網(wǎng)絡(luò)威脅就像感冒或者其他什么感染性病毒,誰也無法避免。但這是生活的一部分,它們就在那里,伺機給你來上一下,讓你的生活變得有那么點點艱難。
同時,你又不能以犧牲業(yè)務(wù)發(fā)展的方式全情投入到防范潛在風(fēng)險上。你必須在不干擾現(xiàn)有業(yè)務(wù),不妨礙未來發(fā)展的前提下保護好自己。這意味著,你得采取成熟的風(fēng)險管理方法,明智地分配預(yù)算,讓自己的IT團隊有余力支持新工作方式的同時還能為公司提供最大限度的防護。
了解攻擊鏈
在打算與風(fēng)險共存之前,你得先了解面對的風(fēng)險到底是什么樣子的,描繪出風(fēng)險演變成攻擊的可能路線圖。老牌安防公司洛克希德向軍方尋求答案,借鑒了軍方“殺傷鏈”的概念,也就是最初用于描述運動攻擊結(jié)構(gòu)的概念。
由Websense、石軟(Stonesoft)與雷神(Raytheon)新組成的安全公司Forcepoint描述的“殺傷鏈”(Kill Chain)則與洛克希德略有不同:
Forcepoint 七步殺傷鏈
1. 偵察:攻擊前期,惡意行為人將收集盡可能多的情報,摸清目標(biāo)網(wǎng)絡(luò)和組織架構(gòu)情況 -->
2. 誘騙:洛克希德描述為“武器化”,但Forcepoint認為這一階段的特征在于誘餌的創(chuàng)建,比如電子郵件、社交媒體帖子,或者其他貌似合法鏈接的發(fā)布內(nèi)容 -->
3. 重定向:洛克希德的殺傷鏈中稱這一步為“投放”。Forcepoint則強調(diào),放出的誘餌會將用戶重定向到包含了漏洞利用鏈接的頁面上去 -->
4. 漏洞利用:這一階段,漏洞利用工具包將被用于掃描目標(biāo)系統(tǒng)的弱點,謀取進入目標(biāo)系統(tǒng)的權(quán)限。網(wǎng)絡(luò)釣魚攻擊者可能會獲取到用戶憑證。惡意攻擊載荷也許會勾取到未打補丁軟件產(chǎn)品中的某個漏洞 -->
5. 安裝/釋放文件:漏洞利用工具包找到系統(tǒng)弱點,釋放惡意軟件,感染系統(tǒng),然后搜尋可提取的數(shù)據(jù) -->
6. 命令與控制:惡意載荷回連攻擊者,創(chuàng)建控制信道,讓攻擊者得以借由控制信道操縱惡意軟件,執(zhí)行最終命令 -->
7. 在目標(biāo)上的動作:索錢環(huán)節(jié)。攻擊者可利用惡意軟件在目標(biāo)系統(tǒng)里為所欲為,包括盜取數(shù)據(jù)、偷取知識產(chǎn)權(quán),或者竊取內(nèi)部資源等等。
區(qū)分不同種類的攻擊
將第二階段描述為誘騙,并采取靈活的應(yīng)對措施,可以解決洛克希德模型中一個廣受詬病的問題點——只注意到惡意軟件而排除了網(wǎng)絡(luò)釣魚攻擊。不是所有的威脅都會走完所有步驟,而且攻擊階段有可能會循環(huán)往復(fù),大大延伸了殺傷鏈7步過程的內(nèi)容。這些步驟為網(wǎng)絡(luò)罪犯提供了成百上千種在相當(dāng)長的時期內(nèi)創(chuàng)建執(zhí)行APT的方法。
安全從業(yè)人員想保護自家公司不受威脅侵害,就得從漫天方法中找出針對性的那幾個,跟大海撈針,還是撈一把針,也差不多了。他們必須識別不同類型的攻擊,在必要的地方區(qū)分開來,或者找出單個來看不顯眼,但結(jié)合上下文就昭示著大事件的那些小事件之間的聯(lián)系。
想弄清當(dāng)前狀態(tài),工具是必需的。事件關(guān)聯(lián)引擎這種好工具是必備品,但它還得用在尋找正確的事件上。
