网藤PRS2.0 |「场景化」风险感知,从概念到现实

2018-02-23 762665人围观 ,发现 3 个不明物体 活动

2017年12月14-15日,由FreeBuf主办的第三届年度互联网安全峰会——FIT 2018互联网安全创新大会在上海成功举办。本次大会吸引近5000人次观众以及70余位全球顶级信息安全专家与会,围绕安全展开精彩的分享讨论。

 

640.webp.jpg

在大会首日的X-TECH技术派对环节,斗象科技联合创始人兼CTO张天琪首先登台带来《大道至简:解锁「场景化」风险感知》的分享,受到与会观众的关注。

新技术环境下的威胁现状

每年,我们都会看到非常多的数据泄漏事件发生,人们对此几乎已经麻木。为何这类事件总是频繁出现?以近期爆出的Uber和大疆的数据泄漏事件进行对比分析后发现,两个数据泄漏事件产生的原因有一个共性——使用了云存储服务,而由于掌握有云存储token权限的开发人员缺乏安全意识,把token泄漏到了GitHub中,从而被其他开发人员发现并直接利用。

张天琪在演讲中表示,如今云服务已经被越来越多的企业接受应用,企业资产数据随之变得无比庞大且复杂,人为因素造成的失误泄漏难以避免,而这些看似毫无技术含量的问题却常能给企业直接造成巨大损失。

未知攻,焉知防

当前,许多公司的业务都在向应用层发展,应用层中又以Web应用攻击最为严重。随着技术进步,在Web开发领域拥有了越来越多种的前端框架、Web框架、存储组件和认证授权流程。应用构建的复杂度在提升,构建应用多样化丰富,随之而来的是威胁攻击也在持续更新升级,愈加复杂。

640.webp (1).jpg

在OWASP TOP10 2010-2017年的统计中可以明显感受到这种变化。例如CSRF一个曾经引起广泛影响的漏洞逐渐淡出了榜单,取而代之的是对漏洞进行组合利用,攻击手段更加复杂多样化的XML攻击、不安全的反序列化漏洞攻击等。这对于风险感知检测,特别是自动化的风险感知检测提出了更高的要求。传统的使用单一同步检测的手段已经不能够满足需求,异步检测,多种规则手段组合才能完成风险感知告警。

以资产为核心的新进化

早在2014年,斗象科技就提出了以资产为核心构建企业安全风险检测防御体系。彼时,许多人对此仍抱有疑问,拥有专门的运维团队和管理系统负责企业资产,为何还需要安全产品来梳理保护?经过近几年安全态势的演进发展,越来越多人意识到,资产管理并不是一件简单的事。张天琪在演讲中举例提到,“漏洞盒子的很多项目中我们时常遇到,在将漏洞提交后,由于人员变动等原因,厂商找不到其对应的源头和负责人,造成安全威胁一直都存在。”

“以资产为核心”的技术实现

资产挖掘发现

通过主动爬取与被动监测对全网资产进行深度抓取,资产挖掘不仅仅只是局限于IP、域名进行分析,而是对企业的所有资产以及指纹信息进行分析监听。

资产分解&梳理建模

通过对资产的深度分析结合企业业务对资产进行建模。

创建资产正常基线,通过一定量的数据,我们可以根据以下部分做为基线的标准:

静态属性

资产类型:通过访问与被访问的流量情况判别是服务器还是客户端

端口服务:可以通过nmap的主动扫描与被访问的端口情况,以及主动或被动识别到的服务类型、服务版本等

应用指纹

用途类别

动态属性

资产交互关系:通过协议数据统计每个资产的交互情况,建立交互关系表(包括客户端IP、主动访问的服务器IP/域名及服务、协议、时间等)

通过资产发现、威胁建模、安全监测自动化分析模式,网藤从数据和流量中帮助企业自动清点IT资产关系及网络边界,深度发现企业暴露在外设备,端口以及应用服务,智能识别资产属性以及重要度,并结合业务特点进行动态变换。

场景化安全分析&风险监测

时下,主流的安全产品都以列表的形式展示攻击事件,即一次攻击一次报警,但在实际中,攻击者并不会以列表形式进行一个个有序的攻击。由于报警信息通常按照时间排序,无法直观的分析哪些攻击是由同一个攻击者造成的。

