面对新的威胁,基于规则的传统检测手段已难满足,需要结合机器学习和其他高级分析技术,通过监控网络流量、连接和对象来找出恶意的行为迹。2018 RSA第2日,绿盟科技北美资深安全顾问Guy Rosefelt在展会上演示“全流量威胁分析解决方案 ”,并讲解了其中三项创新技术 镜像流量采集、高级威胁分析、热点事件溯源追踪 。
网络流量分析解决方案
Gartner在2017年给出的“信息安全顶级技术”中,提了一种新的网络流量分析的解决方案。
网络流量分析解决方案,通过监控网络流量、连接和对象,找出恶意的行为迹象。那些正在寻求基于网络的方法,来识别绕过周边安全性的高级攻击的企业应该考虑使用流量分析技术来帮助识别、管理和分类这些事件。
面对新的威胁,基于规则的传统检测手段已难满足,需要结合机器学习和其他高级分析技术,通过监控网络流量、连接和对象来找出恶意的行为迹象,尤其是失陷后的痕迹。
全流量分析技术及过程
在全流量威胁分析方案中,其流量威胁分析过程如下:首先对网络做监测,将网络流量全部接入到威胁分析引擎中,在规则和沙箱两个方面进行应用。同时,我们也将流量数据中的流特征信息、包头信息等关键信息都提取出来,并去除无关内容后,将包头和原始数据进行留存,最后结合攻击链行为,通过大数据分析平台,进行相应运算,以便对整个攻击行为进行回溯或者是对后续进行推测。
在某些单个案例中,通过规则引擎和沙箱进行流量解析和未知威胁检测,将流量汇聚到大数据分析平台,同时接入威胁情报,获取异常的分析,并且进行相应接入内容的检索。通过对流量原数据做回溯,可以看到以前发生过什么,当前对主机造成了哪些影响。这对传统基于规则方式的安全防护是一个很好的补充。
绿盟全流量威胁分析解决方案
绿盟科技结合以上技术,发布了绿盟全流量威胁分析解决方案(简称NSFOCUS TAM)
核心功能
- 镜像流量采集 支持对镜像流量的全流量采集及对网络层、应用层协议进行解析,并可以将采集的到的镜像流量原始数据包及解析后的协议日志进行存储。
- 高级威胁分析 基于规则引擎, 威胁情报能力,检测已知威胁;基于沙箱检测引擎、机器学习引擎检测未知威胁;最后,再通过“攻击链”引擎,对黑客的整个攻击环节进行关联,实现对高级威胁事件的全方位分析。
- 热点事件溯源追踪 基于场景分析引擎,能够将绿盟科技强大的 应急响应 通报能力进行本地化,对如“挖矿事件、永恒之蓝、Struts2”等应急事件可以先于规则引擎前进行检测,并且能够对历史流量进行回溯分析,发现历史上是否有相应事件发生。
为客户带来的价值
- 对高危事件及失陷资产进行重点通报,大幅降低需要关注的告警数量,降低运维工作量。
- 规则检测、情报分析、沙箱检测和机器学习等多引擎结合,发现高级威胁事件,提升安全检测能力。
- 通过对热点事件的追踪溯源,将原来需要人工进行的应急响应进行自动化,提升应急响应效率。
基于攻击链的安全分析
简单来说, 攻击链 就是攻击者常见攻击过程,包含信息收集、探测、渗透攻击到实施恶意行为等步骤。通常,攻击链可以以如下形式展示。不同攻击方式的攻击过程可能不同,半数攻击者每一次都会改变具体攻击方法。
网络攻击是分阶段发生,并可以通过在每个阶段建立有效的防御机制中断攻击行为。
——洛克希德.马丁
不管是侦查阶段、工具准备阶段还是攻击利用、安装后门等等阶段,我们看到的都是一个一个事件的点。而通过这种攻击链分析的方法,通过如上七步,对大量事件进行归类,进而形成一些特性,进而为黑客攻击行为的分析,提供了有效的理论支撑。
这个方案在前期应用过程中,客户已经利用TAM在其IDC中发现了一些僵尸网络;也有客户发现了一些挖矿主机,某客户称
我们搞orcale漏洞应急响应,用TAM基本上可以进行自动化,同时我们也回查了历史信息,发现历史流量中没有这个漏洞利用的行为,可以放心了
近年来,绿盟科技紧跟网络安全发展形势,在 物联网安全 、 工控安全 、 云计算安全 , 云安全服务 等方面持续发力,相继发布多款安全产品及解决方案,并向用户提供持续不断的安全服务能力。绿盟科技已成为全球少数同时具备安全产品线、安全能力、安全服务模式的安全厂商之一。