VARA2017|數據分析在漏洞管理與處置中的應用

9月10日, 2017世界物聯網博覽會在江蘇省無錫市隆重召開,作為博覽會引人注目的信息安全分論壇—世界物聯網博覽會信息安全高峰論壇暨第十屆信息安全漏洞分析與風險評估大會,也同期成功舉辦。來自政府相關主管部門、重要行業、高等院校、研究機構、物聯網產業界、信息安全產業界等800多名中外嘉賓參加了論壇。

1505094832476496.png

中新網絡信息安全股份有限公司(簡稱中新網安)作為國家信息安全漏洞庫CNNVD一級支撐單位應邀出席。會中,中新網安副總裁沈傳寶在本屆信息安全漏洞分析與風險評估大會漏洞分析與CNNVD分論壇發表了關于《多維度數據分析在漏洞管理與處置中的應用》的主題演講。

1505094856513610.png


演講的主要內容

就在本周二,Struts2又爆嚴重遠程代碼執行漏洞CVE-2017-980,S2這個古老的框架被虐了一輪又一輪。朋友圈有人說,現在還敢用S2框架的,不是勇士,就是烈士。信息安全發展到現在,漏洞帶來的危害有越變越烈的趨勢。

1505094892869586.png

漏洞從“質”和“量”兩個維度都在趨于惡化,一方面從發現漏洞到攻擊程序出現的時間在不斷地縮短,加上黑產愈演愈烈,漏洞治理一直是安全攻防拉鋸的焦點;

1505094909447560.png

所有的IT變革都是為了更好的為業務支撐和服務,但是在引入新技術的時候,往往會面臨新風險,新業務的拓展增加了攻擊面和攻擊深度,在新的方案中,我們既然不可能100% 的避免漏洞的存在,那么我們就要具有快速發現和快速應急處置的能力,因為只有這樣才能優先于黑客去完成修復,否則就是一場失敗的攻堅戰;

1505094927852694.png

漏洞治理,涉及到管理、技術、流程等。我們知道任何管理需要形成閉環才能有效。從漏洞治理的角度,從漏洞的預警、檢測、管理、修復、處置后的審計,形成一個大的閉環,只有這樣才能提升漏洞管理或者漏洞治理的水平。

同樣,漏洞的治理,還需關注漏洞的根源,漏洞可以在IT運營過程中的任何一個環節產生,也可以在任何一個環節關閉,漏洞不可能永遠修復完成,也不可能無從下手,只要控制在能力發現處置范圍之內即可。

比如在漏洞檢測,傳統手段包括上線前漏洞掃描、基線檢查、Webshell檢測,后續發展為更加深入的基于SDL開發環節進行檢測能力前置,這樣會讓漏洞檢測更早完成;

1505094944293426.png

這是一份關于漏洞、攻擊和響應的報告,描述檢測和應急響應的重要性。從圖中可以看出,從漏洞的發現到攻擊工具利用,再到真正造成危機和數據泄露,還是有響應時間的,也就是說,大部分的企業,只要我們具有快速發現和快速應急處置的能力,就可以避免系統遭到嚴重的破壞。

1505094959888590.png

除了系統SDL開發過程中的安全外,上線后的系統漏洞信息的獲取方式,包括內部和外部。其中外部的漏洞信息發現主要包括工具掃描、廠商通告、安全測試和SRC響應中心。越來越多具有實力的企業開始采用眾測的方式讓互聯網眾多的白帽子來助其發現更多的的漏洞。

1505094972134032.png

除了上述方式外,我們提出在被動式流量監測方面實現對漏洞的分析、發現、處置和管理。隨著技術的發展,數據分析已經成為安全產品發展不可或缺的基礎,主要原因一方面計算能力大幅提升,另一方面開源技術的發展,包括數據存儲、分析平臺等成熟度達到可用級別,技術壁壘大大降低了,包括機器學習、深度學習等也逐步在漏洞挖掘、安全分析方面起到了實際的作用。

