用AdaptiveSecurity来应对高级定向攻击

1、用 Adaptive-Security来应对高级定向攻击Gartner ：用自适应安全架构来应对高级定向攻击引言大多数企业在安全保护方面会优先集中在 拦截和防御（例如反病毒）以及基于策略的控制 （如防火墙），将危险拦截在外（但只是如下图示 的右上角四分之一部分）。然而，完美的防御是不可能（参见“2020安 全防御已成徒劳：通过周密普遍的监控和情报共 享来保护信息安全”）高级定向攻击总能轻而易 举地绕过传统防火墙和基于黑白名单的预防机 制。所有机构都应该从现在认识到自己处在持 续的风险状态。但情况是，企业盲信防御措施能 100%奏效，他们更加过度依赖这些传统预防机 制。结果，面对不可避免的侵害行

2、为时，大多数 的企业只有有限的能力检测和反应，随之而来是 停摆”时间变长，损失变大。图1:自适应防御系统的四个阶段（预测-> 防御-> 监控-> 回溯）实际情况中，提升后的防御、检测、响应和 预测服务都需要应对各种攻击，不管是否高级。 更重要的是不要将其视作封闭固定的功能，而应 以智能集成联动的方式工作，对于高级威胁，自 适应系统需持续完善保护功能。自适应防护架构的关键能力1 .防御能力”是指一系列策略集、产品和 服务可以用于防御攻击。这个方面的关键目标是 通过减少被攻击面来提升攻击门槛， 并在受影响 前拦截攻击动作。2 .检测能力”用于发现那些逃过防御网络 的攻击，该方面的

3、关键目标是降低威胁造成的 停摆时间”以及其他潜在的损失。检测能力非常 关键，因为企业应该假设自己已处在被攻击状态 中。3 .回溯能力”用于高效调查和补救被检测 分析功能（或外部服务）查出的事务，以提供入侵 认证和攻击来源分析，并产生新的预防手段来避 免未来事故。4 .预测能力”使系安全系统可从外部监控 下的黑客行动中学习，以主动锁定对现有系统和 信息具有威胁的新型攻击，并对漏洞划定优先级 和定位。该情报将反馈到预防和检测功能， 从而 构成整个处理流程的闭环。作为一个有价值的框架，根据自适应防护架 构将有助于企业对现有和未来的安全投入进行划分并确定投入是均衡的。不要让当前市面上的 明星”安全创业

4、公司的来确定安全投资， 机构需 评估当前的安全投入和能力来决定哪里不足。自适应架构还可以帮助企业筛选和评估安全供应 商。毫无疑问，提供多方面安全能力的供应商在 战略上优胜于只提供单方面能力的。安全防护是一项持续处理过程在持续攻击时代，企业需要完成对安全思维 的根本性切换，从应急响应”到 持续响应”，前 者认为攻击是偶发的，一次性的事故，而后者则 认为攻击是不间断的，黑客渗透系统和信息的努 力是不可能完全拦截的，系统应承认自己时刻处 于被攻击中。在这样的认知下，我们才能认清持 续监控的必要性（见图2）。Context-Aware intelligenceKnowle-dgeC&innii

5、jnttyContextThreat inreiigartc<?Info motionAnalyticsDepends news, relationshipsContinuous MonitoringModeL SimulaE电 Act, ProtectPanerns, meaningful anomaliesCollect. CorrelateLo9s, EventsUsage, Attacks. Breaches图2.自适应安全架构需要持续监控持续监控和分析是自适应安全架构的核心如图2所示，为面向高级攻击而实现真正的 自适应及基于风险的响应，下一代安全防护程序 的核心一定是持续的，主

6、动监控和可视化将持续 分析攻击痕迹，这将生成大量数据。然而，除非 配以恰当的分析（辅以外部资源如场景和社区信 息、威胁智能感知系统来提升准确度）用于提取 高执行力建议，大数据只是噪音而已。可以用多 种分析手段来处理这些数据，包括启发性方法、 统计方法、推理建模、机器学习、聚类分析、贝 叶斯建模。我们相信，今后所有高效的安全防护平台除 了包括传统的安全信息事件管理系统之外，核心 能力中都会嵌入特定领域分析系统。企业监控应转为主动式，应覆盖尽可能多的 IT栈层，包括网络活动层、端点层、系统交互 层、应用事务层和用户行为层。可视化应该包括企业和员工个人设备，并支 持跨企业数据中心和外部云服务。 未来

