|
“威胁情报与情景感知”:信息安全之外防与内控事实上,一种理念的盛行往往是对已经存在的实践的总结和提升。 本文关键字: 信息安全 情境主要指“主体”到“客体”的访问行为情景。主体是人或应用,客体是应用或数据。情景在这里包含的因素有Who、What、To-What、When、Where等。情境分析首先关注审计客体和审计动作,以What和How为主要关联对象。 简单的情境可包括: Who,低信誉的用户(比如已经中毒的用户,发现存在攻击行为的用户) What,来自IT不支持的Linux 客户端的访问(客户端都是Win7,突然来了个Linux来访问自然不正常) To What,对敏感数据的访问(是否访问的是敏感数据) When,周日凌晨的访问(这明显不是工作时间,访问也明显异常) Where,来自没有业务的海外(这也很明显异常)。 常见的异常情景比如:登录异常行为包括:异常时间、异常IP、多IP登录、频繁登录失败等行为。业务违规行为:包括恶意业务订购、业务只查询不办理、高频业务访问、业务绕行等等。共享账号:一个账号短时间换IP,一个IP登了多个账号等。 斯诺登就是一典型的insider threats案例,按照安全设计理念,他是能被发现的,比如斯诺登经常要同事的帐号访问系统,比如斯诺登可能比一般员工更多的访问了核心服务器,比如斯诺登可能短时间内打包了很多的敏感数据等,这些行为都可以通过情景感知来发现异常。 下表列举了认证登录情景中主要关心的一些要素点: 策略类型 WHO WHEN WHERE HOW+WHAT 认证 登录 同一帐号或类型{主帐号角色、从帐号类别…} 一定时间周期 —— 1、登录成功 2、登录失败 同一帐号或类型 非工作时间段 —— —— 一定时间周期 同一地址 —— 非工作时间 同一地址 安全分析是核心能力 大数据时代数据的采集、存储、分析、呈现等等,很少有一家能完全做的了,通吃也真没必要也没能力,从细分看,做采集的可能有集成商或服务商来完成实施工作,做存储的有擅长Hadoop的来做,做分析层的需要有懂业务、了解安全的服务团队做的插件或APP来完成,数据的呈现又是专门的团队来做。 数据是金子,对安全行业依然如此。数据分析师需要了解业务、了解安全、了解算法等等各项技能。比如关联分析:用于在海量审计信息中找出异构异源事件信息之间的关系,通过组合判断多个异构事件判断操作行为性质,发掘隐藏的相关性,发现可能存在的违规行为。比如数据挖掘:基于适当的算法来对数据集进行聚类分类,能够区分异常行为和正常行为。就上图而言,中间的分析层,业内做的好的很少,这个也是数据分析师能充分发挥作用的地方。 我们的实践 事实上,一种理念的盛行往往是对已经存在的实践的总结和提升。无论是威胁情报也好,情景感知也好,事实上其核心技术在业界早有实践,只是没有如此清晰并且成趋势的被总结和表述出来。WebRAY在从事Web安全的实践过程中就已经在我们的系列安全产品中融入了安全情报体系。 WebRAY在“烽火台”网站监控预警平台体系中内置了全球的IP信誉库,并且每天更新200万条信息。监控平台会把IP信誉体系更新到各个授权防护节点,并且以可视化形态展现web访问者的信誉,从而为用户提供决策依据,将攻击扼杀在萌芽之中。 而从另一个方面, Web应用防护系统,又是非常宝贵的情报收集源头。通过我们遍布全国的4000多台WAF设备,将攻击情况定期汇总到“烽火台”系统,并通过我们的安全团队进行识别和挖掘,从而形成新的额IP信誉库,更新到烽火台,并同步到全部的WAF系统上。 当然我们也希望有一天可以把我们的威胁情报转化成直接的信息资产有价的提供给其他安全企业、管理机构、和最终用户。我认为,威胁情报的直接商品化是必然的趋势。 责编:胡雪妍 微信扫一扫实时了解行业动态 微信扫一扫分享本文给好友 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
|