除此之外,很多安全公司还会努力给风险感知检测产品中加入尽可能多的检测规则,这就造成告警数量成倍增加,每一条攻击报警都要溯源分析,徒增用户的工作量和困难度。

事件之间的关系比事件本身更重要。

张天琪在演讲中也呼吁安全厂商更多的关注安全事件之间的关系,利用产品帮助用户分析杂乱无章的数据,为用户输出有用的有价值的信息。

640.webp (2).jpg

在网藤PRS2.0产品中,通过图形化的展示描绘每一个资产、每一个实体数据间的关系。通过可视化的方式展示资产间的关系,用户可以直观的查看每一次数据变动来源以及对其资产造成的影响。

构建以攻击链模型为导向的风险决策系统

640.webp (3).jpg

攻击链模型

(攻击链:描述一个完整攻击流程中的每一个环节)

通过对攻击事件和传统攻击链的对比,归纳总结,将七步攻击链整合为五步引入网藤风险感知产品,即:信息侦查-载荷投递与攻击-系统控制-环境监测-数据泄漏。

640.webp (4).jpg640.webp (5).jpg

钻石模型

(钻石模型:对每一个攻击环节中的攻击事件拆分)

640.webp (6).jpg

钻石模型的帮助,对每一个攻击事件不再是单一的展示告警,而是对每一个攻击环节中的攻击事件进行拆分,从中找到攻击事件的共性,从而挖掘出攻击者。并且,利用钻石模型还能够对攻击行为进行等级划分,描绘攻击者画像。

机器学习助攻

场景化的实现缺少不了机器学习的助攻

在安全中引入机器学习遇到问题,网藤又是如何进行规避的呢?张天琪在演讲中表示,网藤风险感知产品中机器学习模型并不是盲目加入的。

对于非常确认的攻击事件,网藤依然使用传统的规则进行判断。不够明确的,无法通过规则判断的,则使用统计学的手段进行判别。当这些手段都无法识别的再引入机器学习模型进行判断。

即:将前两部的结果作为机器学习的检测数据,保证输入机器学习的数据是基本可靠的,保证机器学习检出的结果出现误报或者过度拟合的情况出现。

640.webp (7).jpg

网藤风险感知是由斗象科技团队自主研发的新一代以资产为核心的企业级全息安全监控与风险分析系统。通过网络流量监听与主动探测,侦查企业防护边界,识别风险资产、安全漏洞与运维缺陷,为企业建立集中式智能安全监控分析体系,网藤风险感知系列包含三款产品:基于公有云SaaS模式的CRS、私有化部署的ARS、及被动流量监测的PRS。

张天琪(pnig0s) 

斗象科技联合创始人兼首席技术官,应用安全专家,曾就职于知道创宇、阿里巴巴。国内首家互联网安全新媒体“FreeBuf”创办人之一,国内领先的互联网安全服务平台“漏洞盒子”,全息安全风险监控与分析系统“网藤风险感知”技术总负责人。

Qcon、GSMA、ISC、OWASP等行业峰会演讲者,多次上榜Google,Microsoft,Yahoo,Paypal等国外厂商安全名人堂,Bugcrowd MVP(最有价值专家),360 Hackpwn大赛评委

*本文作者:网藤风险感知,转载请注明来自FreeBuf.COM

这些评论亮了

  • 木千之 (5级) 人,既无虎狼之爪牙,亦无狮象之力量,却能擒狼缚虎,驯狮猎象,... 回复
    将机器学习同传统规则和统计分析结合是个好方法,至于攻击链为导向的分析的确也是研究的热点,赞!
    )8( 亮了
  • wuwu 回复
    "事件之间的关系比事件本身更重要。", 类似的 可能的数据(线索)间的关系比(可能的恶意)事件更重要,因为此时还不知道事件的好坏。 威胁发现
    )7( 亮了
  • xxx 回复
    看到图里的evil.exe就笑了
    )6( 亮了
发表评论

已有 3 条评论

取消
Loading...
css.php