7、的防御不 仅要深入到控制层，还应该包括监控和可视化 （见图3）。图3.全技术层的持续监控相比传统的SIEM系统能有效监控的数据， 企业持续监控所有实体和层，所产生的数据容量 更大、周转率更高、更加多样化。这样也是为什么Gartner研究认为大数据 将带来下一代安全防护解决方案的原因之一（见 信息安全将成为一个大数据分析问题”?另一 个原因是，到2020年，为存储用于回溯分析的监控数据，40%的企业需建立专门"安全数据中 心”。通过一段时间的存储和数据分析，并融入场 景、外部威胁和社群智慧，正常”模式才能建立， 而且数据分析也可以用于分辨出从正常模式偏 离的行为。随着技术支持，这些能力

8、将逐步变得主流， 我们相信，自适应防护架构也将变成主流， 并作 为供应平台集成大量组件，并且提供可以方便使 用的嵌入式分析引擎。自适应防护架构的6种关键输入在我们揭示自适应防护架构的12个能力 前，需认识到6种关键输入也是该架构不可分割 的部分，也需要在安全选型决策中贯彻（见图4）图4誉E8wws££_qE(vIJ_n>食od箱 qF_JjopuvABacmp-81匚一占cnuJEO。心bu<l>E=虫三4m 型"LN«xt-gen9ration security protection platformsContinuous monit

9、oringEmbedded analytics策略：用于定义和描述各项组织需求包括系 统配置、补丁需求、网络活动、哪些应用允许执 行，哪些应被禁止，反病毒扫描的频率、敏感数 据保护、应急响应等等。这些策略通常源于内部 指导和外部影响，例如管理需求。策略驱动企业 安全平台如何主动预防以及响应高级威胁。场景”：基于当前条件的信息（如地点、时 间、漏洞状态等），场景感知使用额外信息提升 信息安全决策正确性。对于分辨哪些攻击逃过传 统安全防护机制，以及帮助确定有意义的偏离正常行为而不需要增加大量误报率时，对场景的利 用非常关键。社区智慧”：为更好地应对高级威胁，信息 应该是聚合的，可通过基于云的社区进

10、行分析和 分享的，理想的情况下，还应该拥有在相似行业 和地区进行信息聚合及分析的能力。这种涂包” 智能可以提升所有参与者的整体防护能力，例如 社区智慧适用来回答这样的问题：还有哪些企业同我们一样？有其他人之前碰到这样的应用 /URL/IP 地址吗？是否有一个我们的同行已经 开发出一个新方法来检测出这个高级威胁并可 分享给其他人？”因此，更好的社区可让企业分享最佳实践、 知识和技巧。规模性的社区将受益于网络效应。 有些社区是自我组织的，例如 FS-ISAC ,有些 是政府资助的，如北美计算机紧急响应小组 (US-CERT);其他有些是安全厂商创建的面向合 作伙伴和平台上开发者的生态系统。威胁情报

11、：危险情报的核心是那些提供可信 有价值的主题源，如IP地址、域、URLs、文件、 应用等等。然而，高级威胁情报服务还应提供给企业关于攻击者/机构的组织方式攻击目标等情 报（见 安全威胁情报服务提供商技术概览”）另 外，服务商还应该提供相应的指导， 帮助企业针 对性防护这些攻击。现在更多的威胁情报以可机 读的格式发布，这样可以更容易直接整合进入网 络、Web、邮件和漏洞安全平台中（见 可机读 的威胁情报技术概览”漏洞分析：该信息提供给企业对其所用到的 设备、系统、应用和接口中的漏洞进行分析。除 了包括一致的漏洞，分析还包括存在于企业客户 和第三方应用中的一些未知的漏洞， 可通过主动 测试其应用、

