大多數(shù)企業(yè)的安全攻擊事件都來(lái)源于外部通報(bào)结序,盡管許多企業(yè)實(shí)施了網(wǎng)絡(luò)安全措施障斋,但其發(fā)揮的價(jià)值遠(yuǎn)超期待的范疇。
攻擊>防御
企業(yè)缺乏自身的安全巡檢能力
圓通速遞徐鹤,10億條用戶信息數(shù)據(jù)外泄垃环;華住集團(tuán),140G約5億條信息外泄... 如今返敬,企業(yè)面臨著大大小小的網(wǎng)絡(luò)安全問(wèn)題遂庄。我們發(fā)現(xiàn),大多數(shù)企業(yè)的安全攻擊核心來(lái)自于外部通報(bào)劲赠,比如:監(jiān)管機(jī)構(gòu)及第三方平臺(tái)涧团、主管單位及安全服務(wù)廠商等只磷。
令人擔(dān)憂的是,企業(yè)并沒(méi)有為應(yīng)對(duì)網(wǎng)絡(luò)威脅做好準(zhǔn)備泌绣。
調(diào)查發(fā)現(xiàn)钮追,通過(guò)企業(yè)內(nèi)部安全巡檢發(fā)現(xiàn)攻擊勒索的比重只有不到5%,這也是目前很多企業(yè)存在的誤區(qū)阿迈,認(rèn)為只要自己的防火墻元媚、IPS、Waf等邊界安全建設(shè)足夠完善苗沧,就不會(huì)給攻擊者可趁之機(jī)刊棕,而對(duì)內(nèi)網(wǎng)安全建設(shè)缺乏重視。
導(dǎo)致當(dāng)依賴于已知的邊界安全產(chǎn)品失效時(shí)待逞,攻擊者極易進(jìn)入內(nèi)網(wǎng)甥角,企業(yè)面對(duì)的將是一覽無(wú)余的攻擊局面。
正常情況下识樱,安全防御者在各類應(yīng)用漏洞嗤无、主機(jī)漏洞及新型攻擊手法曝光后,對(duì)這些漏洞和攻擊行為形成快速有效的防御怜庸,盡管在這一領(lǐng)域的企業(yè)公認(rèn)需要更大程度地關(guān)注網(wǎng)絡(luò)安全当犯,但真正具備及時(shí)發(fā)現(xiàn)、修復(fù)能力的企業(yè)只占一小部分割疾。
以人工手動(dòng)排查為主嚎卫,造成安全處置不及時(shí)
在常規(guī)的安全事件響應(yīng)過(guò)程中,通過(guò)大數(shù)據(jù)檢索和預(yù)警手段分鐘級(jí)地發(fā)現(xiàn)威脅預(yù)警宏榕,但在應(yīng)急響應(yīng)拓诸、止損方面大部分企業(yè)無(wú)法做到分鐘級(jí),甚至要到小時(shí)級(jí)麻昼,而在回溯分析的調(diào)查處置中手動(dòng)人工排查需要幾小時(shí)甚至幾天恰响。
比如在金融行業(yè),運(yùn)維人員從凌晨1:00到第二天早上7:00才能得出一個(gè)報(bào)告提交給領(lǐng)導(dǎo)涌献,事件響應(yīng)團(tuán)隊(duì)往往不堪重負(fù),因?yàn)樗麄円鎸?duì)數(shù)以千計(jì)的警報(bào)首有,需聯(lián)動(dòng)數(shù)量眾多的產(chǎn)品并分析數(shù)以萬(wàn)計(jì)多源數(shù)據(jù)燕垃。
從自適應(yīng)安全入手
2016年,Gartner 提出:“安全運(yùn)營(yíng)發(fā)展趨勢(shì)的核心是自適應(yīng)安全”井联。
