Gartner:用自適應安全架構來應對高級定向攻擊
引言
大多數企業在安全保護方面會優先集中在攔截和防御(例如反病毒)以及基于策略的控制(如防火墻),將危險攔截在外(但只是如下圖示的右上角四分之一部分)。
然而,完美的防御是不可能(參見“2020安全防御已成徒勞:通過周密普遍的監控和情報共享來保護信息安全”)。高級定向攻擊總能輕而易舉地繞過傳統防火墻和基于黑白名單的預防機制。
所有機構都應該從現在認識到自己處在持續的風險狀態。但情況是,企業盲信防御措施能100%奏效,他們更加過度依賴這些傳統預防機制。
結果,面對不可避免的侵害行為時,大多數的企業只有有限的能力檢測和反應,隨之而來是“停擺”時間變長,損失變大。
圖1:自適應防御系統的四個階段(預測->防御->監控->回溯)
實際情況中,提升后的防御、檢測、響應和預測服務都需要應對各種攻擊,不管是否高級。更重要的是不要將其視作封閉固定的功能,而應以智能集成聯動的方式工作,對于高級威脅,自適應系統需持續完善保護功能。
自適應防護架構的關鍵能力
1. “防御能力” 是指一系列策略集、產品和服務可以用于防御攻擊。這個方面的關鍵目標是通過減少被攻擊面來提升攻擊門檻,并在受影響前攔截攻擊動作。
2. “檢測能力”用于發現那些逃過防御網絡的攻擊,該方面的關鍵目標是降低威脅造成的“停擺時間”以及其他潛在的損失。檢測能力非常關鍵,因為企業應該假設自己已處在被攻擊狀態中。
3. “回溯能力”用于高效調查和補救被檢測分析功能(或外部服務)查出的事務,以提供入侵認證和攻擊來源分析,并產生新的預防手段來避免未來事故。
4. “預測能力”使系安全系統可從外部監控下的黑客行動中學習,以主動鎖定對現有系統和信息具有威脅的新型攻擊,并對漏洞劃定優先級和定位。該情報將反饋到預防和檢測功能,從而構成整個處理流程的閉環。
作為一個有價值的框架,根據自適應防護架構將有助于企業對現有和未來的安全投入進行劃分并確定投入是均衡的。不要讓當前市面上的“明星”安全創業公司的來確定安全投資,機構需評估當前的安全投入和能力來決定哪里不足。自適應架構還可以幫助企業篩選和評估安全供應商。毫無疑問,提供多方面安全能力的供應商在戰略上優勝于只提供單方面能力的。
安全防護是一項持續處理過程
在持續攻擊時代,企業需要完成對安全思維的根本性切換,從“應急響應”到“持續響應”,前者認為攻擊是偶發的,一次性的事故,而后者則認為攻擊是不間斷的,黑客滲透系統和信息的努力是不可能完全攔截的,系統應承認自己時刻處于被攻擊中。在這樣的認知下,我們才能認清持續監控的必要性(見圖2)。
圖2. 自適應安全架構需要持續監控
#p#
持續監控和分析是自適應安全架構的核心
如圖2所示,為面向高級攻擊而實現真正的自適應及基于風險的響應,下一代安全防護程序的核心一定是持續的,主動監控和可視化將持續分析攻擊痕跡,這將生成大量數據。然而,除非配以恰當的分析(輔以外部資源如場景和社區信息、威脅智能感知系統來提升準確度)用于提取高執行力建議,大數據只是噪音而已。可以用多種分析手段來處理這些數據,包括啟發性方法、統計方法、推理建模、機器學習、聚類分析、貝葉斯建模。
我們相信,今后所有高效的安全防護平臺除了包括傳統的安全信息事件管理系統之外,核心能力中都會嵌入特定領域分析系統。
企業監控應轉為主動式,應覆蓋盡可能多的IT棧層,包括網絡活動層、端點層、系統交互層、應用事務層和用戶行為層。
可視化應該包括企業和員工個人設備,并支持跨企業數據中心和外部云服務。未來的防御不僅要深入到控制層,還應該包括監控和可視化(見圖3)。
圖3. 全技術層的持續監控
相比傳統的SIEM系統能有效監控的數據,企業持續監控所有實體和層,所產生的數據容量更大、周轉率更高、更加多樣化。
這樣也是為什么Gartner研究認為大數據將帶來下一代安全防護解決方案的原因之一(見“信息安全將成為一個大數據分析問題”)。另一個原因是,到2020年,為存儲用于回溯分析的監控數據,40%的企業需建立專門"安全數據中心"。
