安全響應團隊的好幫手:網絡取證工具
隨著惡意軟件變得越來越狡猾,甚至能夠躲避基于特征的反病毒軟件和入侵防護系統的檢查,一些企業開始利用網絡捕獲和分析工具檢測異常網絡行為,并在發生安全威脅時做出響應。網絡監控和安全威脅分析解決方案供應商NetWitness就是一家提供此類產品的公司,正與網絡監控設備提供商Solera Networks、網絡安全軟件廠商Check Point Software Technologies和高速數據包捕獲解決方案供應商Endace在網絡取證市場展開角逐。NetWitness的產品可以捕獲和存儲網絡數據包,并對其進行實時分析和檢測。最近,NetWitness的首席安全官Eddie Schwartz接受了我們的采訪。Schwartz認為,由于政府機構、大型金融企業和電信公司的安全團隊開始越來越多地使用網絡分析工具,以防范能夠突破傳統安全系統的威脅,網絡取證這一行業發展勢頭良好。Schwartz指出,基于特征的安全系統固然重要,但網絡收集和取證工具可以幫助大型企業應對未知攻擊方法的威脅。以下為采訪實錄:
請簡要介紹一下NetWitness公司的產品,貴公司的產品真的只是將取證工具部署在入侵防御系統周圍嗎?
Eddie Schwartz:權威市場研究機構Gartner將網絡數據包捕獲和分析稱為網絡取證。關于網絡取證有很多問題值得討論,但大多數問題確實和高級威脅情報有關。對于那些真正在考慮如何應對這些高級威脅的企業確來說,這些攻擊屬于復雜的威脅,可以躲過反病毒軟件和入侵檢測系統的檢查。有一種應對這些威脅的解決方案是基于全面的數據包捕獲和實時的態勢感知,我們的產品正是屬于這一類解決方案。盡管許多產品都屬于這類解決方案,但其中只有少數產品能夠處理實時事件響應或實時入侵檢測和管理,而我們的產品就具有實時事件響應能力。
您剛才提到了響應,貴公司的產品在安全威脅發生時究竟是響應還是報警?一旦談到響應,貴公司的產品不就變成了入侵防御系統嗎?
Schwartz:我不太贊成使用“防御(Prevention)”一詞,因為這個詞現在的意義過于復雜。我認為,有些簡單的措施確實可以歸類于防御,能夠阻止某些攻擊或采取某種行動。特征或定義文件就屬于這類防御性措施,它們描述了某人已受到的攻擊或者事先已對其有一定了解的攻擊。問題是,在許多情況下,如果你遇到一些此類惡意軟件的實例,你將會發現,35家防御性平臺供應商中沒有一家會真正承認這些惡意軟件,而你也只有8個小時的時間來處理這些惡意軟件造成的后果并做出響應。防御并不是最好的辦法。當對某些惡意軟件有了一定的認識和了解時,你可以將其實例輸入到一些防御性的平臺。因此,當我們談到響應時,更多的是指主動檢測然后采取必要的響應動作。有些情況下,響應可能是下列動作的組合:修改防火墻規則、書寫Snort特征、只是更加密切地監視某些軟件,或者將一些額外的威脅源輸入到你的防御性平臺,以查看此前沒有考慮到的一些新的潛在威脅方法。
您前面提到了全面的數據包捕獲,那么有沒有功能足夠強大的產品,可以收集所有數據包不丟棄任何數據包?
Schwartz:有許多方法可以實現全面的數據包捕獲。例如,我們有一個客戶,可以說是全球最大的私有IP網絡運營商之一,其總數據吞吐量為60GB/s,內部需要實時存儲到實時態勢感知網格中的數據高達1.5 PB/s(1PB=1024TB)。我們的產品完全可用于這種超大型應用環境,關鍵問題就是將其擴展到這種應用環境。要實現全面的數據包捕獲,既可以利用基于商品型設備的存儲方法,也可以利用傳統的存儲方法,例如存儲區域網絡或其他方法。使用哪種存儲方法僅僅取決于你在數據保留和用例方面的目的。有些企業的用例只限于對安全問題的事件響應,因此其存儲數據的使用壽命將短于那些用例更多的是為了典型取證或調查的企業,他們可以回溯并查看更長周期的網絡流量歷史,這些周期可能是60天、90天甚至在某些情況下更長。
有一個術語叫“高級持續性威脅(Advanced Persistent Threat,APT)”,我曾就該術語請教過一位專家,他認為安全產品供應商的營銷部門正在淡化APT的使用。您如何定義APT?
Schwartz:我認為,判斷一種攻擊是不是屬于APT,可以按照以下三個標準:第一,必須有證據表明攻擊者是特定的,而且攻擊者有一定的組織性、動機和與此相關的資金支持。第二,攻擊的目標有針對性。第三,攻擊者能夠采取各種不同類型的攻擊手段,從社會工程、惡意軟件開發到基于網絡的攻擊等等。例如,我們已經看到,一些政府客戶遭受了一系列的魚叉式網絡釣魚攻擊(Spear Phishing Attack)。這些魚叉式網絡釣魚攻擊的范圍從非常明確的社會工程攻擊到安裝惡意軟件,而這些惡意軟件是攻擊者自己開發的,此前從未在其他地方出現過。很顯然,惡意軟件具有關于企業特定資產的先驗信息——一些網絡映射工作在此之前已經完成。這些魚叉式網絡釣魚攻擊就符合我對APT的定義。
有沒有辦法將這種基于網絡設備的數據包收集和分析方法簡化為一種面向中小型企業的輕量級版本?
Schwartz:這項工作已經被納入我們的計劃之中。目前,我們的客戶主要是大型和超大型的政府機構和商業企業。我們已經在計劃開發針對特定類型用例的產品,也就是你所說的交付即用型解決方案。但是,我認為應對高級威脅沒有捷徑可走。現在,安全機構(如SANS)應該提醒用戶,不要再考慮如何通過反病毒軟件解決特定的威脅,而應該開始考慮如何獲得對其網絡的可見性。一個新興的威脅情報市場將會出現并不斷發展,人們可以在這里提供自動化的威脅情報,這些威脅情報的復雜性將前所未有。
【編輯推薦】