DN1YIB2B380W]ZF2%J`]COX.png

與傳統的流量監測型產品不同,基于被動式流量監測系統更多的采用不依賴特征簽名的新一代檢測技術,如用戶異常行為分析UEBA等。新一代安全檢測技術都是基于高級數據分析能力,我們可以根據流量中的攻擊上下文進行確認漏洞攻擊是否成功,核心技術有很多,如上下行流量對比、頁面響應特征分析、請求頻次,瀏覽器Keep-alive狀態等眾多計算維度;在遇到攻擊成功的特征時,意味著需要快速的應急響應進行止損,否則可能被攻擊者利用,解決的辦法可以是WAF攔截,虛擬補丁、代碼更新等操作;

TX6V2D12_({E(1J1P%X~0VT.png

就拿傳統的風險三要素來說,在基于數據分析的安全方案中,仍然可以以降低弱點或者將改變資產價值的屬性來降低安全風險,比如如果被攻擊的是蜜罐設備,大可不必擔心。這就好比降低資產價值(蜜罐)增加現有資產的蜜罐,會減少資產給攻擊的概率,每降低一倍,資產風險管理成本就降低一倍,每個環節降低一倍,風險就降低很多倍。

1505095031338026.png

PDR模型中,強調Pt攻擊時間需要永遠大于檢測和響應時間,如果公式不平衡,那么就會造成損失,通過多個維度對攻擊進行計算,發現不同的維度準確率不同,多維度的計算就會明顯的趨近準確。維度越多,用于輔助計算決策的數據就越多,最終結果就越準確。現有思路中,是凡安全人員1秒能夠作出的決策,由機器可以簡單完成;凡是1-60s考慮可完成的時候,需要增加多維度計算進行輔助決策;超過1分鐘決策的漏洞,暫時不能由機器完成,必須經過大量人工分析才能得出結論;

1505095055549580.png

以WannaCry勒索病毒為例,證明多維度分析的有效性。在此場景中,如果采用行為不同環節分析,那么從威脅情報開始逐步分析,即可算出大規模WannaCry的攻擊態勢;這張圖里面至少使用了,威脅情報去檢測NSA發布的攻擊工具,威脅情報發現微軟發布MS17-010。沙箱和行為發現了惡意軟件的DNS信息和沙箱被加密的情況。

1505095071954880.png

被動式流量監測系統,是一個標準的大數據基礎架構,在平臺底層有大數據架構支撐,包括了大數據采集,數據存儲,數據分析架構。將數據進行處理準確分析后,結果可視化展示。對外提供接口服務,對接威脅情報,報表系統,第三方各種API服務,專家檢索系統,信譽庫等。

系統對于黑客和正常用戶訪問業務系統的流量進行收集,通過靜態規則,動態行為分析,基線對比等方式進行攻擊情況檢測。基于被動式的流量檢測,結合多維度漏洞管理,對于漏洞進行有效識別。

1505095090877755.png

基于被動式的流量監測,可以通過非監督或單分類模型進行樣本學習實現異常檢測。訓練階段通常需要針對每個 URL,基于大量正常樣本,抽象出能夠描述樣本集的統計學或機器學習模型(Profile) 。檢測階段,通過判斷 Web 訪問是否與 Profile 相符,可識別系統攻擊異常行為。

0)W5D%)1X$L7G79RAN[MJ1I.png

基于機器學習技術的新一代 Web 入侵檢測技術,通過大量樣本進行機器學習,利用單分類模型和聚類模型。學習單類樣本的最小邊界,邊界之內為正常流量訪問,邊界之外的則識別為異常。機器學習的訓練模型,通過大量數據訓練,確定出一個正常范圍和異常范圍。落在正常范圍內的是正常流量訪問,反之則為異常。

(I{`]$_R_JBHGP@(0TFSS(E.png

常流量特征相似,異常流量各有特征。通過機器學習,學習正常流量特征,符合正常流量特征的放行。有異常特征的結合算法模型進行分析檢測。

05CT$OMUN39VDY_ZU`COC{V.png

針對木馬,病毒等非web類攻擊,系統先通過被動式流量監測及行為元數據識別異常行為。在通過多維度分析算法和機器學習模型分析后,調用掃描器對系統存在漏洞再次檢測。深度分析,定位風險。

K8(O2OS_55WDH%4GHI$7JQG.png

最后是一個多維度數據分析的實例,在某個內網中,通過FTP異常傳輸的文件名相同但大小不同的異常情況,通過沙箱發現各種異常行為,最終定位為礦機木馬的過程。


四川金7乐开奖走势