通過一段時間的存儲和數據分析,并融入場景、外部威脅和社群智慧,“正常”模式才能建立,而且數據分析也可以用于分辨出從正常模式偏離的行為。
隨著技術支持,這些能力將逐步變得主流,我們相信,自適應防護架構也將變成主流,并作為供應平臺集成大量組件,并且提供可以方便使用的嵌入式分析引擎。
自適應防護架構的6種關鍵輸入
在我們揭示自適應防護架構的12個能力前,需認識到6種關鍵輸入也是該架構不可分割的部分,也需要在安全選型決策中貫徹(見圖4)。
圖4
策略:用于定義和描述各項組織需求包括系統配置、補丁需求、網絡活動、哪些應用允許執行,哪些應被禁止,反病毒掃描的頻率、敏感數據保護、應急響應等等。這些策略通常源于內部指導和外部影響,例如管理需求。策略驅動企業安全平臺如何主動預防以及響應高級威脅。
“場景”: 基于當前條件的信息(如地點、時間、漏洞狀態等),場景感知使用額外信息提升信息安全決策正確性。對于分辨哪些攻擊逃過傳統安全防護機制,以及幫助確定有意義的偏離正常行為而不需要增加大量誤報率時,對場景的利用非常關鍵。
“社區智慧”:為更好地應對高級威脅,信息應該是聚合的,可通過基于云的社區進行分析和分享的,理想的情況下,還應該擁有在相似行業和地區進行信息聚合及分析的能力。這種“眾包”智能可以提升所有參與者的整體防護能力,例如社區智慧適用來回答這樣的問題:“還有哪些企業同我們一樣?有其他人之前碰到這樣的應用 /URL/IP地址嗎?是否有一個我們的同行已經開發出一個新方法來檢測出這個高級威脅并可分享給其他人?”
因此,更好的社區可讓企業分享最佳實踐、知識和技巧。規模性的社區將受益于網絡效應。有些社區是自我組織的,例如 FS-ISAC,有些是政府資助的,如北美計算機緊急響應小組 (US-CERT);其他有些是安全廠商創建的面向合作伙伴和平臺上開發者的生態系統。
威脅情報:危險情報的核心是那些提供可信有價值的主題源,如IP地址、域、URLs、文件、應用等等。然而,高級威脅情報服務還應提供給企業關于攻擊者/機構的組織方式攻擊目標等情報(見“安全威脅情報服務提供商技術概覽”),另外,服務商還應該提供相應的指導,幫助企業針對性防護這些攻擊。現在更多的威脅情報以可機讀的格式發布,這樣可以更容易直接整合進入網絡、Web、郵件和漏洞安全平臺中(見“可機讀的威脅情報技術概覽”)。
漏洞分析:該信息提供給企業對其所用到的設備、系統、應用和接口中的漏洞進行分析。除了包括一致的漏洞,分析還包括存在于企業客戶和第三方應用中的一些未知的漏洞,可通過主動測試其應用、庫和接口來完成。
供應商實驗室:大多數安全防護平臺廠商提供最新的信息來支持他們的防護解決方案——例如,為提供對最新發現的威脅進行保護,黑白名單以及規則和模式都會更新。
#p#
自適應安全防護過程中的12個關鍵功能
為實現全面的自適應安全防護架構,實現對攻擊的攔截、預防、檢測和響應,我們認為如下12個特別的功能非常必要(見圖5)。
圖5
如下是這12種功能的簡單介紹,從右上象限開始按照順時鐘指針方向開始介紹,需注意順序不代表重要程度,對于全面防護來說他們同等重要。
加固和隔離系統:任何信息安全架構的初始功能都是采用多種技術降低攻擊面,限制黑客接觸系統、發現漏洞和執行惡意代碼的能力。
無論應用在網絡防護墻(只允許訪問某些端口/能力)或者系統應用控制層(只允許某些應用執行,見“如何有效部署應用控制”),傳統的“默認拒絕”模式(白名單)算一種有效的功能,數據加密系統也可以視做信息系統層的白名單和加固方式。
漏洞以及補丁管理:用于識別和關閉漏洞的漏洞及路徑管理功能也可以納入此類。結合端點隔離和沙盒技術,可主動限制網絡/系統/進程/應用相互接口的能力,也是此類的另一種方式(見“面向高級攻擊的虛擬化和控制系統技術概覽”)。
