<samp id="wauki"></samp>
<samp id="wauki"><noscript id="wauki"></noscript></samp>

網藤PRS2.0 |「場景化」風險感知,從概念到現實

2018-02-23 821428人圍觀 ,發現 3 個不明物體 活動

2017年12月14-15日,由FreeBuf主辦的第三屆年度互聯網安全峰會——FIT 2018互聯網安全創新大會在上海成功舉辦。本次大會吸引近5000人次觀眾以及70余位全球頂級信息安全專家與會,圍繞安全展開精彩的分享討論。

 

640.webp.jpg

在大會首日的X-TECH技術派對環節,斗象科技聯合創始人兼CTO張天琪首先登臺帶來《大道至簡:解鎖「場景化」風險感知》的分享,受到與會觀眾的關注。

新技術環境下的威脅現狀

每年,我們都會看到非常多的數據泄漏事件發生,人們對此幾乎已經麻木。為何這類事件總是頻繁出現?以近期爆出的Uber和大疆的數據泄漏事件進行對比分析后發現,兩個數據泄漏事件產生的原因有一個共性——使用了云存儲服務,而由于掌握有云存儲token權限的開發人員缺乏安全意識,把token泄漏到了GitHub中,從而被其他開發人員發現并直接利用。

張天琪在演講中表示,如今云服務已經被越來越多的企業接受應用,企業資產數據隨之變得無比龐大且復雜,人為因素造成的失誤泄漏難以避免,而這些看似毫無技術含量的問題卻常能給企業直接造成巨大損失。

未知攻,焉知防

當前,許多公司的業務都在向應用層發展,應用層中又以Web應用攻擊最為嚴重。隨著技術進步,在Web開發領域擁有了越來越多種的前端框架、Web框架、存儲組件和認證授權流程。應用構建的復雜度在提升,構建應用多樣化豐富,隨之而來的是威脅攻擊也在持續更新升級,愈加復雜。

640.webp (1).jpg

在OWASP TOP10 2010-2017年的統計中可以明顯感受到這種變化。例如CSRF一個曾經引起廣泛影響的漏洞逐漸淡出了榜單,取而代之的是對漏洞進行組合利用,攻擊手段更加復雜多樣化的XML攻擊、不安全的反序列化漏洞攻擊等。這對于風險感知檢測,特別是自動化的風險感知檢測提出了更高的要求。傳統的使用單一同步檢測的手段已經不能夠滿足需求,異步檢測,多種規則手段組合才能完成風險感知告警。

以資產為核心的新進化

早在2014年,斗象科技就提出了以資產為核心構建企業安全風險檢測防御體系。彼時,許多人對此仍抱有疑問,擁有專門的運維團隊和管理系統負責企業資產,為何還需要安全產品來梳理保護?經過近幾年安全態勢的演進發展,越來越多人意識到,資產管理并不是一件簡單的事。張天琪在演講中舉例提到,“漏洞盒子的很多項目中我們時常遇到,在將漏洞提交后,由于人員變動等原因,廠商找不到其對應的源頭和負責人,造成安全威脅一直都存在。”

“以資產為核心”的技術實現

資產挖掘發現

通過主動爬取與被動監測對全網資產進行深度抓取,資產挖掘不僅僅只是局限于IP、域名進行分析,而是對企業的所有資產以及指紋信息進行分析監聽。

資產分解&梳理建模

通過對資產的深度分析結合企業業務對資產進行建模。

創建資產正常基線,通過一定量的數據,我們可以根據以下部分做為基線的標準:

靜態屬性

資產類型:通過訪問與被訪問的流量情況判別是服務器還是客戶端

端口服務:可以通過nmap的主動掃描與被訪問的端口情況,以及主動或被動識別到的服務類型、服務版本等

應用指紋

用途類別

動態屬性

資產交互關系:通過協議數據統計每個資產的交互情況,建立交互關系表(包括客戶端IP、主動訪問的服務器IP/域名及服務、協議、時間等)

通過資產發現、威脅建模、安全監測自動化分析模式,網藤從數據和流量中幫助企業自動清點IT資產關系及網絡邊界,深度發現企業暴露在外設備,端口以及應用服務,智能識別資產屬性以及重要度,并結合業務特點進行動態變換。

