灵魂拷问:如何捕捉百万合法行为的网络攻击? 银河生物

股票资讯  2021-03-10 10:56:44

对于一个拥有几万员工的大型企业来说,其IT资源每天要处理几万甚至上百万的添加、删除、修改、检查等操作,这些操作大部分是由员工的日常工作造成的,这些操作会以日志的形式记录下来。

但是如果黑客把一个窃取敏感数据的操作伪装成合法操作,他怎么可能发现呢?

先看下图。请找不同的猫。

细心的朋友可能很快就会发现,第二排最后一只猫没有眼睛,用不了一秒钟。但问题是,毕竟这只是一个3×8的矩阵。如果这里有几万甚至几百万只猫呢?找到不同的需要多长时间?

此时,需要使用一个工具-相关性分析引擎,它可以收集所有与猫相关的信息,如耳朵、眼睛、尾巴等。,进行相关分析,得到正确的结果。

01相关性分析和复杂事件处理(CEP)

首先介绍一些基本概念。

1.什么是事件?

这里的事件是IT系统中一个活动产生的一组数据,一般分为简单事件和复杂事件。简单事件一般是指数据源生成的原始数据,复杂事件是指对简单事件进行分析后生成的高级事件。防火墙事件可以记录事件的源IP,包括目的IP、目的端口和其他信息。事件体现了一个对象,该对象由特定的属性和相应的属性值组成。比如你今天上班的事件,包括什么时候起床,什么时候离开,乘坐什么交通工具,什么时候上班,工作内容,持续时间等等一系列数据。

2.什么是事件相关性分析?

事件关联是一种用于对数百台设备生成的海量日志进行关联分析,从而发现难以捉摸的攻击模式的技术。

或者举个例子。交警在追踪事故车辆时,依靠某个摄像头记录的路况往往是不够的。需要提取多台摄像机拍摄的事故车辆的镜头,甚至整合事故车辆的服装、外观等信息进行相关性分析,以恢复事故车辆的动作轨迹。

就网络安全而言,目前的网络攻击通常非常复杂,尤其是APT攻击,有些跨越时间较长,有些覆盖范围很广的入侵节点。如果只分析某一点的日志(比如EDR软件只能分析终端上的行为日志),很难还原攻击的全貌。如果能对整个内网的日志进行关联分析,就可以将所有的攻击片段组合起来,形成一个完整的全景拼图。

3.什么是复杂事件处理(CEP)?

它由四个方面组成。

一、事件的产生;二、事件的处理;第三,事件处理引擎,结合外部知识库,如资产信息、漏洞信息、威胁信息等。,管理和分析事件并输出警报或新事件;第四,报警显示和处理。或者用抓坏人的例子,也可以概括为四个步骤:第一,立案;第二,调查访问,收集证据;第三步,结合外部知识,综合分析线索,形成完整的证据链,同时锁定嫌疑人及其藏匿地点;第四,逮捕并随后移送检察院公诉和法院审判。

在早期,事件的关联处理通常基于关系数据库,运行相对较慢,不能支持海量数据的关联分析。近十年来,随着大数据技术的兴起,消息队列技术的引入,逐渐形成了复杂的事件处理,成为了当前态势感知和安全运营平台(SOC)的核心功能之一。

02网络安全场景中的复杂事件处理

网络安全场景下的CEP有三个特点。

首先是场景定制。因为安全场景和常见的业务领域有很多不同,所以它有独特的要求。比如路由器和防火墙在作为网关设备的功能上有很大的相似性,但防火墙侧重于过滤流量数据包,而路由器主要用于将数据包分配到对应的IP地址。

其次,资源有限。和其他IT组件一样,网络安全软硬件也需要消耗CPU、内存、存储、网络等基本资源。,但其运作的前提是不能过多干涉组织的主业。如果网络安全组件消耗资源过多,必然会降低业务系统的运行速度,影响办公效率,这是不可接受的。其实用户对此感受很深。比如在电脑上安装了xxx杀毒软件,经常会发现CPU和内存利用率出了问题,电脑严重卡死。但是如果买性能更好,出口带宽更大的服务器,肯定会大大增加成本。