無(wú)論企業(yè)在安全防護(hù)和安全檢測(cè)上下多大功夫卜壕,購(gòu)買(mǎi)產(chǎn)品、解決方案和各類外包安全服務(wù)烙常,都是為了快速對(duì)安全事件進(jìn)行有效檢測(cè)和響應(yīng)轴捎,在主管單位和核心部門(mén)形成威脅預(yù)測(cè)鹤盒。
企業(yè)針對(duì)安全事件的威脅判定,大部分采用的是對(duì)IP和事件進(jìn)行阻斷侦副,但 Gartner 指出:“除了簡(jiǎn)單的阻隔方法侦锯,還應(yīng)該還原事件的本質(zhì)”。
企業(yè)應(yīng)該更加關(guān)注檢測(cè)秦驯、響應(yīng)和預(yù)測(cè)能力尺碰,將傳統(tǒng)的“觸發(fā)式事件響應(yīng)”提升為“持續(xù)響應(yīng)”,也就是說(shuō)译隘,要關(guān)注整個(gè)安全事件的持續(xù)性監(jiān)測(cè)亲桥、止損和修復(fù)能力。
同時(shí)報(bào)告還強(qiáng)調(diào)固耘,企業(yè)網(wǎng)絡(luò)题篷、終端和安全防護(hù)產(chǎn)品應(yīng)該通過(guò)情境感知關(guān)聯(lián)起來(lái),包括資產(chǎn)脆弱性厅目、威脅情報(bào)番枚,提供集成同意的預(yù)測(cè)、阻止璧瞬、檢測(cè)和響應(yīng)能力户辫,對(duì)IT環(huán)境構(gòu)建一個(gè)全面、持續(xù)嗤锉、多維度渔欢、全層次的監(jiān)控架構(gòu),涵蓋從網(wǎng)絡(luò)包瘟忱、流奥额、操作活動(dòng)/內(nèi)容、用戶行為到交易的所有層面访诱。
所以垫挨,企業(yè)需要建設(shè)一個(gè)安全運(yùn)營(yíng)平臺(tái),進(jìn)行持續(xù)監(jiān)測(cè)触菜、分析九榔,支撐起在攻防不對(duì)等情況下的威脅防御過(guò)程。
自適應(yīng)安全運(yùn)營(yíng)建設(shè)的核心工作
核心工作包括以下方面:數(shù)據(jù)采集涡相、情境融合哲泊、場(chǎng)景建模、威脅研判催蝗、響應(yīng)處置切威、態(tài)勢(shì)呈現(xiàn)。
拿一家銀行來(lái)舉例丙号,一家普通銀行的數(shù)據(jù)采集量包括數(shù)十種安全設(shè)備先朦、近萬(wàn)臺(tái)服務(wù)器缰冤,采集到數(shù)據(jù)后,按照業(yè)務(wù)喳魏、資產(chǎn)棉浸、區(qū)域或用戶自定義的維度來(lái)完成情境融合,進(jìn)而發(fā)現(xiàn)安全事件的高危攻擊截酷、威脅內(nèi)容涮拗,形成威脅研判、歷史回溯迂苛、全流量數(shù)據(jù)包解析以及對(duì)各類攻擊特征的組合分析三热,再產(chǎn)生響應(yīng)處置的流程處理機(jī)制,最后將整體的安全態(tài)勢(shì)呈現(xiàn)出來(lái)三幻。
這時(shí)就漾,建立一個(gè)自適應(yīng)安全運(yùn)營(yíng)平臺(tái),會(huì)顯得尤為重要念搬,自適應(yīng)的數(shù)據(jù)治理是建設(shè)這一整套平臺(tái)的關(guān)鍵之處抑堡。
華青融天是如何形成數(shù)據(jù)治理最佳實(shí)踐的?
