攻擊者已經(jīng)在繞過(guò)傳統(tǒng)簽名和惡意軟件沙盒方面做得更好了,安全團(tuán)隊(duì)正日漸轉(zhuǎn)向基于行為的檢測(cè)模式,找到網(wǎng)絡(luò)攻擊的活躍標(biāo)志。此類(lèi)基于行為的檢測(cè)方式帶來(lái)了許多優(yōu)勢(shì)。行為檢測(cè)模型專(zhuān)注于黑客真正做了什么,而不是通過(guò)代表漏洞利用行為的一系列簽名(也被稱(chēng)為指標(biāo))來(lái)進(jìn)行查找,因?yàn)楹笳咄嬖跍蟆?/p>
比如,在邊界上的IPS錯(cuò)過(guò)一次路過(guò)下載時(shí),行為分析方法可以識(shí)別出作為受害者的終端用戶(hù)的行為開(kāi)始變得異常:有可能是嘗試訪(fǎng)問(wèn)非正常資源,或者下載了非正常數(shù)量的文件。這其實(shí)正是1980年代最初版本的入侵檢測(cè)系統(tǒng)的設(shè)計(jì)功能。
不過(guò),如果忘記了入侵行為檢測(cè)手段為什么當(dāng)年失寵,也是不明智的。通常情況下,基于用戶(hù)行為的分析識(shí)別出的是異常,而不是威脅。假設(shè)負(fù)責(zé)會(huì)計(jì)的Joe正在下載比通常更多的數(shù)據(jù),但這到底是一次攻擊的跡象,還是僅僅因?yàn)樗窃跒橐龅膱?bào)告準(zhǔn)備數(shù)據(jù)?
這種用戶(hù)行為模型可以讓我們知道發(fā)生不正常行為的時(shí)間,但它往往并不穩(wěn)定,需要分析師進(jìn)一步進(jìn)行實(shí)地調(diào)查。在現(xiàn)實(shí)世界,安全團(tuán)隊(duì)的時(shí)間和人才通常處于短缺狀態(tài),這意味著此類(lèi)異常行為將變成檢測(cè)噪音,而最終被忽視。
重新關(guān)注攻擊者行為
雖然基于終端用戶(hù)行為進(jìn)行檢測(cè)十分重要,我們?nèi)孕枰酶玫臋z測(cè)手段對(duì)其進(jìn)行補(bǔ)充,檢測(cè)攻擊者的行為。這里的攻擊者行為指的是回歸到檢測(cè)攻擊者使用的工具和技術(shù)上來(lái)。
最終,如果我們無(wú)法區(qū)好壞,那么異常將繼續(xù)成為模糊的噪音,為分析師制造更多的負(fù)擔(dān)。顯然,在大多數(shù)環(huán)境中都無(wú)法規(guī)模化地使用人工分析方法。
如果你知道該找什么,實(shí)際上惡意工具和技術(shù)擁有可以被識(shí)別的行為。比如,攻擊者經(jīng)常會(huì)依賴(lài)于自制的隧道工具來(lái)控制攻擊。這些工具是自制的,可以繞過(guò)簽名和智能掃描。不過(guò),這些工具同樣擁有一部分共享的基本行為特征。最初的連接來(lái)源于網(wǎng)絡(luò)內(nèi)部的某個(gè)受感染終端用戶(hù)設(shè)備,因此攻擊流量將與通常的互聯(lián)網(wǎng)流量融合。
在連接建立之后,遠(yuǎn)程的攻擊者可以對(duì)內(nèi)部主機(jī)進(jìn)行實(shí)時(shí)控制,操縱攻擊。從行為上來(lái)看,這個(gè)行為將會(huì)與眾不同。該連接的行為將與公司內(nèi)部人員和外部服務(wù)器進(jìn)行通信時(shí)的情況不同。事實(shí)上,該過(guò)程與之完全相反:外部的人在通過(guò)該連接控制你的網(wǎng)絡(luò)設(shè)備。如果基于歷史行為進(jìn)行分析,這種類(lèi)型的行為并不屬于異常。它之所以是一個(gè)重大威脅,實(shí)際上是因?yàn)樗旧淼男袨椤?/p>
這只是一個(gè)例子而已,但這種概念對(duì)于日常安全事件管理中無(wú)法衡量的各種類(lèi)型威脅都成立。主機(jī)訪(fǎng)問(wèn)不常訪(fǎng)問(wèn)的域名時(shí)就會(huì)變得異常。不過(guò),如果能夠識(shí)別主機(jī)正在挖比特幣,分析師就會(huì)知道真正發(fā)生的問(wèn)題是什么。僅僅是這一點(diǎn)就能幫助分析師將此事件的優(yōu)先級(jí)列到最前,避免浪費(fèi)時(shí)間的手工分析。
這里的意思并不是有一種方法比其它方法都更好,而是在說(shuō)在傳統(tǒng)的簽名和異常檢測(cè)兩者之間應(yīng)當(dāng)有一個(gè)關(guān)鍵的中間步驟。基于行為的監(jiān)測(cè)模型能夠看到簡(jiǎn)單的簽名漏掉的東西,與僅僅看著異常不同,它提供更好的可見(jiàn)性。這些是理想狀態(tài)下應(yīng)當(dāng)在企業(yè)環(huán)境中相互補(bǔ)充的方法。這給了我們檢測(cè)威脅的不同角度,并最終讓我們?cè)谕{不斷升級(jí)的過(guò)程中也能保證安全。
京公網(wǎng)安備 11010502049343號(hào)