，是構(gòu)建攻擊活動(dòng)的完整證據(jù)鏈的數(shù)據(jù)基座。

　　2：協(xié)助識(shí)別網(wǎng)絡(luò)攻擊的有效性，可實(shí)現(xiàn)網(wǎng)絡(luò)攻擊超低誤報(bào)

　　因?yàn)榫W(wǎng)絡(luò)業(yè)務(wù)的低時(shí)延要求，自動(dòng)化攻擊行為的發(fā)生，和每年大幅增長的系統(tǒng)漏洞，對安全檢測設(shè)備的快速響應(yīng)能力提出了更高的要求。另一方面，因?yàn)樾枰档吐﹫?bào)率的因素，大量的攻擊誤報(bào)就成為了網(wǎng)絡(luò)攻擊檢測中的常態(tài)。

　　通過傳統(tǒng)安全檢測設(shè)備和全流量分析取證設(shè)備的聯(lián)動(dòng)，通過對一條流的客戶端行為，服務(wù)器的行為，以及同一個(gè)客戶端&服務(wù)器端的多條流的行為的驗(yàn)證，能快速準(zhǔn)確的分析出是否是一個(gè)成功的攻擊行為：

　　圖3：啟明星辰全流量分析取證設(shè)備和檢測設(shè)備聯(lián)動(dòng)

　　近年來各大安全廠商不停的在SIEM/SOAR上進(jìn)行能力布局，是類似的分析取證的思路，但此類分析取證還是基于已有的網(wǎng)絡(luò)安全設(shè)備的日志信息等，完整性和準(zhǔn)確性上存在一定的不足。而全流分析取證設(shè)備上有完整的攻擊過程信息，有攻擊前和攻擊后的客戶端/服務(wù)器行為，這些都能較容易的幫助安全檢測設(shè)備快速準(zhǔn)確甄別誤報(bào)信息，真正發(fā)揮安全檢測設(shè)備的快速檢測優(yōu)勢和實(shí)時(shí)的安全響應(yīng)處置策略。

　　3：實(shí)現(xiàn)基于多種復(fù)雜流量組合的攻擊過程分析

　　全流分析取證產(chǎn)品在pcap原始數(shù)據(jù)、協(xié)議元數(shù)據(jù)、流統(tǒng)計(jì)信息等全維度信息的基礎(chǔ)上，可以實(shí)現(xiàn)在線/實(shí)時(shí)，離線/批量的安全模型分析，彌補(bǔ)當(dāng)前網(wǎng)絡(luò)安全設(shè)備檢測能力的不足。

　　圖4：啟明星辰全流取證方案的多場景安全分析能力

　　基于全流分析取證產(chǎn)品的完整數(shù)據(jù)，可以實(shí)現(xiàn)由最簡單的統(tǒng)計(jì)分析，到最復(fù)雜的人工智能等多種場景的安全威脅分析，驗(yàn)證攻擊是否成功，分析模型是否準(zhǔn)確，能良好的解決傳統(tǒng)的基于特征、指紋和用戶網(wǎng)絡(luò)行為的攻擊檢測方式帶來的誤報(bào)和漏報(bào)的問題，此種自證能力是全流分析取證產(chǎn)品獨(dú)特且難以被其他產(chǎn)品取代的優(yōu)秀能力。