最后,快速反应。对于网络安全事件,更快的响应速度意味着更小的损失(尤其是入侵事件)。

传统的分析过程通常以几天甚至几周为单位。但现实是,一旦企业受到网络攻击,每秒钟可能会有更多的数据泄露;对于大型工厂来说,每停工一小时,损失可达数百万。

因此,现实的需求是每小时响应,这需要一个适合网络安全领域并针对网络安全场景定制的分析引擎。

给出三种典型的网络安全场景。

第一,工作时间某个IP地址突然出现异常流量。例如,在工作时间内,一个IP在最后一个小时的平均TCP流量超过该IP在最后一周的平均TCP流量的40%,这可能意味着突发异常事件。

二是网站被攻击使用成功。比如发现网站后台服务器被攻击,被攻击后成功登录,这是一个被成功利用的事件。

第三,ransomware是在内网被发现的,感染了内网的其他主机。

这三种情况可能独立发生,也可能同时发生。所以网络安全场景中复杂的事件处理,不是简单的找不同的猫,而是找不同的狗,不同的流量,不同的访问,不同的文件等等。,但永远不知道有什么不同。

关联分析引擎的实践

为了满足网络安全场景中复杂的事件处理,祁安信推出了基于流媒体计算框架Flink的分布式关联分析引擎Sabre。它是怎么做到的?

首先是访问全部数据的能力。网络安全场景中存在各种复杂事件。为了保证分析结果的准确性,尽可能多的数据类型是基本前提,比如多源异构日志,包括账号登录、数据库查询、修改、DNS解析记录等。;资产信息,包括服务器、办公电脑、物联网终端、在线网站、应用模型和版本等。;内外威胁情报等相关内容,支持输出结果的回注分析。

这对高级威胁发现和可追溯性非常重要。APT攻击的发现往往在于一些细节,比如在北京频繁登录的一个账号突然出现在上海异地,公司内网的一台电脑突然访问了一个恶意域名,这些都可能是其被入侵的信号。如果收集的数据不完整,这些信号可能会丢失。

第二步是实时计算和实时统计。常见的计算类型分为实时计算和延迟计算。所谓延迟计算,是指对过去某一时间段在某一时间点收集到的事件的计算。这种方法类似于核酸检测。首先大规模采集咽拭子,然后检测样本。

与延迟计算相比,实时计算可以在事件发生时快速计数并输出检测结果。因此,在网络安全场景中,实时计算非常重要。对于IT系统来说,事件会不断发生,比如防火墙会不断过滤数据包,公司的办公系统会不断被访问,所以事件层出不穷。只有计算速度足够快,才能保证输出结果的实时性,这就需要强大的计算能力和性能支持。

Sabre引擎继承了Flink框架优秀的分布式扩展能力,性能可以从每秒3万个安全事件扩展到几十个集群,相当于处理能力扩展到每秒几十万个安全事件,完全可以满足大中型组织的需求。

第三步是快速建模。你不能只收集这些数据,你必须有规则。比如你要让引擎知道访问地址192.168.xx.xx是违法的,这就好比法律,规定了什么不能做,让法院在判决的时候有法可依。

当然,规则从来都不是一成不变的,也需要因地制宜,灵活设计。

在过去,从遇到问题、分析原理、寻找和确定解决方案到在线编程开发和测试,这是一个长期而耗时的项目。在Sabre的帮助下,安全分析师可以使用图形拖放(类似于Visio的感觉)将他们想要的检测场景转换成相应的检测规则,并发送给分析引擎运行。

规则主要包括三类。

第一类是规则分析基线,主要来源于分析师或外部威胁情报的经验。例如,如果威胁情报显示IP地址192.168.xx.xx是恶意IP,系统的检测规则可以检测到所有内网终端试图访问该IP地址的行为。

