隨著內(nèi)部威脅的增加，形勢變得更加復(fù)雜。在這個BYOD的時代，一些好心的員工很可能在不經(jīng)意間就繞過了防線，將惡意代碼帶入核心網(wǎng)絡(luò)。等待惡意代碼自行現(xiàn)身無疑是老套的“城堡”法，而觀察它的表現(xiàn)行為，若有安全隱患即把它封鎖在防火墻外這樣的方式正逐漸演化為普遍而主動的防御方式。

 

在今年六月Gartner發(fā)布的安全與威脅管理報告中，Gartner機(jī)構(gòu)的副總裁、資深分析師Neil MacDonald，描述了網(wǎng)絡(luò)安全的趨勢和最佳范本。他主張完善的保護(hù)不僅需要阻止和預(yù)防，也需要檢測和響應(yīng)。若想做到這一點，Neil MacDonald推薦了一個新的、更加動態(tài)的防護(hù)方式，通過持續(xù)監(jiān)測及分析防護(hù)網(wǎng)絡(luò)核心安全。在這個模型中，安全系統(tǒng)不斷監(jiān)測內(nèi)網(wǎng)發(fā)生的狀況，從應(yīng)用程序到最終用戶設(shè)備。這明顯優(yōu)于傳統(tǒng)的SEIM收日志再關(guān)聯(lián)分析的方案。它將更多的情報直接放置到安全系統(tǒng)中，使他們能夠在本地存儲及處理狀態(tài)信息，并應(yīng)用大數(shù)據(jù)分析，以確定其趨勢及是否出現(xiàn)異常。

 

不同于簡單的閾值比較，這種方法可以找出那些為了更準(zhǔn)確的洞察和防御而可能不被獲取的信息，MacDonald稱之為“情境感知智能”。這不僅僅是理論，各家安全廠商都在從臺式機(jī)、服務(wù)器和網(wǎng)絡(luò)收集到的數(shù)據(jù)上使用先進(jìn)的行為分析，以尋找異常的用戶和應(yīng)用程序。舉個例子，這種方式正被用在企業(yè)級防火墻上來更有效的將“好的信息”留下、除掉“壞的信息”。設(shè)備獲取技能正在為不同的應(yīng)用程序和用戶動態(tài)地創(chuàng)建和完善一個關(guān)于 “正常”的基線。然后，用行為分析實時監(jiān)測流量來識別出之前未知的高級威脅以及異常行為。

 

行為分析這樣的技術(shù)在與高級威脅的斗爭中變得日趨重要，因為現(xiàn)在專業(yè)編寫的惡意軟件經(jīng)常使用組合方式來規(guī)避傳統(tǒng)的、基于標(biāo)識的掃描防御。尤其是，代碼變形被黑客廣泛使用，以確定任意給定的兩個惡意軟件樣本間看起來沒有相同之處。然而，許多這些差異只是他們的偽裝。Verizon公司發(fā)現(xiàn)在其2015數(shù)據(jù)泄露調(diào)查報告中，70%的攻擊來自20種惡意軟件家族的變種。雖然大多數(shù)攻擊表面上看起來不相同，但其實攻擊表現(xiàn)是相同的。這些相似之處使得識別之前未被發(fā)現(xiàn)的威脅更加容易。全球范圍內(nèi)統(tǒng)計分析的惡意軟件樣本顯示許多家族惡意軟件的行為模式可以很快的表現(xiàn)并被識別。

 

這一新的網(wǎng)絡(luò)安全設(shè)備對網(wǎng)絡(luò)實時流量進(jìn)行模式匹配，即使采用了之前從未被發(fā)現(xiàn)的模式，潛在的威脅也能被發(fā)現(xiàn)。除了可以觀察應(yīng)被鎖定的潛在威脅，這樣的網(wǎng)絡(luò)安全設(shè)備還能夠監(jiān)測網(wǎng)絡(luò)中與用戶和應(yīng)用程序有關(guān)聯(lián)的流量的行為。這些系統(tǒng)通常檢查流量中3—7層各種各樣的參數(shù)，從并發(fā)連接數(shù)和帶寬到URL格式和POST/ PUT比率。這能夠幫助檢測出不僅限于那些明顯的異常行為，例如拒絕服務(wù)攻擊和掃描等，還包括那些不易于發(fā)現(xiàn)的已成為攻擊目標(biāo)的非正常數(shù)據(jù)轉(zhuǎn)移，不論是來自惡意撰寫的程序還是人為。

 

在周邊部署中，這兩種形式的持續(xù)監(jiān)測可以互補(bǔ)：持續(xù)監(jiān)測外部威脅的侵入同時也關(guān)注內(nèi)部敏感信息的外泄。然而，在應(yīng)對內(nèi)部員工使用日漸繁多的方式進(jìn)行網(wǎng)絡(luò)信息的傳入與傳出方面，他們在內(nèi)部的安全防范中也發(fā)揮著日益重要的作用。不同于假想公司網(wǎng)絡(luò)環(huán)境是“干凈的”想法，很多組織已經(jīng)開始積極的分割他們的網(wǎng)絡(luò)，將安全監(jiān)測設(shè)備部署其中。這樣，他們可以觀測對于不同部門屬性來說的異常行為，例如在深夜的財務(wù)部從內(nèi)部傳輸出信息或是工程系統(tǒng)的間歇性探查。

 

這種“行為智能”使主動識別風(fēng)險成為可能。不同于舊的、靜態(tài)的、需要手動配置固定參數(shù)來搜尋的方式，自動不間斷的監(jiān)測可以更好的解讀風(fēng)險，也能夠優(yōu)先且快速的處理威脅。最終，持續(xù)監(jiān)測提供了對整個攻擊鏈條的可視化，使網(wǎng)絡(luò)安全人員立即能夠看到掃描、破壞和滲透的企圖。它會成為最好的防護(hù)實例，因為它直接監(jiān)測代碼可能采取的行動，把網(wǎng)絡(luò)安全團(tuán)隊從繁復(fù)的日志文件追查和大量的警報中解放出來，從而可以將更多的精力放在宏觀局面監(jiān)控上去，更有效的阻止攻擊。

 

（作者：山石網(wǎng)科 CTO 劉向明）