引言
大多数企业在安全保护方面会优先集中在拦截和防御(例如反病毒)以及基于策略的控制(如防火墙),将危险拦截在外(但只是如下图示的右上角四分之一部分)。
然而,完美的防御是不可能(参见“2020安全防御已成徒劳:通过周密普遍的监控和情报共享来保护信息安全”)。高级定向攻击总能轻而易举地绕过传统防火墙和基于黑白名单的预防机制。
所有机构都应该从现在认识到自己处在持续的风险状态。但情况是,企业盲信防御措施能100%奏效,他们更加过度依赖这些传统预防机制。
结果,面对不可避免的侵害行为时,大多数的企业只有有限的能力检测和反应,随之而来是“停摆”时间变长,损失变大。
图1:自适应防御系统的四个阶段(预测->防御->监控->回溯)
实际情况中,提升后的防御、检测、响应和预测服务都需要应对各种攻击,不管是否高级。更重要的是不要将其视作封闭固定的功能,而应以智能集成联动的方式工作,对于高级威胁,自适应系统需持续完善保护功能。
自适应防护架构的关键能力
1. “防御能力” 是指一系列策略集、产品和服务可以用于防御攻击。这个方面的关键目标是通过减少被攻击面来提升攻击门槛,并在受影响前拦截攻击动作。
2. “检测能力”用于发现那些逃过防御网络的攻击,该方面的关键目标是降低威胁造成的“停摆时间”以及其他潜在的损失。检测能力非常关键,因为企业应该假设自己已处在被攻击状态中。
3. “回溯能力”用于高效调查和补救被检测分析功能(或外部服务)查出的事务,以提供入侵认证和攻击来源分析,并产生新的预防手段来避免未来事故。
4. “预测能力”使系安全系统可从外部监控下的黑客行动中学习,以主动锁定对现有系统和信息具有威胁的新型攻击,并对漏洞划定优先级和定位。该情报将反馈到预防和检测功能,从而构成整个处理流程的闭环。
作 为一个有价值的框架,根据自适应防护架构将有助于企业对现有和未来的安全投入进行划分并确定投入是均衡的。不要让当前市面上的“明星”安全创业公司的来确 定安全投资,机构需评估当前的安全投入和能力来决定哪里不足。自适应架构还可以帮助企业筛选和评估安全供应商。毫无疑问,提供多方面安全能力的供应商在战 略上优胜于只提供单方面能力的。
安全防护是一项持续处理过程
在持续攻击时代,企业需要完成对安全思维的根本性 切换,从“应急响应”到“持续响应”,前者认为攻击是偶发的,一次性的事故,而后者则认为攻击是不间断的,黑客渗透系统和信息的努力是不可能完全拦截的, 系统应承认自己时刻处于被攻击中。在这样的认知下,我们才能认清持续监控的必要性(见图2)。
图2. 自适应安全架构需要持续监控
持续监控和分析是自适应安全架构的核心
如 图2所示,为面向高级攻击而实现真正的自适应及基于风险的响应,下一代安全防护程序的核心一定是持续的,主动监控和可视化将持续分析攻击痕迹,这将生成大 量数据。然而,除非配以恰当的分析(辅以外部资源如场景和社区信息、威胁智能感知系统来提升准确度)用于提取高执行力建议,大数据只是噪音而已。可以用多 种分析手段来处理这些数据,包括启发性方法、统计方法、推理建模、机器学习、聚类分析、贝叶斯建模。
我们相信,今后所有高效的安全防护平台除了包括传统的安全信息事件管理系统之外,核心能力中都会嵌入特定领域分析系统。
企业监控应转为主动式,应覆盖尽可能多的IT栈层,包括网络活动层、端点层、系统交互层、应用事务层和用户行为层。
可视化应该包括企业和员工个人设备,并支持跨企业数据中心和外部云服务。未来的防御不仅要深入到控制层,还应该包括监控和可视化(见图3)。
图3. 全技术层的持续监控
相比传统的SIEM系统能有效监控的数据,企业持续监控所有实体和层,所产生的数据容量更大、周转率更高、更加多样化。
这样也是为什么Gartner研究认为大数据将带来下一代安全防护解决方案的原因之一(见“信息安全将成为一个大数据分析问题”)。另一个原因是,到2020年,为存储用于回溯分析的监控数据,40%的企业需建立专门"安全数据中心"。
