2018年5月28日 星期一

.從全局看未來 【狀態意識】成身份辨識與資訊安全的重心

What is SITUATIONAL AWARENESS?

瀚錸科技代理「ForceShield」,採用革命性的「動態應用安全架構」

来源:移动支付网 作者:汪德嘉 

在智慧時代安全防護下,除多種身份認證外,我們還需【狀態意識】輔助身份辨識。態勢感知系統的作用,就是分析安全環境資訊、快速判斷當前及未來形勢,以作出正確反應。

「全天候、全方位感知網路安全態勢」,對狀態意識的建設目標,做出了準確描述。本文節選汪德嘉博士《身份危機》一書中的態勢感知章節,與大家分享狀態意識,是如何保護身份認證安全
【狀態意識】的概念,最早是由美國空軍提出,是為提升空戰能力,分析空戰環境資訊、快速判斷當前及未來形勢,以作出正確反應而進行的研究探索。

上世紀90年代這個概念,被引入了資訊安全領域,最知名的2003年開始的美國的愛因斯坦計劃(正式名稱國家網路空間安全保護系統The National Cybersecurity Protection System),2013年已經開始第三期的建設,美國CERT及後續DHS(國土安全部),對【狀態意識】進行了不斷探索。


cyber security and impact on national security (3)

美國國家安全系統委員會對【狀態意識】的定義是:「在一定的時間和空間範圍內,企業的安全態勢,及其威脅環境的感知。理解這兩者的含義,以及意味的風險,並對他們未來的狀態,進行預測。」

【狀態意識】是偏重於檢測,和響應分析能力的建設,這確實是現實最迫切的安全需要。

【狀態意識】需求
面對新的安全形勢,傳統安全體系遭遇瓶頸,需要進一步提升安全營運水平的同時,積極的展開主動防禦能力的建設。

從美國對愛因斯坦計劃的持續不斷投入,可以看到網路空間安全的【狀態意識】,對於國家、行業有多麼重要的意義。

從現實中的網路安全建設看,多年來我們一直偏重於架構安全(漏洞管理、系統加固、安全域劃分等)和被動防禦能力(IPS、WAF、AV等)的建設,雖取得了一定的成果,也遇到發展瓶頸。

簡單通過購買更多的安全設備,已經不能使安全能力有提升,需要進一步提升安全營運水準的同時,積極的展開主動防禦能力的建設。

在之前建立了一定自動化防禦能力的基礎上,開始增加在非特徵技術檢測能力上的投入,以及事件響應分析能力的建設並透過對事件的深度分析,及資訊情報共享,建立預測預警,並針對性改善安全系統,最終達到有效檢測、防禦新型攻擊威脅之目的。

態勢感知保護身份認證安全
網路安全與戰爭一樣,本質是攻防雙方的對抗,攻防之戰,速度為王,作為防守方的目標,是縮短攻擊者的自由攻擊時間。【狀態意識】系統的作用,就是分析安全環境資訊、快速判斷當前及未來形勢,以作出正確響應。

「全天候全方位感知網路安全態勢」,對【狀態意識】的建設目標,做出了準確描述。全天候全方位,可以理解為時間維度和檢測內容維度。

在時間維度上,需要利用已有即時或準即時的檢測技術,還需要透過更長時間數據,來分析發現異常行為,特別是失陷情況。
在內容維度上,也需要覆蓋網路流量、終端行為、內容載荷三個方面。要完整提供以下 5 類檢測能力,或者說至少 4類(參照Gartner:Five Stylesof Advanced Threat Defense):

(1)基於流量特徵的即時檢測(WAF、IPS、NGFW等)

(2)基於流量日誌的異常分析機制(流量傳感器、Hunting、UEBA)

(3)針對內容的靜態、動態分析機制(沙箱)

(4)基於終端行為特徵的即時檢測(ESP)

(5)基於終端行為日誌的異常分析機制(EDR、Hunting、UEBA)

狀態意識又稱態勢感知,「態」指是從全局角度看到的現狀,包括組織自身的威脅狀態,和整體的安全環境,需要基於之前提到的5種檢測能力,盡可能的發現攻擊事件或攻擊線索,同時需要對涉及到的警報提供進一步的分析,回答以下的問題:

是真實的攻擊嗎是否可能誤報是否把掃描辨識為真實攻擊是什麼性質的攻擊定向或者隨機可能的影響範圍和危害,緩解或者清除的方法及難度。

無法正確的回答這些問題,只是簡單的將警報在地圖上呈現,就無法體現有現實價值的「態」,無法確定是否可以進入處置流程。

「勢」,即未來的狀態。要能預測組織未來的安全狀態,需要對現階段所面臨的攻擊事件,特別是定向攻擊事件有深入的瞭解:是新的攻擊團隊還是已知團伙,攻擊者的意圖,攻擊者的技戰術水平及特點,是否屬於一次大型戰役的一部分。

