全流分析取證:高級威脅哪里跑?!
網絡安全的趨勢和技術選擇
網絡空間安全涉及的安全響應,是指在安全事件發生后,通過人工或者自動化的方式,能采取相應的措施,降低安全事件帶來的危害和影響;從啟明星辰發布的近幾年安全態勢觀察報告來看,安全響應都作為重要的一個技術領域被提及。在安全防御體系的演進中,從PPDR模型,到NIST(美國國家標準組織)定義的比較權威的IPDRR模型,都強調了安全響應是在安全事件處理中的非常重要的能力。
啟明星辰認為,在安全響應中,最主要的應用思路,是基于安全攻擊鏈模型發掘完整的攻擊過程,并針對此攻擊過程中發現的系統薄弱點,進行針對性的加固。通過一個攻擊線索,找到攻擊的利用手段和系統薄弱環節,以及安全檢測設備在此場景下的失效原因,需要全流程全維度的過程和行為追蹤,而全流量分析取證往往成為了不二之選。
圖1 :惡意軟件市場已經高度組織化(來源:啟明星辰安全態勢報告)
啟明星辰認為,基于網絡流量元數據和數據包的采集,進行流行為的安全威脅分析和取證,是未來最重要安全技術之一。Gartner的最新報告也指出:NTA(網絡流量分析)和NFT(網絡取證工具)正在逐步演變為通過采集和存儲網絡分析以外的更多數據,實現更大范圍的威脅檢測和攻擊取證能力。
傳統的“預防加檢測”有其天然局限性,“持續檢測與響應”才能應對今天不斷變化的威脅局面。
全流量分析取證在安全中的價值
1:具備完整攻擊鏈的全過程信息存儲和展示
網絡攻擊的成功實施,通常是利用系統的薄弱環節,通過多種手段最終進入系統內部,造成系統破壞或者是獲取所需信息。即使我們已經部署了防火墻、IDS、IPS、數據庫防御、郵件防御系統等產品,貌似扎緊了防御的籬笆,但面對持續的、層出不窮的高級威脅攻擊手法和樣本變體,有時還是無法阻止各類攻擊的發生,這足以說明當前攻擊形勢的復雜性和隱蔽性。通過對攻擊過程的分析和分解,洛克希德·馬丁公司提出了攻擊鏈的概念,此概念一經推出就得到了廣大安全廠商的認可;近兩年非常火熱的ATT&CK模型,也是在此技術上結合攻擊鏈的各個階段,提煉出常用的攻擊手法和方式,成為了很多安全廠商設計安全檢測設備的一個標尺。
圖2:ATT&CK在Google Trends上過去一年多的趨勢變化
然而,品類繁多復雜的安全檢測設備,往往只能覆蓋攻擊鏈的幾個過程,而無法完整的呈現出一個完整的攻擊活動。這些相互重疊的安全設備的檢測能力,往往會給攻擊者帶來可乘之機:每個設備只能展示部分相關的攻擊信息,無法完整的展示攻擊行為過程和前后的串聯關系,那么在后續的響應環節就做不到毫發無遺,只會導致同類型的攻擊讓我們疲于應付,安全事件層出不窮了。
全流量分析取證,通過存儲網絡中所有的流量(可過濾掉一些低價值的視頻流量等),實現完整的攻擊過程在網絡數據傳輸中的快照,依據一定的自動查詢規則或者是手工查詢的方式,展示出整個攻擊鏈的所有相關信息。
同時對于全流量分析取證產品,通過和傳統安全檢測設備、流量分析設備系統聯動,能實現一點檢測,全攻擊鏈還原取證的能力,實現100%準確的攻擊有效性判斷和關鍵證據的獲取,是構建攻擊活動的完整證據鏈的數據基座。
2:協助識別網絡攻擊的有效性,可實現網絡攻擊超低誤報
因為網絡業務的低時延要求,自動化攻擊行為的發生,和每年大幅增長的系統漏洞,對安全檢測設備的快速響應能力提出了更高的要求。另一方面,因為需要降低漏報率的因素,大量的攻擊誤報就成為了網絡攻擊檢測中的常態。
通過傳統安全檢測設備和全流量分析取證設備的聯動,通過對一條流的客戶端行為,服務器的行為,以及同一個客戶端&服務器端的多條流的行為的驗證,能快速準確的分析出是否是一個成功的攻擊行為:
圖3:啟明星辰全流量分析取證設備和檢測設備聯動
近年來各大安全廠商不停的在SIEM/SOAR上進行能力布局,是類似的分析取證的思路,但此類分析取證還是基于已有的網絡安全設備的日志信息等,完整性和準確性上存在一定的不足。而全流分析取證設備上有完整的攻擊過程信息,有攻擊前和攻擊后的客戶端/服務器行為,這些都能較容易的幫助安全檢測設備快速準確甄別誤報信息,真正發揮安全檢測設備的快速檢測優勢和實時的安全響應處置策略。
3:實現基于多種復雜流量組合的攻擊過程分析
全流分析取證產品在pcap原始數據、協議元數據、流統計信息等全維度信息的基礎上,可以實現在線/實時,離線/批量的安全模型分析,彌補當前網絡安全設備檢測能力的不足。
圖4:啟明星辰全流取證方案的多場景安全分析能力
基于全流分析取證產品的完整數據,可以實現由最簡單的統計分析,到最復雜的人工智能等多種場景的安全威脅分析,驗證攻擊是否成功,分析模型是否準確,能良好的解決傳統的基于特征、指紋和用戶網絡行為的攻擊檢測方式帶來的誤報和漏報的問題,此種自證能力是全流分析取證產品獨特且難以被其他產品取代的優秀能力。