通过一段时间的存储和数据分析,并融入场景、外部威胁和社群智慧,“正常”模式才能建立,而且数据分析也可以用于分辨出从正常模式偏离的行为。
随着技术支持,这些能力将逐步变得主流,我们相信,自适应防护架构也将变成主流,并作为供应平台集成大量组件,并且提供可以方便使用的嵌入式分析引擎。
自适应防护架构的6种关键输入
在我们揭示自适应防护架构的12个能力前,需认识到6种关键输入也是该架构不可分割的部分,也需要在安全选型决策中贯彻(见图4)。
图4
策略:用于定义和描述各项组织需求包括系统配置、补丁需求、网络活动、哪些应用允许执行,哪些应被禁止,反病毒扫描的频率、敏感数据保护、应急响应等等。这些策略通常源于内部指导和外部影响,例如管理需求。策略驱动企业安全平台如何主动预防以及响应高级威胁。
“场景”: 基于当前条件的信息(如地点、时间、漏洞状态等),场景感知使用额外信息提升信息安全决策正确性。对于分辨哪些攻击逃过传统安全防护机制,以及帮助确定有意义的偏离正常行为而不需要增加大量误报率时,对场景的利用非常关键。
“社 区智慧”:为更好地应对高级威胁,信息应该是聚合的,可通过基于云的社区进行分析和分享的,理想的情况下,还应该拥有在相似行业和地区进行信息聚合及分析 的能力。这种“众包”智能可以提升所有参与者的整体防护能力,例如社区智慧适用来回答这样的问题:“还有哪些企业同我们一样?有其他人之前碰到这样的应用 /URL/IP地址吗?是否有一个我们的同行已经开发出一个新方法来检测出这个高级威胁并可分享给其他人?”
因此,更好的社区可让企业分享最佳实践、知识和技巧。规模性的社区将受益于网络效应。有些社区是自我组织的,例如 FS-ISAC,有些是政府资助的,如北美计算机紧急响应小组 (US-CERT);其他有些是安全厂商创建的面向合作伙伴和平台上开发者的生态系统。
威 胁情报:危险情报的核心是那些提供可信有价值的主题源,如IP地址、域、URLs、文件、应用等等。然而,高级威胁情报服务还应提供给企业关于攻击者/机 构的组织方式攻击目标等情报(见“安全威胁情报服务提供商技术概览”),另外,服务商还应该提供相应的指导,帮助企业针对性防护这些攻击。现在更多的威胁 情报以可机读的格式发布,这样可以更容易直接整合进入网络、Web、邮件和漏洞安全平台中(见“可机读的威胁情报技术概览”)。
漏洞分析:该信息提供给企业对其所用到的设备、系统、应用和接口中的漏洞进行分析。除了包括一致的漏洞,分析还包括存在于企业客户和第三方应用中的一些未知的漏洞,可通过主动测试其应用、库和接口来完成。
供应商实验室:大多数安全防护平台厂商提供最新的信息来支持他们的防护解决方案——例如,为提供对最新发现的威胁进行保护,黑白名单以及规则和模式都会更新。
自适应安全防护过程中的12个关键功能
为实现全面的自适应安全防护架构,实现对攻击的拦截、预防、检测和响应,我们认为如下12个特别的功能非常必要(见图5)。
图5
如下是这12种功能的简单介绍,从右上象限开始按照顺时钟指针方向开始介绍,需注意顺序不代表重要程度,对于全面防护来说他们同等重要。
- 加固和隔离系统:任何信息安全架构的初始功能都是采用多种技术降低攻击面,限制黑客接触系统、发现漏洞和执行恶意代码的能力。
无论应用在网络防护墙(只允许访问某些端口/能力)或者系统应用控制层(只允许某些应用执行,见“如何有效部署应用控制”),传统的“默认拒绝”模式(白名单)算一种有效的功能,数据加密系统也可以视做信息系统层的白名单和加固方式。
- 漏洞以及补丁管理:用于识别和关闭漏洞的漏洞及路径管理功能也可以纳入此类。结合端点隔离和沙盒技术,可主动限制网络/系统/进程/应用相互接口的能力,也是此类的另一种方式(见“面向高级攻击的虚拟化和控制系统技术概览”)。