高級安全團隊能走得更為深入,將工具層當(dāng)做其他統(tǒng)計分析工具的數(shù)據(jù)源,對網(wǎng)絡(luò)正常行為進行建模。這將有助于安全團隊更容易地檢測異常行為。但這不是一蹴而就的事,模型成熟度是需要訓(xùn)練的。
通觀全局,事無巨細全盤了解,有時候是難以完成的任務(wù)??傆行┑胤绞怯^察不到的,總有些小事件無法關(guān)聯(lián)到一起。
安全團隊的預(yù)算優(yōu)先權(quán)
如果同時關(guān)注所有事件是不可能完成任務(wù),那么搞個分診臺可能是最經(jīng)濟有效的長遠之計。有頭腦的公司會給自己跨越攻擊和技術(shù)的網(wǎng)絡(luò)安全運營設(shè)定優(yōu)先級,好鋼用在刀刃上。也就是弄個鏡頭來幫自己聚焦到真正重要的事務(wù)上。
先從將你的安全活動框進一個實際的安全模型中開始,讓它們符合一個真正專注于IT安全的框架。美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST)安全框架是首選。還有一些政府工具和私人實踐操作可以幫助公司企業(yè)將其他專業(yè)領(lǐng)域的框架映射到NIST中。這里說的其他框架包括:從風(fēng)險管理角度出發(fā)的COSO,國際信息系統(tǒng)審計協(xié)會ISACA用來進行IT管控的COBIT,存儲信用卡數(shù)據(jù)的PCI-DSS,美國醫(yī)療業(yè)務(wù)的HIPPAA,美國聯(lián)邦政府安全評估和檢測標(biāo)準(zhǔn)方法FedRAMP。
所有這些都需要外部控制器接口(PCI)映射到NIST框架中。PCI能耦合所有第三方要求和內(nèi)部業(yè)務(wù)需求,讓你可以明確地選擇放置安全控制的地方。這一做法的重點在于理解該怎樣審慎而明智地將你的安全工具預(yù)算發(fā)揮最大效益。一個好的風(fēng)險評估,結(jié)合對安全工具特點的理解,能幫助首席信息安全官(CISO)理順安全支出的優(yōu)先級。
但長期來看,只做到這些或許還不足夠。攻擊者數(shù)量永遠比防御者多,資金支持也更雄厚。這是一場越來越難以贏得的貓鼠游戲。依靠各款單項最佳產(chǎn)品的組合會引發(fā)警報和網(wǎng)絡(luò)噪聲的大爆發(fā),只會增加復(fù)雜性而不是讓你的安全態(tài)勢更明朗。在非常現(xiàn)實的意義上,安全行業(yè)目前處于一種只見樹木不見森林的境地,不能及時提供可靠、可行的數(shù)據(jù)供IT人士更快地抓住威脅。一些網(wǎng)絡(luò)防御提供商已經(jīng)意識到了這一點,正在轉(zhuǎn)向用更全面的方法來更快更準(zhǔn)確地從噪音中分離出真正的威脅來。
在一些低風(fēng)險的領(lǐng)域,可用為期1年的員工培訓(xùn)對付過去,然后再推出技術(shù)解決方案進行強化,提供更多的防護。
利用自動化分析打磨直覺判斷
人的因素是很重要的。工具可以提供合適的數(shù)據(jù),但如何解釋它們?nèi)匀恍枰翡J的眼光。團隊中有那么一兩個很棒的分析師簡直價值千金。隨著安全實踐不斷進化發(fā)展,分析師將會更多地利用自動化和分析補完他們的直覺。
但要達到這么復(fù)雜的水平,外部威脅數(shù)據(jù)和內(nèi)部工具的結(jié)合不能少。我們將見證更多的信息共享。美國的ISACS已經(jīng)讓信息安全威脅共享變得更容易了。自動化、結(jié)構(gòu)化的信息共享也正在興起——采用Facebook家威脅交換(ThreatExchange)這樣的API(應(yīng)用編程接口)驅(qū)動的服務(wù),以及描述新興 安全事件的分類法和協(xié)議(STIX/IODEF/RID)。還有VERIS事件記錄語言——能讓我們在事發(fā)后吸取經(jīng)驗教訓(xùn)的語言。