王凯
网络攻击检测五大致命弱点和解决办法
王凯
IT安全如今已不再是保卫边界,而是保护公司的受攻击面。而云、移动性、BYOD(自带设备)以及促进网络架构和操作发生根本性变化的企业计算发展进步等已经让公司的受攻击面发生了极大的变化。
这意味着我们更多的是需要监视防火墙内部发生的事件,而不是哪些外部的东西正企图进来。基于“1000个光点”模型的反攻击理念与“挖护城河和建城堡”的防御模式形成了鲜明的对比。
理论上,这种发展正在加快安全公司成熟的速度,然而这种转型未必能够轻易地实现。不仅威胁情况发生了变化,领导层、技能、工具和所需预算也都在不断地发生着变化。
因此,即便在高级商店中,基于边界的防御实践仍然停滞不前。以错误想法或错误理念为基础的实践如果任其发展将会妨碍快速检测和响应。下面让我们看一下其中的一些典型错误:
解决方案:调整至“已经有受到了威胁的”心态。APT(高级持续性威胁)变得比以往更加厉害,现在已经不再是你的网络是否被攻击的问题,而是何时发生网络攻击的问题。我们应当相应地提升安全防护能力。与此同时,我们不应再将重点放在阻止渗透上,而是应当将重点放在对抗措施上,让这些对抗措施进入到你的网络当中。好消息是我们拥有一个优势,大多数损失都发生在被渗透后的数个月内。为了规避探测,更好的理解公司行为,制作出可安全抵达真正目标的路线图,黑客都倾向于使用“低强度慢速度”技术,每天只执行少量操作。
解决方案:进一步深挖根源。安全事件不能归因为错误或事故。所有的证据都应当被仔细分析,恶意意图必须要被考虑在内。由于你的安全团队并不知道所有的对抗措施,在某种意义上他们处于劣势。对于你的团队来说,关键是要认真调查他们所看到的一切,以揭示其它一些不为人知的或是未被检测到的相关要素。安全团队必须一直假设他们只看到了拼图的一半,要努力找到拼图的其它剩余部分。
解决方案:利用已知的情况。与尽可能地快速补救孤立的事件相反,安全团队应当认真监视已知的情况,力争搞清楚这些事件与环境中的其它要素之间的联系,力求发现未知的情况。例如,某个程序的IP地址与已发现的恶意程序的IP地址相同,那么我们就可认定这个程序为一个之前未掌握的恶意程序。此外,当我们发现黑客所使用的工具很容易被检测到,我们必须要考虑到黑客可能是故意使用这种工具,以此来分散和浪费防御者的精力。
解决方案:将重点放在整个攻击行为上。虽然检测恶意软件非常重要,但是将重点放在检测单个端点上的孤立行为的解决方案将无法应对复杂的黑客攻击。我们应当部署一个整体性的防御措施。利用自动化,尤其是分析和威胁情报,来查清楚整个恶意攻击行动的来龙去脉,而不仅仅是局限在代码上。注意,你的对手是人,恶意软件只是他们手中最强大的工具之一,在他们的工具箱里还有许多这样的工具。
解决方案:让调查实现自动化。由于许多安全解决方案都会产生大量零散的警报(许多是虚警),安全团队可能会花上大量的时间人工调查和验证解决方案所发现的警报。这一漫长的过程可能会严重影响安全团队解决真正问题,即是否受到了网络攻击。适当地使用自动化可以大幅提升工作效率,缩短检测与响应时间,降低在攻击中所蒙受的损失。如果预算妨碍了在这一流程中实现自动化,那么我们应当量化一下对自动化的投资价值,然后要求公司提供相应的资金。
与IT的许多领域一样,网络攻击检测即是一门艺术,也是一门科学。优秀分析师与普通分析师最大的不同之处是他的思维方式。避开这些错误思想不仅可让安全团队在进行检测时更具战略眼光,同时还可让他们更好地利用手中的资源。