- 转移攻击:简单来说,该领域功能可是企业在黑客攻防中获得时间上的非对称优势,通过多种技术使攻击者难以定位真正的系统核心以及可利用漏洞,以及隐藏混淆系统接口信息(如创建虚假系统、漏洞和信息)。
例如,被Juniper网络收购的Mykonos科技可以创建一个无漏洞的应用层镜像,随后提供一个活跃目标的蜜罐。Unisys Stealth可以将网络系统隐藏,而CSG's invotas解决方案整合了丰富多样的偏离技术。虽然隐藏式安全并不能根本性解决问题,这种方式也视作一种可分层的、深层防御策略。
- 事故预防:该类别覆盖多种成熟的预防方式防止黑客未授权而进入系统,包括传统的“黑白名单式”的反恶意病毒扫描以及基于网络主机的入侵预防系统。“行为特征” 也是这方面的另一层应用——例如,为防止系统和控制中心交流,可使用来自第三方知名发布的服务信息和情报并整合进入网络、网管或者基于主机的控制器。
- 事故检测:一些攻击者不可避免地会绕过传统的拦截和预防机制,这时最重要的事情就是在尽可能短的时间里检测到入侵,将黑客造成损害和泄露敏感的信息最小化。
很多技术可用在此处,但大多数依赖于自适应防护体系的核心能力即分析持续监控所收集的数据,方法包括从正常的网络和端点行为中检测出异常,检测出有外向连接到已知的危险实体,或者是检测作为潜在攻击线索的事件和行为特征的序列。
自适应安全架构的核心功能是持续而严密的监控功能,将分析那些正处于观察中的与历史数据冲突的情况,这样安全运营分析就可以辨别出那些异常情况,不仅如此,发展中的持续安全运营中心和熟练的安全运营分析人员日益成为企业的重要核心之一。
- 风险确认和排序:一旦潜在问题被检测到,就需要在不同实体中将攻击的标志关联起来进行确认,例如,首先观察在沙盒环境中基于网络的威胁检测系统所观察到进程、行为和注册实体等,然后将其和实际端口中的情况相比。
这种在网络和端点中分析情报的能力正是前不久安全阐述FireEye收购Mandian的主要原因之一,基于内外情景——例如用户、角色,信息的敏感性 将被处理和资产将进行商业分析——这些事务也会根据风险进行评估,并通知到企业,再经过可视化处理,这样安全运营分析人员就可以专注于优先处理那些优先级 最高的高风险问题。
- 事故隔离:一旦事故被识别、确认和排序,这个类别的工作将迅速隔离被感染系统和账户,防止其阻碍其他系统。常用的隔离能力包括,端点隔离、账户封锁、网络层隔离、系统进程关闭,以及立即预防其他系统执行同样的恶意软件或访问同样的被感染信息。
- 调 查/取证:当被感染的系统和账户被隔离好之后,通过回顾分析事件完整过程,利用持续监控所获取的数据,根本原因和全部缺口都终将解决。黑客是如何获得据点 的?这是个未知的漏洞还是没有打补丁的漏洞?那些文件或者可执行程序包含攻击?多少系统受到影响?那些信息泄露了?某些情况下,企业也许想更多了解黑客的 来源和动机——是否国家支持的攻击?如果是,哪个国家?都需要有历史记录的监控信息来回答这些细节信息。对于一次完整的调查,单独的网络流数据可能不够充 分(同样,对于系统监控需要全端口),需要结合附带的高级分析工具来回答。同样,如果供应商的实验室和研究团队发布了新的签名/规则/模式,也需要重新运 行历史数据以确定企业是否也曾是攻击目标,或者该攻击依然未被检测出来。
- 设计/模式改变:为预防新攻击或系统重受感染,需要更改某些策略和控制——例如,关闭漏洞、关闭网络端口、特征升级、系统配置升级、用户权限修改、用户培训修改或者提升信息防护选项的强度(例如加密)。
更高级的平台还可以自动化产生新特征/规则/模式来应对最新发现的高级攻击——其实就是通过“定制化防护”。然而,在集成新规则之前,首先要在持续监控所产生的历史数据中进行模拟攻防以主动测试其误报率和漏报率。
- 修复/改善: 当模型化并且决定生效,就开始着手实施改进了。利用新兴的安全联动系统可以将某些响应自动实施,策略更改可加入到安全策略实施点如防火墙、入侵防护系统(IPSs),应用控制或者反恶意病毒系统中。