轉移攻擊:簡單來說,該領域功能可是企業在黑客攻防中獲得時間上的非對稱優勢,通過多種技術使攻擊者難以定位真正的系統核心以及可利用漏洞,以及隱藏\混淆系統接口\信息(如創建虛假系統、漏洞和信息)。
例如,被Juniper網絡收購的Mykonos科技可以創建一個無漏洞的應用層鏡像,隨后提供一個活躍目標的蜜罐。Unisys Stealth可以將網絡系統隱藏,而CSG's invotas解決方案整合了豐富多樣的偏離技術。雖然隱藏式安全并不能根本性解決問題,這種方式也視作一種可分層的、深層防御策略。
事故預防:該類別覆蓋多種成熟的預防方式防止黑客未授權而進入系統,包括傳統的“黑白名單式”的反惡意病毒掃描以及基于網絡\主機的入侵預防系統。“行為特征” 也是這方面的另一層應用——例如,為防止系統和控制中心交流,可使用來自第三方知名發布的服務信息和情報并整合進入網絡、網管或者基于主機的控制器。
事故檢測:一些攻擊者不可避免地會繞過傳統的攔截和預防機制,這時最重要的事情就是在盡可能短的時間里檢測到入侵,將黑客造成損害和泄露敏感的信息最小化。
很多技術可用在此處,但大多數依賴于自適應防護體系的核心能力即分析持續監控所收集的數據,方法包括從正常的網絡和端點行為中檢測出異常,檢測出有外向連接到已知的危險實體,或者是檢測作為潛在攻擊線索的事件和行為特征的序列。
自適應安全架構的核心功能是持續而嚴密的監控功能,將分析那些正處于觀察中的與歷史數據沖突的情況,這樣安全運營分析就可以辨別出那些異常情況,不僅如此,發展中的持續安全運營中心和熟練的安全運營分析人員日益成為企業的重要核心之一。
風險確認和排序:一旦潛在問題被檢測到,就需要在不同實體中將攻擊的標志關聯起來進行確認,例如,首先觀察在沙盒環境中基于網絡的威脅檢測系統所觀察到進程、行為和注冊實體等,然后將其和實際端口中的情況相比。
這種在網絡和端點中分析情報的能力正是前不久安全闡述FireEye收購Mandian的主要原因之一,基于內外情景——例如用戶、角色,信息的敏感性將被處理和資產將進行商業分析——這些事務也會根據風險進行評估,并通知到企業,再經過可視化處理,這樣安全運營分析人員就可以專注于優先處理那些優先級最高的高風險問題。
事故隔離:一旦事故被識別、確認和排序,這個類別的工作將迅速隔離被感染系統和賬戶,防止其阻礙其他系統。常用的隔離能力包括,端點隔離、賬戶封鎖、網絡層隔離、系統進程關閉,以及立即預防其他系統執行同樣的惡意軟件或訪問同樣的被感染信息。
調查/取證:當被感染的系統和賬戶被隔離好之后,通過回顧分析事件完整過程,利用持續監控所獲取的數據,根本原因和全部缺口都終將解決。黑客是如何獲得據點的?這是個未知的漏洞還是沒有打補丁的漏洞?那些文件或者可執行程序包含攻擊?多少系統受到影響?那些信息泄露了?某些情況下,企業也許想更多了解黑客的來源和動機——是否國家支持的攻擊?如果是,哪個國家?都需要有歷史記錄的監控信息來回答這些細節信息。對于一次完整的調查,單獨的網絡流數據可能不夠充分(同樣,對于系統監控需要全端口),需要結合附帶的高級分析工具來回答。同樣,如果供應商的實驗室和研究團隊發布了新的簽名/規則/模式,也需要重新運行歷史數據以確定企業是否也曾是攻擊目標,或者該攻擊依然未被檢測出來。
設計/模式改變:為預防新攻擊或系統重受感染,需要更改某些策略和控制——例如,關閉漏洞、關閉網絡端口、特征升級、系統配置升級、用戶權限修改、用戶培訓修改或者提升信息防護選項的強度(例如加密)。
更高級的平臺還可以自動化產生新特征/規則/模式來應對最新發現的高級攻擊——其實就是通過“定制化防護”。然而,在集成新規則之前,首先要在持續監控所產生的歷史數據中進行模擬攻防以主動測試其誤報率和漏報率。
修復/改善: 當模型化并且決定生效,就開始著手實施改進了。利用新興的安全聯動系統可以將某些響應自動實施,策略更改可加入到安全策略實施點如防火墻、入侵防護系統(IPSs),應用控制或者反惡意病毒系統中。