第二类是统计机器学习基线,主要来源于长期数据统计和机器学习。比如长期统计,一台办公电脑的平均CPU利用率是30%,极少数情况下峰值会达到80%。但是如果CPU利用率长期在70%以上,那么这台机器就有可能陷入挖掘木马。分析师也可以设置检测规则,这台电脑的CPU利用率在一段时间内不能总是在70%以上。

第三类是行为类的学习基线,利用“UEBA”技术(用户实体行为分析)检测异常行为。比如机器学习发现,一般来说,员工不会再在晚上访问内网或者下载敏感数据,所以规则应该能够检测到在非正常工作时间下载内部敏感数据的行为。

为了帮助客户快速设置规则,一方面在Sabre中预置了400+规则;另一方面,Sabre为安全分析师提供DSL(特定领域语言)。与Python、C++等通用机器语言相比,这里的DSL是专门用于安全分析领域的。它可以用极短的代码表达复杂的语义,并在分发后快速编译成规则。

随着技术水平的提高,在大多数企业网络安全运营商的实际工作中,通过很多厂商的安全产品和设备发现威胁是很正常的。但给他们带来诸多困扰的不仅仅是威胁的发现,他们更像是企业中负责网络安全的“警察”。从众多设备告警中,通过分析判断,追查源头,找到威胁来源,采取措施,最大限度减少业务系统的损失,使网络环境更加安全稳定。

然而,许多设备和系统每天都会产生大量的告警,虚警率参差不齐,这使得网络安全运营商陷入困境。

你觉得Sabre能当好警察吗?

关于作者

魏开元,胡夫智库特约作者,网络安全高级研究员。

(本文图片来自网络)


以上就是灵魂拷问:如何捕捉百万合法行为的网络攻击?银河生物的全部内容了,喜欢我们网站的可以继续关注琦媛股票网其他的资讯!

相关推荐

4比4!淘金者、御马遮阳、可靠呵护、金融天宇创业板IPO会
11月18日,首创获悉,2020年创业板上市委员会第46次审议会议已于2020年11月17日召开。北京瓦金科信息技术有限公司(以...
精密光学元件供应商腾晶科技(688195.SH)在上海证券交易所上市
3月27日,首都国家获悉,腾晶科技股份有限公司(股票简称:腾晶科技,股票代码:688195)于3月26日在上海证券交易所挂牌上市...
辽安股份与中信证券签署终止上市辅导协议
4月15日,首都国泰获悉,辽安机械股份有限公司(以下简称"辽安股份有限公司")终止了上市辅导。辽安股份拟申请首次公开发行股票并在...
悦盛理财:锂电池再次上演涨停潮。北向基金连续八周净流入
周五股指剧烈波动。早盘收盘前,有媒体报道称A股市场印花税下调,集体金融风暴带动指数脉动上涨;随后有消息称,印花税法修正案草案并未...
国盛战略:全产业链分析
简介从2020年下半年开始,各类商品价格开始回升。全球疫情节奏不一致,导致各国经济恢复错位。同时,国内碳中和政策的实施,使得原材...
盘后机构策略:市场风险偏好下降。预计市场继续维持弱势运行的概率较大
天信投资顾问指出,整体来看,周四大盘股指低开走低。盘中并无低迷的下跌趋势,继续下跌的趋势;磁盘上没有热点。属于普遍下降的格局。个...
社保基金三季度持有13只科创板股票,6只新股
据统计,三季度末,社保基金出现在13只科创板股票的前十名流通股东名单中。其中,新增6项,新增3项。在社保基金持有的科创板股票中,...
宁德时代收涨5.98%,市值破万亿!新能源ETF(515700)涨5.02%
5月31日,CapitalState获悉,今日两市主要指数上涨。沪指早盘弱势,午后在军工、光伏等概念带动下反弹,最终收涨0.41...
银行配股融资频发,或影响股价短期表现
中小银行补充资本压力加大。近期,银行配股融资频频出现。日前,青岛银行发布公告称,拟按每10股不超过3股的比例向原股东配股,募集资...

友情链接