虽然一些新兴的安全响应联动系统设计为可以自动和联动这些改善事务,但在现在这个早期阶段,企业依然更倾向于由那些安全运营专员、网络安全专员或端点支持成员来实施这些变动。
- 基 线系统:系统会不停地进行变动;新的系统(如移动设备和云服务)也将不断被引入;用户账户不停的新建和撤销;新的漏洞不断地披露;新应用部署;针对新威胁 的适应改造也一直进行着,所以,我们也应该持续对终端设备、服务器端系统、云服务、漏洞、关系和典型接口进行重定基线以及挖掘发现。
- 攻击预测:该领域正处于前沿而且日益重要。通过检测黑客的意图,关注黑客市场和公告板;对垂直行业的兴趣;以及对保护信息的类别和敏感度,这一领域内的功能在于主动预测未来的攻击和目标,使企业可以随之调整安全防护策略来应对。
例如,基于收集的情报,很有可能会有一个针对特定应用和OS的攻击,企业可以主动实施应用防火墙防护功能,加强认证授权功能或者主动屏蔽某些接入类型。
- 主动探索分析:随着内外情报的收集,需要对企业资产进行探索和风险评估以预测威胁,同时也许需要对企业策略和控制的调整。
例如,当需要新购买一套云服务时,会带来什么风险?是否需要上补充控制如加密?一个新应用无论是企业应用还是移动应用会带来什么风险?是否已经进行了漏洞扫描?是否需要应用防火墙或者端点隔离?
像同一系统一样整合使用功能
最终我们构建的不应是一个拥有分离的12个信息安全功能的解决方案。我们的最终目标是一个更具适应性的智能安全防护体系,它整合了不同的功能,共同分享信息。
例如,某个企业一开始并没有”签名“功能来预防一个漏洞,但当攻击被发现后,就可以快速通过电子取证分析获得的知识来拦截后续的感染,这就是”定制防护“。所以”签名已死“的观念是错误而夸大的,基于签名的预防技术仍然很有用,即使用于攻击突破后的防止感染扩大。
另一个例子,一个基于网络的高级威胁检测应用也能通过对终端的攻击指标的交换对比,来确认是否攻击已控制了企业系统。所以,自适应安全体系在攻击的全周期都可以发挥作用。
结 合众多领域功能的持续事务中获得的安全情报,以及不同层级安全控制中交换的情报,就阐述了对新一代情报感知安全控制(IASC:见TSP安全解决方案概要 2014),就像纤维组成绳子,不同功能的整合,功能间的情报交换,以及威胁情报在社区中的输入输出,这些优势都将构建出一个全面的更强大的安全防护体 系。
评估系统中服务商和解决方案的价值
完整的防护包括防御、检测、回溯分析和预测能力。 更多的安全平台功能覆盖多个领域或专注在某个垂直领域。例如,下一代网络安全平台应包括防火墙、入侵预防、入侵检测和内容分析能力。
这对于安全服务供应商来说来说,也是一个扩展到不同层级以整合提供跨层服务的机会。例如,一个拥有基于网络防护和端点防护功能的服务上也许可以连接两者改善其整体防护能力。如果一个服务商在某领域没有直接拥有某项能力,就应该和其他厂商合作以增强其能力。
整 合外部情景和情报也是一项关键的差异竞争力。例如,什么类型的情景——地点、时间、设备、信誉等等——供应商可否能够理解并入到其安全决策中?供应商是否 有培养一个让客户可以交换社区安全情报的云社区?该平台支持什么样的信誉流?会考虑IP、URL、设备、文件和用户信誉等信息纳入安全决策流程中吗?
最后,我们认为,下一代安全平台应提供风险排序后可执行的安全建议,这些建议由可嵌入的特定领域分析功能提供,并结合持续监控所搜集的数据。
我 们的目标不是取代传统的SIEM系统,而是提供高保障、领域专精、可执行的优先风险建议,帮助企业将其安全运营响应系统聚焦于那些会带来更高风险的威胁和 事故。SIEM依然被用于支持在不同层级监控数据中的近实时检测,但是不在是盲目地利用事件,而是优先化地、基于下一代安全平台所提供的特定领域情 报,SIEM也从而变得更加高效。
本文作者:Garner分析师Neil MacDonald, Peter Firstbrook