雖然一些新興的安全響應聯動系統設計為可以自動和聯動這些改善事務,但在現在這個早期階段,企業依然更傾向于由那些安全運營專員、網絡安全專員或端點支持成員來實施這些變動。
基線系統:系統會不停地進行變動;新的系統(如移動設備和云服務)也將不斷被引入;用戶賬戶不停的新建和撤銷;新的漏洞不斷地披露;新應用部署;針對新威脅的適應改造也一直進行著,所以,我們也應該持續對終端設備、服務器端系統、云服務、漏洞、關系和典型接口進行重定基線以及挖掘發現。
攻擊預測:該領域正處于前沿而且日益重要。通過檢測黑客的意圖,關注黑客市場和公告板;對垂直行業的興趣;以及對保護信息的類別和敏感度,這一領域內的功能在于主動預測未來的攻擊和目標,使企業可以隨之調整安全防護策略來應對。
例如,基于收集的情報,很有可能會有一個針對特定應用和OS的攻擊,企業可以主動實施應用防火墻防護功能,加強認證授權功能或者主動屏蔽某些接入類型。
主動探索分析:隨著內外情報的收集,需要對企業資產進行探索和風險評估以預測威脅,同時也許需要對企業策略和控制的調整。
例如,當需要新購買一套云服務時,會帶來什么風險?是否需要上補充控制如加密?一個新應用無論是企業應用還是移動應用會帶來什么風險?是否已經進行了漏洞掃描?是否需要應用防火墻或者端點隔離?
#p#
像同一系統一樣整合使用功能
最終我們構建的不應是一個擁有分離的12個信息安全功能的解決方案。我們的最終目標是一個更具適應性的智能安全防護體系,它整合了不同的功能,共同分享信息。
例如,某個企業一開始并沒有”簽名“功能來預防一個漏洞,但當攻擊被發現后,就可以快速通過電子取證分析獲得的知識來攔截后續的感染,這就是”定制防護“。所以”簽名已死“的觀念是錯誤而夸大的,基于簽名的預防技術仍然很有用,即使用于攻擊突破后的防止感染擴大。
另一個例子,一個基于網絡的高級威脅檢測應用也能通過對終端的攻擊指標的交換對比,來確認是否攻擊已控制了企業系統。所以,自適應安全體系在攻擊的全周期都可以發揮作用。
結合眾多領域功能的持續事務中獲得的安全情報,以及不同層級安全控制中交換的情報,就闡述了對新一代情報感知安全控制(IASC:見TSP安全解決方案概要 2014),就像纖維組成繩子,不同功能的整合,功能間的情報交換,以及威脅情報在社區中的輸入輸出,這些優勢都將構建出一個全面的更強大的安全防護體系。
評估系統中服務商和解決方案的價值
完整的防護包括防御、檢測、回溯分析和預測能力。 更多的安全平臺功能覆蓋多個領域或專注在某個垂直領域。例如,下一代網絡安全平臺應包括防火墻、入侵預防、入侵檢測和內容分析能力。
這對于安全服務供應商來說來說,也是一個擴展到不同層級以整合提供跨層服務的機會。例如,一個擁有基于網絡防護和端點防護功能的服務上也許可以連接兩者改善其整體防護能力。如果一個服務商在某領域沒有直接擁有某項能力,就應該和其他廠商合作以增強其能力。
整合外部情景和情報也是一項關鍵的差異競爭力。例如,什么類型的情景——地點、時間、設備、信譽等等——供應商可否能夠理解并入到其安全決策中?供應商是否有培養一個讓客戶可以交換社區安全情報的云社區?該平臺支持什么樣的信譽流?會考慮IP、URL、設備、文件和用戶信譽等信息納入安全決策流程中嗎?
最后,我們認為,下一代安全平臺應提供風險排序后可執行的安全建議,這些建議由可嵌入的特定領域分析功能提供,并結合持續監控所搜集的數據。
我們的目標不是取代傳統的SIEM系統,而是提供高保障、領域專精、可執行的優先風險建議,幫助企業將其安全運營響應系統聚焦于那些會帶來更高風險的威脅和事故。SIEM依然被用于支持在不同層級監控數據中的近實時檢測,但是不在是盲目地利用事件,而是優先化地、基于下一代安全平臺所提供的特定領域情報,SIEM也從而變得更加高效。