華青融天從安全運(yùn)營(yíng)全棧數(shù)據(jù)內(nèi)容識(shí)別和智能解析技術(shù)中朗徊,對(duì)所有涉及的數(shù)據(jù)進(jìn)行自動(dòng)化清洗和元數(shù)據(jù)解析首妖,利用語(yǔ)義熵、時(shí)序熵和拓?fù)潇啬P蜆?gòu)建對(duì)原始數(shù)據(jù)和安全威脅數(shù)據(jù)的異常檢測(cè)爷恳,通過(guò)機(jī)器學(xué)習(xí)有缆、日志訓(xùn)練自動(dòng)識(shí)別IP,智能語(yǔ)義解析温亲,加載數(shù)據(jù)解析數(shù)量及未識(shí)別數(shù)量預(yù)警棚壁,再通過(guò)內(nèi)容映射形成數(shù)據(jù)的最佳實(shí)踐。
除了數(shù)據(jù)實(shí)踐栈虚,華青融天還有更易用袖外、智能化的安全分析,包含基于關(guān)聯(lián)規(guī)則/場(chǎng)景分析引擎和基于機(jī)器學(xué)習(xí)的行為分析引擎魂务。
在關(guān)聯(lián)規(guī)則分析引擎中曼验,不單單局限于技術(shù),更關(guān)注用戶在安全實(shí)際場(chǎng)景中落地成效粘姜。
舉個(gè)例子:門(mén)被撬了鬓照,東西被翻了,錢(qián)被偷了相艇,在這樣一個(gè)持續(xù)性的關(guān)系過(guò)程中,把事件發(fā)生的先后順序纯陨、邏輯關(guān)系坛芽、場(chǎng)景留储、IP統(tǒng)統(tǒng)關(guān)聯(lián),形成可配置化的預(yù)定義場(chǎng)景咙轩,適用于多變的用戶環(huán)境获讳,減少人工配置的復(fù)雜度。
同時(shí)活喊,利用機(jī)器學(xué)習(xí)分析異常行為丐膝,包括行為輪廓、對(duì)照分析钾菊、預(yù)測(cè)分析帅矗、安全威脅評(píng)分等,提供對(duì)原始數(shù)據(jù)的無(wú)監(jiān)督學(xué)習(xí)和定向行為場(chǎng)景的有監(jiān)督學(xué)習(xí)煞烫,用戶可根據(jù)自身的場(chǎng)景分析需要選擇維度浑此、算法進(jìn)行建模。
通過(guò)監(jiān)督和自動(dòng)化學(xué)習(xí)完成安全事件響應(yīng)
在整個(gè)自動(dòng)化響應(yīng)過(guò)程中滞详,華青融天依靠對(duì)整個(gè)事件分析原本的鏈路分析來(lái)完成凛俱。
首先,是檢測(cè)和預(yù)警料饥。通過(guò)特征分析蒲犬、關(guān)聯(lián)預(yù)警、影響性分析岸啡、優(yōu)先級(jí)定義逐步篩選出最重要的安全事件原叮;接著,是調(diào)查和取證凰狞,通過(guò)自動(dòng)化關(guān)聯(lián)數(shù)據(jù)分析篇裁、情境關(guān)聯(lián)、外部BI工具快速進(jìn)行定位赡若;第三达布,是應(yīng)急和止損,通過(guò)設(shè)備聯(lián)動(dòng)逾冬,和上級(jí)監(jiān)管單位進(jìn)行應(yīng)急預(yù)案黍聂,流程啟動(dòng);第四身腻,持續(xù)監(jiān)控和分析产还,獲取記錄證據(jù),形成對(duì)常態(tài)化攻擊手法和威脅行為的場(chǎng)景監(jiān)控嘀趟;最后脐区,根除和修復(fù),提出建議和驗(yàn)證她按。
暗流涌動(dòng)牛隅,網(wǎng)絡(luò)安全乘風(fēng)而起
華青融天希望各類威脅事件炕柔,可選擇手動(dòng)、半自動(dòng)或者完全自動(dòng)化實(shí)現(xiàn)監(jiān)督響應(yīng)機(jī)制媒佣。
企業(yè)必須對(duì)網(wǎng)絡(luò)安全采取縱深防御的方法匕累,實(shí)施多層安全機(jī)制,將預(yù)測(cè)默伍、防御欢嘿、監(jiān)控和響應(yīng)能力融為一體,構(gòu)建基于企業(yè)內(nèi)部的自適應(yīng)安全運(yùn)營(yíng)平臺(tái)也糊,而不是簡(jiǎn)單地從外部來(lái)保護(hù)炼蹦。