場景化安全分析&風險監測

時下,主流的安全產品都以列表的形式展示攻擊事件,即一次攻擊一次報警,但在實際中,攻擊者并不會以列表形式進行一個個有序的攻擊。由于報警信息通常按照時間排序,無法直觀的分析哪些攻擊是由同一個攻擊者造成的。

除此之外,很多安全公司還會努力給風險感知檢測產品中加入盡可能多的檢測規則,這就造成告警數量成倍增加,每一條攻擊報警都要溯源分析,徒增用戶的工作量和困難度。

事件之間的關系比事件本身更重要。

張天琪在演講中也呼吁安全廠商更多的關注安全事件之間的關系,利用產品幫助用戶分析雜亂無章的數據,為用戶輸出有用的有價值的信息。

640.webp (2).jpg

在網藤PRS2.0產品中,通過圖形化的展示描繪每一個資產、每一個實體數據間的關系。通過可視化的方式展示資產間的關系,用戶可以直觀的查看每一次數據變動來源以及對其資產造成的影響。

構建以攻擊鏈模型為導向的風險決策系統

640.webp (3).jpg

攻擊鏈模型

(攻擊鏈:描述一個完整攻擊流程中的每一個環節)

通過對攻擊事件和傳統攻擊鏈的對比,歸納總結,將七步攻擊鏈整合為五步引入網藤風險感知產品,即:信息偵查-載荷投遞與攻擊-系統控制-環境監測-數據泄漏。

640.webp (4).jpg640.webp (5).jpg

鉆石模型

(鉆石模型:對每一個攻擊環節中的攻擊事件拆分)

640.webp (6).jpg

鉆石模型的幫助,對每一個攻擊事件不再是單一的展示告警,而是對每一個攻擊環節中的攻擊事件進行拆分,從中找到攻擊事件的共性,從而挖掘出攻擊者。并且,利用鉆石模型還能夠對攻擊行為進行等級劃分,描繪攻擊者畫像。

機器學習助攻

場景化的實現缺少不了機器學習的助攻

在安全中引入機器學習遇到問題,網藤又是如何進行規避的呢?張天琪在演講中表示,網藤風險感知產品中機器學習模型并不是盲目加入的。

對于非常確認的攻擊事件,網藤依然使用傳統的規則進行判斷。不夠明確的,無法通過規則判斷的,則使用統計學的手段進行判別。當這些手段都無法識別的再引入機器學習模型進行判斷。

即:將前兩部的結果作為機器學習的檢測數據,保證輸入機器學習的數據是基本可靠的,保證機器學習檢出的結果出現誤報或者過度擬合的情況出現。

640.webp (7).jpg

網藤風險感知是由斗象科技團隊自主研發的新一代以資產為核心的企業級全息安全監控與風險分析系統。通過網絡流量監聽與主動探測,偵查企業防護邊界,識別風險資產、安全漏洞與運維缺陷,為企業建立集中式智能安全監控分析體系,網藤風險感知系列包含三款產品:基于公有云SaaS模式的CRS、私有化部署的ARS、及被動流量監測的PRS。

張天琪(pnig0s) 

斗象科技聯合創始人兼首席技術官,應用安全專家,曾就職于知道創宇、阿里巴巴。國內首家互聯網安全新媒體“FreeBuf”創辦人之一,國內領先的互聯網安全服務平臺“漏洞盒子”,全息安全風險監控與分析系統“網藤風險感知”技術總負責人。

Qcon、GSMA、ISC、OWASP等行業峰會演講者,多次上榜Google,Microsoft,Yahoo,Paypal等國外廠商安全名人堂,Bugcrowd MVP(最有價值專家),360 Hackpwn大賽評委

*本文作者:網藤風險感知,轉載請注明來自FreeBuf.COM

這些評論亮了

  • 木千之 (5級) 人,既無虎狼之爪牙,亦無獅象之力量,卻能擒狼縛虎,馴獅獵象,... 回復
    將機器學習同傳統規則和統計分析結合是個好方法,至于攻擊鏈為導向的分析的確也是研究的熱點,贊!
    )11( 亮了
  • wuwu 回復
    "事件之間的關系比事件本身更重要。", 類似的 可能的數據(線索)間的關系比(可能的惡意)事件更重要,因為此時還不知道事件的好壞。 威脅發現
    )10( 亮了
  • xxx 回復
    看到圖里的evil.exe就笑了
    )8( 亮了
發表評論

已有 3 條評論

取消
Loading...
css.php 江苏11选5网上购买