微步在線李秋石: 如何用威脅情報應對安全事件?
責編:mhshi |2017-06-15 14:58:08
威脅情報在國內包括在國際是比較熱的一個話題,從美國和中國的威脅情報,各種各樣的廠商和解決方案一直成為了大家關注的焦點。在實踐中,我們這一次可以先給大家分享一個相關的數據和市場是有關系的。有一個朋友告訴我了,世界上有兩種類型的企業,一種是知道自己被黑了,還有一種是他不知道。這其實也就是喜歡了防御領域對檢測和響應到底是不是有足夠的認知,以及對價值是不是有足夠的認識。這是與高德納獨特的預測,高德納預測到2020年企業會持續地出現在被攻擊的狀態,它無法再自己的內網或者是自己的網絡內存在攻擊的立足點。同時,在未來3年,在國際上我們的信息安全的預算也就是說資金的方向也逐漸從防御、防御、防御轉向為檢測和響應這兩個象限。最下邊是最新的數據,2017年國際信息安全市場的規模將達到98億美金,安全服務的占比占63%,也就是說設備占比已經低于服務和解決方案了。它的增長的驅動力其實主要來自于企業的預算、由原來的防御轉向為檢測與相應以及預警。
國內的趨勢非常地明顯,我國也認識到了這個趨勢的變化,從“十三五”信息安全規劃到《安全網絡法》都已經提到了網絡安全監測預警機制。建立威脅情報的預警機制和相應的預警平臺。介紹一下我們公司,看我們公司能做什么,其實從去年一些事件中,到2016年網絡信息安全事件已經到了登峰造極的階段,除了今年的WannaCry這個事,大家都有印象它已經關系到我們的生命安全,就是在山東發生的徐玉玉被詐騙的事件,她被詐騙是山東高考信息系統被黑客入侵,轉到電話詐騙者的手里,他們利用這些信息進行詐騙從而導致了受害者的心理承受能力達到了極限,從而產生了生命安全的問題。今年也看到了國家相關的規劃,對信息安全我們欠了很多的債,包括缺乏和防御檢測機制的企業,逐步會有相應的動作和措施。我們公司是微步在線,我們目前完成了A輪的融資,我們的主要團隊是來自于微軟亞馬遜以及阿里還有美團的相關成員,我們85%是技術和安全分析人員,CEO薛峰(音)來自于公安部第三研究所,微軟中國安全總監以及亞馬遜中國首席信息安全官。我們提供的解決方案其實就是能幫助大家在徐玉玉的事件中利用威脅檢測和相應的機制,在黑客攻擊的過程中及時發現響應的指標,從而引導大家做及時的防御和處置。這皆是我剛才說的故事,其實不知道自己被黑的那些企業,作為它的甲方,也就是說我以前在企業中甲方作為信息安全的從業人員,我最痛苦的是什么?一天晚上睡覺,第二天早上起來從新聞中得到企業的數據被拖出去或者是信息泄漏了。后面更痛苦的事是CEO和董事會問這個事到底是什么原因怎么發生的?一問三不知,這個不會吧?為什么呢?因為我們不知道這次攻擊的行為是怎么發生的,它所使用的技術、相關的流程以及戰術是什么?我們無法解答這個問題,更不用說向用戶回答這個問題了。我要知道這些問題,一定要具備可指導行動的情報作為指引。退市作為別人和同行業發現問題,當你被問到的時候,往往會加一句,這種事情會發生在我們企業內嗎?應該不會,如果在座有經驗的話,信息安全是沒有辦法做到決定的。