瞭解這些資訊,同時透過資訊和情報共享,對同行業或相似部門的相關此類資訊也有所瞭解,就能夠預測未來可能處於的安全狀態,以及需要防禦的重點,即預測預防能力。
要完成態勢感知的建設目標,需要具備以下三大核心要素:流量數據採集、威脅情報和安全分析師。

流量數據採集相對而言,實施難度較小,同時還有著不可替代的價值:透過流量日誌進行安全狩獵,或者異常檢測、分析攻擊事件的影響範圍、回溯完整的攻擊鏈,和TTP(戰術、技術和過程)。因此流量數據是態勢感知中,必須考慮的一環。

威脅情報是隨著新型威脅防禦,快速成長的一個領域,在態勢感知建設中,有著決定性的作用。最經常被提到的一類是可機讀情報(MRTI),主要是賦能給安全產品,增強或升級其安全能力。

為了幫助安全分析師,完成對事件的分析,威脅情報領域內提供了專業的情報分析工具(情報分析平台/關聯分析平台),分析師透過這樣的平台,可以方便的完成過去付出極大體力和腦力,也難以進行的工作:判定一個攻擊是否屬於已知攻擊,查找和攻擊相關的網路基礎設施(域名、主機)及樣本,瞭解這些基礎設施和樣本的詳情,判定攻擊是否和某個已知團伙相關,並瞭解這個攻擊團伙的基本情況。


Fatigue and Situational Awareness

威脅情報中還有一類TTP類型的情報,屬於人讀的情報,主要針對已發生的重要安全事件,分析攻擊者的攻擊範圍、攻擊目的、具體的技戰術手法和攻擊過程,並提煉出防禦建議。

流量數據和威脅情報都很重要,但它們能發揮多大作用,最終還是要依賴與人的力量,其中最重要的是安全分析師,是安全營運中的高級人才。

安全分析師的成長,需要較好的環境(如數據和情報)、以及大量的實戰機會,難以大批量培養。

安全分析師是 【狀態意識】必須倚重的重要部分,是確定 【狀態意識】項目成敗的,又一個關鍵因素。成功的態勢項目,必須考慮到如何引入或培養這樣的人才,並透過提供好的工具和流程,來支撐他們高效的完成任務。

 【狀態意識】是綜合性的安全能力建設,流量數據、威脅情報,以及安全分析師,是影響項目成敗的關鍵因素,另外大數據平台、可視化、資產管理等也很重要。

如何建設【狀態意識】
針對嚴峻的行動應用安全和行動終端安全問題,提出了終端威脅感知的解決方案,可為政府、金融、電信商、電商等獨立運營APP的企業客戶,提供行動威脅的即時監測和預警防控功能。





同時,對這些企業的APP用戶在登錄、支付等關鍵業務環節進行風險提示,及時攔截危險業務。主要功能為:威脅感知、威脅概覽、終端環境安全檢測、攻擊監測、程序運行監測。

終端威脅感知平台,透過對行動終端環境威脅、終端應用威脅、終端程序運行數據,進行採集、儲存、計算、深入挖掘和關聯分析,向用戶提供即時的威脅資訊和威脅預警,同時可對已知威脅進行溯源追蹤,精準定位威脅源頭,對潛在威脅進行有效防禦威。

對攻擊手段擊手段、攻擊目標等進行威脅分析,對攻擊應用攻擊應用、版本設備等資訊,進行威脅管控,對攻擊地域、攻擊系統、攻擊時間分布等,進行威脅統計,同時採用可視化技術手段,形成終端威脅的綜合態綜合態勢圖,借助威脅可視化,為安全管理人員提供輔助決策資訊。
結語
面對新的安全形勢,傳統安全體系遭遇瓶頸,行動終端的安全也成為身份認證安全的隱憂之一,需要進一步提升安全營運水準的同時,積極的展開主動防禦能力的建設。

 【狀態意識】系統的作用,就是分析安全環境資訊、快速判斷當前及未來形勢,以作出正確響應。從而充分做到身份認證,在事前、事中、事後都可以得到充分保障。

目前網路銀行的安全認證方式,呈現多樣化發展,從之前更多依賴簡單的帳號密碼,逐漸新增了數位證書、動態密碼、一次性密碼等新的認證方式。


                                                                                                                                                                                                                 

https://24h.pchome.com.tw/prod/DRAF4H-A9007OA9E

沒有留言:

張貼留言