12、库和接口来完成。供应商实验室：大多数安全防护平台厂商提 供最新的信息来支持他们的防护解决方案 例如，为提供对最新发现的威胁进行保护， 黑白 名单以及规则和模式都会更新。自适应安全防护过程中的12个关键功能为实现全面的自适应安全防护架构， 实现对 攻击的拦截、预防、检测和响应，我们认为如下 12个特别的功能非常必要（见图5）。图5如下是这12种功能的简单介绍，从右上象 限开始按照顺时钟指针方向开始介绍，需注意顺 序不代表重要程度，对于全面防护来说他们同等 重要。加固和隔离系统：任何信息安全架构的初始 功能都是采用多种技术降低攻击面，限制黑客接 触系统、发现漏洞和执行恶意代码的能力。无论应用在网络

13、防护墙（只允许访问某些端 口/能力）或者系统应用控制层（只允许某些应用 执行，见 如何有效部署应用控制”）传统的 默 认拒绝”模式（白名单）算一种有效的功能，数据 加密系统也可以视做信息系统层的白名单和加 固方式。漏洞以及补丁管理：用于识别和关闭漏洞的 漏洞及路径管理功能也可以纳入此类。结合端点 隔离和沙盒技术，可主动限制网络/系统/进程/ 应用相互接口的能力，也是此类的另一种方式 （见 面向高级攻击的虚拟化和控制系统技术概 览”转移攻击：简单来说，该领域功能可是企业 在黑客攻防中获得时间上的非对称优势，通过多 种技术使攻击者难以定位真正的系统核心以及 可利用漏洞，以及隐藏 混淆系统接口 信息

14、（如 创建虚假系统、漏洞和信息）。例如，被Juniper网络收购的 Mykonos 科技可以创建一个无漏洞的应用层镜像，随后提 供一个活跃目标的蜜罐。Unisys Stealth 可以 将网络系统隐藏，而CSG's invotas 解决方案整合了丰富多样的偏离技术。虽然隐藏式安全并 不能根本性解决问题，这种方式也视作一种可分 层的、深层防御策略。事故预防：该类别覆盖多种成熟的预防方式 防止黑客未授权而进入系统，包括传统的 黑白 名单式”的反恶意病毒扫描以及基于网络主机 的入侵预防系统。行为特征”也是这方面的另 一层应用一一例如，为防止系统和控制中心交 流，可使用来自第三方知名发布的服务

15、信息和情 报并整合进入网络、网管或者基于主机的控制 器。事故检测：一些攻击者不可避免地会绕过传 统的拦截和预防机制，这时最重要的事情就是在 尽可能短的时间里检测到入侵，将黑客造成损害 和泄露敏感的信息最小化。很多技术可用在此处，但大多数依赖于自适 应防护体系的核心能力即分析持续监控所收集 的数据，方法包括从正常的网络和端点行为中检 测出异常，检测出有外向连接到已知的危险实 体，或者是检测作为潜在攻击线索的事件和行为 特征的序列。自适应安全架构的核心功能是持续而严密 的监控功能，将分析那些正处于观察中的与历史 数据冲突的情况，这样安全运营分析就可以辨别 出那些异常情况，不仅如此，发展中的持续安全

16、 运营中心和熟练的安全运营分析人员日益成为 企业的重要核心之一。风险确认和排序：一旦潜在问题被检测到， 就需要在不同实体中将攻击的标志关联起来进 行确认，例如，首先观察在沙盒环境中基于网络 的威胁检测系统所观察到进程、行为和注册实体 等，然后将其和实际端口中的情况相比。这种在网络和端点中分析情报的能力正是 前不久安全阐述FireEye收购Mandian的主要 原因之一，基于内外情景 例如用户、角色， 信息的敏感性将被处理和资产将进行商业分析 -这些事务也会根据风险进行评估，并通知到 企业，再经过可视化处理，这样安全运营分析人 员就可以专注于优先处理那些优先级最高的高 风险问题。事故隔离：一旦事

17、故被识别、确认和排序， 这个类别的工作将迅速隔离被感染系统和账户，防止其阻碍其他系统。常用的隔离能力包括，端 点隔离、账户封锁、网络层隔离、系统进程关闭， 以及立即预防其他系统执行同样的恶意软件或 访问同样的被感染信息。调查/取证：当被感染的系统和账户被隔离 好之后，通过回顾分析事件完整过程，利用持续 监控所获取的数据，根本原因和全部缺口都终将 解决。黑客是如何获得据点的？这是个未知的漏 洞还是没有打补丁的漏洞？那些文件或者可执行 程序包含攻击？多少系统受到影响？那些信息泄 露了？某些情况下，企业也许想更多了解黑客的 来源和动机一一是否国家支持的攻击？如果是， 哪个国家？都需要有历史记录的监控

