在智能时代安全防护下,除多种身份认证外,我们还需态势感知辅助身份识别。态势感知系统的作用就是分析安全环境信息、快速判断当前及未来形势,以作出正确响应。“全天候、全方位感知网络安全态势”对态势感知的建设目标做出了准确描述。本文节选汪德嘉博士《身份危机》一书中的态势感知章节,与大家分享态势感知如何保护身份认证安全!
态势感知的概念最早是由美国空军提出,是为提升空战能力,分析空战环境信息、快速判断当前及未来形势,以作出正确反应而进行的研究探索。上世纪90年代这个概念被引入了信息安全领域,最知名的2003年开始的美国的爱因斯坦计划(正式名称国家网络空间安全保护系统The National Cybersecurity Protection System),2013年已经开始第三期的建设,美国CERT及后续DHS(国土安全部)对态势感知进行了不断探索。美国国家安全系统委员会对态势感知的定义是:“在一定的时间和空间范围内,企业的安全态势及其威胁环境的感知。理解这两者的含义以及意味的风险,并对他们未来的状态进行预测。”态势感知是偏重于检测和响应分析能力的建设,这确实是现实最迫切的安全需要。
态势感知需求
面对新的安全形势,传统安全体系遭遇瓶颈,需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。从美国对爱因斯坦计划的持续不断投入,可以看到网络空间安全的态势感知,对于国家、行业有多么重要的意义。我国的网络安全形势非常严峻,截止2016年底,仅360公司就累计监测到针对中国境内目标发动攻击的APT组织36个,最近仍处于活跃状态的APT组织至少有13个,这些组织的攻击目标涵盖了政府机关、高校、科研机构以及关键基础设施的行业/企业。今年爆发的WannaCry勒索蠕虫,更让我们看到了网络武器民用化之后可能造成的巨大灾害。
从现实中的网络安全建设看,多年来我们一直偏重于架构安全(漏洞管理、系统加固、安全域划分等)和被动防御能力(IPS、WAF、AV等)的建设,虽取得了一定的成果,也遇到发展瓶颈。简单通过购买更多的安全设备已经不能使安全能力有提升,需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。在之前建立了一定自动化防御能力的基础上,开始增加在非特征技术检测能力上的投入,以及事件响应分析能力的建设;并通过对事件的深度分析及信息情报共享,建立预测预警并针对性改善安全系统,最终达到有效检测、防御新型攻击威胁之目的。2017年4月19日,习总书记在网络安全和信息工作座谈会上的讲话中,明确提出建设“全天候全方位感知网络安全态势”,正是针对了这些现实中的网络安全问题。
态势感知保护身份认证安全
网络安全与战争一样,本质是攻防双方的对抗,攻防之战,速度为王,作为防守方的目标是缩短攻击者的自由攻击时间。态势感知系统的作用就是分析安全环境信息、快速判断当前及未来形势,以作出正确响应。“全天候全方位感知网络安全态势”对态势感知的建设目标做出了准确描述。全天候全方位,可以理解为时间维度和检测内容维度。
在时间维度上,需要利用已有实时或准实时的检测技术,还需要通过更长时间数据来分析发现异常行为特别是失陷情况。
在内容维度上,也需要覆盖网络流量、终端行为、内容载荷三个方面。要完整提供以下5类检测能力,或者说至少4类(参照Gartner:Five Stylesof Advanced Threat Defense):
(1)基于流量特征的实时检测(WAF、IPS、NGFW等)
(2)基于流量日志的异常分析机制(流量传感器、Hunting、UEBA)
(3)针对内容的静态、动态分析机制(沙箱)
(4)基于终端行为特征的实时检测(ESP)
(5)基于终端行为日志的异常分析机制(EDR、Hunting、UEBA)
