“威胁情报与情景感知”：信息安全之外防与内控

来源：互联网

2015/5/28 9:42:51

事实上，一种理念的盛行往往是对已经存在的实践的总结和提升。

本文关键字：信息安全

RSA归来话感受

RSA过去有一段时间了，但是给我留下的冲击仍然很大。作为第一次参加RSA的国内厂商，WebRAY能得以有机会在全球最大的信息安全展会上展示自己，这让我感到自豪，同时也非常感谢中关村管委会给我们的大力支持。而同时，这也是一次全面学习国际信息安全发展趋势的大好机会。随着时间的过去，许多类似于砸盒子的噱头慢慢淡去，而真正给我留下印象的是两个关键词：“威胁情报”和“情景感知”。

高级的定向攻击使“防范”为中心的策略已经过时。安全是对抗，不可能完全防范。做安全的思路应该从防止安全入侵这种不可能的任务转到了防止损失这一关键任务上，防范措施必不可少，但是基于预警、响应的时间差更关键。从未来看，企业安全将会发生一个大的转变：即以“信息和人”为中心的安全策略，结合全面的内部监控和安全情报共享。全方位的内部监控和安全情报是保护信息安全的主要手段。实际的安全工作中，很多用户知道要严防死守外部侵袭，但往往忽略了内部威胁对系统造成的破坏，实际上大多数安全威胁都来自内部。外部的防御与内部的控制（内部异常行为的发现与处置）都很重要。

针对外部的攻击（即外防），主要通过获取威胁情报，依靠专业的安全分析团队，分析之后形成情报的处置决策，并通过网络安全设备或终端上的安全软件来执行决策(Action)，达到针对高级攻击的防范。

内部异常行为的监控（即内控）:内部的异常行为造成的破坏是安全事故最大的来源，外部攻击者发起APT攻击，其中的部分环节Delivery、Exploitation、Installation、Command and Control (C2)、Actions on Objectives都需要通过“内部行走”才能接触到敏感数据达到盗取或破坏的目的；同时企业内部的威胁源包括可能准备离职有恶意的内部人员、内部人员的长期慢速的信息泄露、内部攻击也可能具备内部访问权限的合作伙伴或者第三方发起。如果通过制定不同的情景，通过获取样本，建立正常行为模型，然后分析内部网络流量或终端服务器上的行为，并发现异常，情景感知（Context-Aware）是安全监测的很重要触发点。

外防：威胁情报

大家谈到APT的监测与防御时，其实最难的是“P”,攻击者可以花足够长的时间来进行“低速”攻击，传统的监测手段不可能发现，同时要做审计的话需要足够长时间的数据，这个数据到底多大又是个问题。没有集体共享的威胁和攻击的情报，单个组织将无法保卫自己。Gartner也预测为大量企业提供可视化的威胁和攻击情报的安全服务商将更受市场的欢迎。安全情报以“空间”换“时间”，用协作来应对APT攻击的“P”。

针对外部的攻击，通过获取威胁情报，依靠专业的安全分析团队，分析之后形成情报的处置决策(action)，并通过网络安全设备或终端上的安全软件来执行决策。整个过程可以通过机器的自动化执行。

威胁情报一般包括信誉情报（“坏”的IP地址、URL、域名等，比如C2服务器相关信息）、攻击情报（攻击源、攻击工具、利用的漏洞、该采取的方式等）等。我们经常可以从CERT、安全服务厂商、防病毒厂商、政府机构和安全组织那里看到安全预警通告、漏洞通告、威胁通告等等，这些都属于典型的安全威胁情报。而随着新型威胁的不断增长，也出现了新的安全威胁情报，例如僵尸网络地址情报（Zeus/SpyEye Tracker）、0day漏洞信息、恶意URL地址情报，等等。这些情报对于防守方进行防御十分有帮助，但是却不是单一的一个防守方自身能够获取和维护得了的。因此，现在出现了安全威胁情报市场，有专门的人士、公司和组织建立一套安全威胁情报分析系统，获得这些情报，并将这些情报卖给作为防守方的企业和组织。安全威胁情报市场现在是一个很大的新兴安全细分市场。

国外安全威胁情报的来源，简单总结如下（含开源及商业）

? OSINT

? Dell SecureWorks

? RSA NetWitness Live/Verisign iDefense

? Symantec Deepsight

? McAfee Threat Intelligence

? SANS

? CVEs, CWEs, OSVDB (Vulns)

? iSight Partners

? ThreatStream

? OpenDNS

? MAPP