再說一下漏洞的問題,我相信每一個甲方在手里掌握的漏洞信息,和在外界收集到的信息多的有成百上千個,少的也有幾百個,我們要先修哪一個呢?我們有足夠的資源修復嗎?我們需要有相應的時間和資源修已知的問題,況且漏洞是無法避免的問題。監測與響應的重要性,我的信息安全團隊要有科學的KPI。我們分享一個數據就是MTTD,平均安全威脅發現時間,這是有可被衡量和參考的數據的。根據Mandiant2017年發布的數據,亞太企業平均發現威脅的時間是217天,為什么有這么長這和網絡攻擊殺傷鏈是有關系的。我發現這個威脅的時候,去處置和相應往往需要7到30天,我的資源有限,不知道原因不知道背景是什么,之前所有的防御手段是阻斷阻斷阻斷,但我并不知道是為什么來得,更別說在根本上進行處置了響應了。平均的時間如果說有科學的考核機制,其實對應的信息安全團隊我們所做的目標和投入方向是可被參考和可被量化的。
這是我說的網絡攻擊殺傷鏈,里面有非常科學的模型來做的,一個黑客和攻擊者從發現這個企業的目標,到進入這家企業摸清的架構,再到供應的立足點,再直接地找到攻擊的敞口,需要非常長的時間,不是說上一秒決定攻擊,下一秒就搞定企業的。我們有不同的類型,當然如果你得罪了某個員工就不用說了,這是非常非常有針對性的,只針對這家企業或者是某個老板進行攻擊,這個情況是比較特殊了。我們看到中間這個維度,有針對的黑客和犯罪組織他的攻擊范圍有一些是針對行業的,有批量性的,但也是有針對性的。我們從防御的角度如何在第一時間定性這個攻擊,將直接決定了我們的響應級別。網絡攻擊殺傷鏈頭三步可以忽略,第四步開始,我們可以看到某個釣魚或者是惡意程序或者是某個賬戶被誘騙,這些信息對甲方來說包括對用戶來說往往是大量的,是非常復雜的噪聲,也就是說,我可能完全無法區分到底是一個普通的惡意程序,還是一個非常有針對性的,背后有組織的攻擊行為,再下一步就是可能會產生小規模的失竊情況,這時候我們就可以進行非常有效的檢測和響應了。第六步是遠程控制,這個指標就更明顯了。這類似于在航空業有一個習慣,每一個重大安全事件之前是有上千個故障征兆的,這個如何有效的發現?是情報驅動的檢測機制能給大家帶來的收益和價值。
舉一個案例,有一個中關村的上市公司,在內部網絡服務器中利用威脅情報中心,在服務器上發現了一個惡意程序,這個惡意程序可以有兩種響應決定市,可能是一個小黑客或者是做一個實驗的行為,也有可能是針對公司的行為,他在第一時間做響應的時候脫不了殼,我們做了第一時間的響應和相關的分析,發現這個水平是非常高的,是具備了專業黑客攻擊水平的,有可能是由某個國家自治的攻擊行為。這個行為就拉響了最高級別的警報,2000臺生產服務器進行了排查,最后發現2000臺全部被控制,這個定性被發現,這個攻擊不是竊取信息的行為,是一個利用高級工具截取服務器的流量給境外賭博網站進行導流的行為,這是騙錢的行為,對整個的響應是非常具備參考價值的。
再舉一個例子就是WannaCry,我們的角度不一樣,以情報驅動的響應和處置其實是和甲方直接相關的。我們所服務的幾個大型企業是有上百臺上千臺的終端,甲方的人員已經被叫來響應了,對他來說信息已經飽和,各種各樣的關于WannaCry的報告鋪天蓋地,到底有哪一條是值得參考的,哪一條應該去按照他的指引去操作,這個也是他所面臨的問題。還有一個最重要的問題是,可能在內網是隔離,可是有很多BYOD的客戶,很多員工的電腦,周末可能會拿回家。但是WannaCry這次攻擊的惡意程序首先會連接秘密開關,如果是聯通是可以不加密,如果聯不通可以加密。這都是內網隔離的企業,沒有部署相應的措施的。我們的客戶第一時間以情報驅動的響應機制是什么呢?IT人員就會在內部配置相應的對開關以及變種程序所使用的開關的程序解析,保證證券公司在開戶前所有的員工和設備是可以聯通這個開關的,在內部做了解析。