18、信息来回答 这些细节信息。对于一次完整的调查，单独的网 络流数据可能不够充分（同样，对于系统监控需 要全端口），需要结合附带的高级分析工具来回 答。同样，如果供应商的实验室和研究团队发布 了新的签名/规则/模式，也需要重新运行历史数 据以确定企业是否也曾是攻击目标，或者该攻击 依然未被检测出来。设计/模式改变：为预防新攻击或系统重受 感染，需要更改某些策略和控制 一一例如，关闭 漏洞、关闭网络端口、特征升级、系统配置升级、 用户权限修改、用户培训修改或者提升信息防护 选项的强度（例如加密）。更高级的平台还可以自动化产生新特征/规 则/模式来应对最新发现的高级攻击一一其实就 是通过 定制化防护”

19、。然而，在集成新规则之前， 首先要在持续监控所产生的历史数据中进行模 拟攻防以主动测试其误报率和漏报率。修复/改善：当模型化并且决定生效，就开 始着手实施改进了。利用新兴的安全联动系统可 以将某些响应自动实施，策略更改可加入到安全 策略实施点如防火墙、入侵防护系统（IPSs）, 应用控制或者反恶意病毒系统中。虽然一些新兴的安全响应联动系统设计为 可以自动和联动这些改善事务，但在现在这个早 期阶段，企业依然更倾向于由那些安全运营专 员、网络安全专员或端点支持成员来实施这些变 动。基线系统：系统会不停地进行变动；新的系 统（如移动设备和云服务）也将不断被引入；用户 账户不停的新建和撤销；新的漏洞不

20、断地披露； 新应用部署;针对新威胁的适应改造也一直进行 着，所以，我们也应该持续对终端设备、服务器 端系统、云服务、漏洞、关系和典型接口进行重 定基线以及挖掘发现。攻击预测：该领域正处于前沿而且日益重 要。通过检测黑客的意图，关注黑客市场和公告 板;对垂直行业的兴趣；以及对保护信息的类别 和敏感度，这一领域内的功能在于主动预测未来 的攻击和目标，使企业可以随之调整安全防护策 略来应对。例如，基于收集的情报，很有可能会有一个 针对特定应用和OS的攻击，企业可以主动实施 应用防火墙防护功能，加强认证授权功能或者主 动屏蔽某些接入类型。主动探索分析：随着内外情报的收集，需要 对企业资产进行探索和风险

21、评估以预测威胁，同 时也许需要对企业策略和控制的调整。例如，当需要新购买一套云服务时，会带来 什么风险？是否需要上补充控制如加密？一个新 应用无论是企业应用还是移动应用会带来什么 风险？是否已经进行了漏洞扫描？是否需要应用 防火墙或者端点隔离？像同一系统一样整合使用功能PredictiveIn-liner realtime (subsecond)RetrospectiveDetectivePreventiveD刍ng A3Postincident(minutes to months)Near realtimeseconds to minutes)最终我们构建的不应是一个拥有分离的12个信息安全

22、功能的解决方案。我们的最终目标是一个更具适应性的智能安全防护体系，它整合了 不同的功能，共同分享信息。例如，某个企业一开始并没有”签名功能来 预防一个漏洞，但当攻击被发现后，就可以快速 通过电子取证分析获得的知识来拦截后续的感 染，这就是"定制防护:所以”签名已死 的观念 是错误而夸大的，基于签名的预防技术仍然很有 用，即使用于攻击突破后的防止感染扩大。另一个例子，一个基于网络的高级威胁检测 应用也能通过对终端的攻击指标的交换对比， 来 确认是否攻击已控制了企业系统。 所以，自适应 安全体系在攻击的全周期都可以发挥作用。结合众多领域功能的持续事务中获得的安 全情报，以及不同层级安全控制中交换的情报， 就阐述了对新一代情报感知安全控制（IASC :见 TSP安全解决方案概要2014）,就像纤维组成 绳子，不同功能的整合，功能间的情报交换，以 及威胁情报在社区中的输入输出，这些优势都将 构建出一个全面的更强大的安全防护体系。评估系统中服务商和解决方案的价值完整的防护包括防御、检测、回溯分析和预