和过去相比,我们的对手不同了。应对新的安全形势,需要跳出传统的思维惯性,建立新的思路。网络安全攻防对抗如同一个不断“进化”的过程,不同的传统方法也是根据安全威胁的变化而不断进化的。既然这些方法已经不适应新的形势,那么未来的进化方向是什么呢?“异常发现”是一个基本方向,“博大精深”是核心要求。
“大思路”和“大视野”的异常发现
APT给传统安全方法带来挑战的本质原因是针对特定目标的专门定制化的攻击过程,导致从各种角度都很难提前获得特定攻击的具体特点。于是,如果防御方对自己的了解足够,就能够感知到由于攻击导致的某种异常,之后就有可能进一步通过针对性的调查分析发现具体的攻击行为。一个通俗的比喻就是,我不知道我出了什么问题,但是能感觉到不对劲。这就如同医学领域中人类经常能够先确定甚至治疗某些疾病,但是很多年之后才找到导致这些疾病的病毒或原因一样。随着人类不断完善对自身的了解,也就能够不断提升对新的疾病的了解和治愈能力。
异常发现的思路实际上已经有很多实践了,传统网络安全方法中也有基于行为描述的安全,这种方法试图发现软件或用户在主机或网络中的“异常”行为(如流量变化),进而判定是否受到攻击。例如2003年1月,我们突然发现所有的网络中都出现UDP1434/1435流量的大幅增长,这是不符合常规的,于是通过启动分析进而判定是发生了大规模网络蠕虫攻击。还有一些技术,可以对特定用户的打字速度进行记录,如果发现某个人的打字速度突然变成平时的两倍,那可能就是账户被别人盗用。在金融领域,通过用户登录银行账户之后的行为轨迹,可以明显看出正常用户和非法用户的不同。这种比对是不依赖于对恶意代码、漏洞、非法登录等传统安全特征的识别的。 但是显然这种模式的效果取决于对“正常”行为模式描述的准确性和完备性,而过去仅仅通过局部环境、简单维度以及基于采样数据积累的知识所建立的“正常”模型,显然是容易被计划周密的高级攻击行为所模仿从而失去效果的。“盲人摸象”其实说的也是类似的道理:用于分析的数据不够大,可能看到的是一块皮肤,而如果退后几步综合更大更多的数据看,才会发现实际上是一只大象。
因此,未来需要的是大视野下的异常发现,其所感知的“异常”不仅仅定义在主机行为或者网络流量行为上,而更加综合全面、范围更大。在金融领域,基于大量用户的正常金融交易关系数据进行分析,就能够发现很多金融犯罪活动甚至犯罪团伙,就是一个例子。“火焰”病毒可以绕过所有的安全机制,但是如果对所有获得签名的程序的大小有所积累,会发现忽然出现一个十分巨大的“合法程序”,也会触发异常。
特别声明:本站注明稿件来源为其他媒体的文/图等稿件均为转载稿,本站转载出于非商业性的教育和科研之目的,并不意味着赞同其观点或证实其内容的真实性。如转载稿涉及版权等问题,请作者在两周内速来电或来函联系。