隨著內(nèi)部威脅的增加，形勢(shì)變得更加復(fù)雜。在這個(gè)BYOD的時(shí)代，一些好心的員工很可能在不經(jīng)意間就繞過(guò)了防線，將惡意代碼帶入核心網(wǎng)絡(luò)。等待惡意代碼自行現(xiàn)身無(wú)疑是老套的“城堡”法，而觀察它的表現(xiàn)行為，若有安全隱患即把它封鎖在防火墻外這樣的方式正逐漸演化為普遍而主動(dòng)的防御方式。

 

在今年六月Gartner發(fā)布的安全與威脅管理報(bào)告中，Gartner機(jī)構(gòu)的副總裁、資深分析師Neil MacDonald，描述了網(wǎng)絡(luò)安全的趨勢(shì)和最佳范本。他主張完善的保護(hù)不僅需要阻止和預(yù)防，也需要檢測(cè)和響應(yīng)。若想做到這一點(diǎn)，Neil MacDonald推薦了一個(gè)新的、更加動(dòng)態(tài)的防護(hù)方式，通過(guò)持續(xù)監(jiān)測(cè)及分析防護(hù)網(wǎng)絡(luò)核心安全。在這個(gè)模型中，安全系統(tǒng)不斷監(jiān)測(cè)內(nèi)網(wǎng)發(fā)生的狀況，從應(yīng)用程序到最終用戶設(shè)備。這明顯優(yōu)于傳統(tǒng)的SEIM收日志再關(guān)聯(lián)分析的方案。它將更多的情報(bào)直接放置到安全系統(tǒng)中，使他們能夠在本地存儲(chǔ)及處理狀態(tài)信息，并應(yīng)用大數(shù)據(jù)分析，以確定其趨勢(shì)及是否出現(xiàn)異常。

 

不同于簡(jiǎn)單的閾值比較，這種方法可以找出那些為了更準(zhǔn)確的洞察和防御而可能不被獲取的信息，MacDonald稱之為“情境感知智能”。這不僅僅是理論，各家安全廠商都在從臺(tái)式機(jī)、服務(wù)器和網(wǎng)絡(luò)收集到的數(shù)據(jù)上使用先進(jìn)的行為分析，以尋找異常的用戶和應(yīng)用程序。舉個(gè)例子，這種方式正被用在企業(yè)級(jí)防火墻上來(lái)更有效的將“好的信息”留下、除掉“壞的信息”。設(shè)備獲取技能正在為不同的應(yīng)用程序和用戶動(dòng)態(tài)地創(chuàng)建和完善一個(gè)關(guān)于 “正常”的基線。然后，用行為分析實(shí)時(shí)監(jiān)測(cè)流量來(lái)識(shí)別出之前未知的高級(jí)威脅以及異常行為。

 

行為分析這樣的技術(shù)在與高級(jí)威脅的斗爭(zhēng)中變得日趨重要，因?yàn)楝F(xiàn)在專業(yè)編寫的惡意軟件經(jīng)常使用組合方式來(lái)規(guī)避傳統(tǒng)的、基于標(biāo)識(shí)的掃描防御。尤其是，代碼變形被黑客廣泛使用，以確定任意給定的兩個(gè)惡意軟件樣本間看起來(lái)沒有相同之處。然而，許多這些差異只是他們的偽裝。Verizon公司發(fā)現(xiàn)在其2015數(shù)據(jù)泄露調(diào)查報(bào)告中，70%的攻擊來(lái)自20種惡意軟件家族的變種。雖然大多數(shù)攻擊表面上看起來(lái)不相同，但其實(shí)攻擊表現(xiàn)是相同的。這些相似之處使得識(shí)別之前未被發(fā)現(xiàn)的威脅更加容易。全球范圍內(nèi)統(tǒng)計(jì)分析的惡意軟件樣本顯示許多家族惡意軟件的行為模式可以很快的表現(xiàn)并被識(shí)別。

 

這一新的網(wǎng)絡(luò)安全設(shè)備對(duì)網(wǎng)絡(luò)實(shí)時(shí)流量進(jìn)行模式匹配，即使采用了之前從未被發(fā)現(xiàn)的模式，潛在的威脅也能被發(fā)現(xiàn)。除了可以觀察應(yīng)被鎖定的潛在威脅，這樣的網(wǎng)絡(luò)安全設(shè)備還能夠監(jiān)測(cè)網(wǎng)絡(luò)中與用戶和應(yīng)用程序有關(guān)聯(lián)的流量的行為。這些系統(tǒng)通常檢查流量中3—7層各種各樣的參數(shù)，從并發(fā)連接數(shù)和帶寬到URL格式和POST/ PUT比率。這能夠幫助檢測(cè)出不僅限于那些明顯的異常行為，例如拒絕服務(wù)攻擊和掃描等，還包括那些不易于發(fā)現(xiàn)的已成為攻擊目標(biāo)的非正常數(shù)據(jù)轉(zhuǎn)移，不論是來(lái)自惡意撰寫的程序還是人為。

 

在周邊部署中，這兩種形式的持續(xù)監(jiān)測(cè)可以互補(bǔ)：持續(xù)監(jiān)測(cè)外部威脅的侵入同時(shí)也關(guān)注內(nèi)部敏感信息的外泄。然而，在應(yīng)對(duì)內(nèi)部員工使用日漸繁多的方式進(jìn)行網(wǎng)絡(luò)信息的傳入與傳出方面，他們?cè)趦?nèi)部的安全防范中也發(fā)揮著日益重要的作用。不同于假想公司網(wǎng)絡(luò)環(huán)境是“干凈的”想法，很多組織已經(jīng)開始積極的分割他們的網(wǎng)絡(luò)，將安全監(jiān)測(cè)設(shè)備部署其中。這樣，他們可以觀測(cè)對(duì)于不同部門屬性來(lái)說(shuō)的異常行為，例如在深夜的財(cái)務(wù)部從內(nèi)部傳輸出信息或是工程系統(tǒng)的間歇性探查。

 

這種“行為智能”使主動(dòng)識(shí)別風(fēng)險(xiǎn)成為可能。不同于舊的、靜態(tài)的、需要手動(dòng)配置固定參數(shù)來(lái)搜尋的方式，自動(dòng)不間斷的監(jiān)測(cè)可以更好的解讀風(fēng)險(xiǎn)，也能夠優(yōu)先且快速的處理威脅。最終，持續(xù)監(jiān)測(cè)提供了對(duì)整個(gè)攻擊鏈條的可視化，使網(wǎng)絡(luò)安全人員立即能夠看到掃描、破壞和滲透的企圖。它會(huì)成為最好的防護(hù)實(shí)例，因?yàn)樗苯颖O(jiān)測(cè)代碼可能采取的行動(dòng)，把網(wǎng)絡(luò)安全團(tuán)隊(duì)從繁復(fù)的日志文件追查和大量的警報(bào)中解放出來(lái)，從而可以將更多的精力放在宏觀局面監(jiān)控上去，更有效的阻止攻擊。

 

（作者：山石網(wǎng)科 CTO 劉向明）