我新連入的設備不會加密,同時再做一些后續的處置措施。我們的客戶實現了保障數百萬臺的設備,以后在整個網絡做了相應的監測,知道自己到底有多少的內網設計是可以聯系開關的,明確定位哪些是視線主機。再套用自適應網絡安全模型ASA,以WannaCry這個事件為例,是怎么進行響應的?防御環節能打補丁打補丁,很多的設備如果沒有完善的補丁管理體系,是沒有辦法任何的設備是可以打好補丁的,這個是防御環境我們可以做的。監測環節是利用我們的開關和秘密開關做相應的監測,發現我的內部網絡到底有多少連接的設備,我們會精準定位我的網絡里有多少的事件主機響應做什么呢?屏蔽445的端口,我們再利用自己的變種和開關,對相應的木馬和樣本進行分析。我們也把我們和客戶的實踐經驗在這里拋出來,供大家做研判。
另外一個案例是hao123掛馬我們另外一個客戶在百度的事件發生了以后,半夜12點說我要做應急響應,考研我們的MTTD和MTTR響應,我們的分析師發現了所有的攻線指標和黑客所使用的網絡資產,也就是說hao123有多少的域名、木馬都是它的資產,當你都掌握了之后,他更換攻擊成本和事件成本也是非常高的。我們的客戶利用威脅情報和現有的下一代防火墻進行了聯動,實現了8小時的內網聯動處置。這個事情是發生了,我們利用了8個小時,遠低于亞太地區所有企業的響應時間,我們現在可以拍著胸脯說可以不受hao123事件影響了。殺傷鏈第四步發生的時間是什么?是43天之前,這個遠低于業內平均水平了,在整個的行業里,在亞太地區是有172天,北美地區信息安全這么發達的地區要用99天,這就是量化我們用情報驅動的,我們新的檢測和響應的安全機制到底做什么?
2015年蘋果的開發工具受了感染,12306、滴滴和使用的微信都受到了影響,這個事件是非常典型的在2015年9月18日這個事件被偶然的機會發現。我們在座溯源分析的時候發現,他在2015年2月26日就開始進行了這次攻擊,并且所有的攻擊資產和網絡攻擊就開始了。沒有任何人在做這件事情。
大家會問一個問題,微步在線是如何做到這件事的這是我接到的最多的問題我能說的就是這些,我們有強大的自研和分析的能力,我們既分析情報又是情報的生產者。我們匯集了全球優秀的安全廠商和合作伙伴,包括管理了超過200家的情報源,我們自己又有非常強大的樣本分析和溯源的能力,包括云端計算的資源是非常非常龐大的,有沙箱,包括了基礎的網絡數據,包括了PDS數據和歷史數據,這對溯源是非常有用的。我們有威脅分析平臺,這也是唯一開放的綜合性的分析平臺,大家都可以注冊賬號進行免費的試用。我們在按黑客棧事件、Gost和孟加拉央行的事件進行了全程的跟蹤和相應的客戶企業和監管部門進行了實時的聯動。
目前我們的主要產品的實現方式是威脅情報平臺,也叫威脅情報中心,這是部署在客戶的DMZ區域,內部網絡在本地實現內部檢測,你把你的血將抽出來,放到威脅情報中心,我們把疫苗打到威脅情報中心,進行實時響應。同時有內部溯源的功能,如果我們發現了報經,這個報警和每天發生1000個是不同的,它是正在發生或即將發生的威脅。和遠程控制服務端的連接的行為和內部植入的攻擊立足點,比1000個報警都有價值,我們包括了SIM和SOFT研究,如果沒有這些大數據平臺也可以進行部署和響應,因為它可以幫助你從大量的日至中解脫出現,發現最重要的火苗在哪里。我告訴你就是火苗在哪里。