“态”指是从全局角度看到的现状,包括组织自身的威胁状态和整体的安全环境,需要基于之前提到的5种检测能力尽可能的发现攻击事件或攻击线索,同时需要对涉及到的报警提供进一步的分析,回答以下的问题:是真实的攻击吗?是否可能误报?是否把扫描识别为真实攻击?是什么性质的攻击?定向或者随机?可能的影响范围和危害,缓解或者清除的方法及难度。无法正确的回答这些问题,只是简单的将报警在地图上呈现就无法体现有现实价值的“态”,无法确定是否可以进入处置流程。
“势”,即未来的状态。要能预测组织未来的安全状态,需要对现阶段所面临的攻击事件特别是定向攻击事件有深入的了解:是新的攻击团队还是已知团伙,攻击者的意图,攻击者的技战术水平及特点,是否属于一次大型战役的一部分。了解这些信息,同时通过信息和情报共享,对同行业或相似部门的相关此类信息也有所了解,就能够预测未来可能处于的安全状态以及需要防御的重点,即预测预防能力。
要完成态势感知的建设目标,需要具备以下三大核心要素:流量数据采集、威胁情报和安全分析师。
流量数据采集相对而言实施难度较小,同时还有着不可替代的价值:通过流量日志进行安全狩猎或者异常检测、分析攻击事件的影响范围、回溯完整的攻击链和TTP(战术、技术和过程)。因此流量数据是态势感知中必须考虑的一环。
威胁情报是随着新型威胁防御快速成长的一个领域,在态势感知建设中有着决定性的作用。最经常被提到的一类是可机读情报(MRTI),主要是赋能给安全产品,增强或升级其安全能力。
为了帮助安全分析师完成对事件的分析,威胁情报领域内提供了专业的情报分析工具(情报分析平台/关联分析平台),分析师通过这样的平台可以方便的完成过去付出极大体力和脑力也难以进行的工作:判定一个攻击是否属于已知攻击,查找和攻击相关的网络基础设施(域名、主机)及样本,了解这些基础设施和样本的详情,判定攻击是否和某个已知团伙相关并了解这个攻击团伙的基本情况。威胁情报中还有一类TTP类型的情报,属于人读的情报,主要针对已发生的重要安全事件,分析攻击者的攻击范围、攻击目的、具体的技战术手法和攻击过程,并提炼出防御建议。
流量数据和威胁情报都很重要,但它们能发挥多大作用,最终还是要依赖与人的力量,其中最重要的是安全分析师,是安全运营中的高级人才。安全分析师的成长需要较好的环境(如数据和情报)、以及大量的实战机会,难以大批量培养。安全分析师是态势感知必须倚重的重要部分,是确定态势感知项目成败的又一个关键因素。成功的态势项目必须考虑到如何引入或培养这样的人才,并通过提供好的工具和流程来支撑他们高效的完成任务。
态势感知是综合性的安全能力建设,流量数据、威胁情报以及安全分析师是影响项目成败的关键因素,另外大数据平台、可视化、资产管理等也很重要。
如何建设态势感知
针对严峻的移动应用安全和移动终端安全问题,提出了终端威胁感知的解决方案,可为政府、金融、运营商、电商等独立运营APP的企业客户提供移动威胁的实时监测和预警防控功能。同时,对这些企业的APP用户在登录、支付等关键业务环节进行风险提示,及时拦截危险业务。主要功能为:威胁感知、威胁概览、终端环境安全检测、攻击监测、程序运行监测。
终端威胁感知平台通过对移动终端环境威胁、终端应用威胁、终端程序运行数据进行采集、存储、计算、深入挖掘和关联分析,向用户提供实时的威胁信息和威胁预警,同时可对已知威胁进行溯源追踪,精准定位威胁源头,对潜在威胁进行有效防御威。对攻击手段击手段、攻击目标等进行威胁分析,对攻击应用攻击应用、版本设备等信息进行威胁管控,对攻击地域、攻击系统、攻击时间分布等进行威胁统计,同时采用可视化技术手段,形成终端威胁的综合态综合态势图,借助威胁可视化为安全管理人员提供辅助决策信息。
结语
面对新的安全形势,传统安全体系遭遇瓶颈,移动终端的安全也成为身份认证安全的隐患之一,需要进一步提升安全运营水平的同时积极的开展主动防御能力的建设。态势感知系统的作用就是分析安全环境信息、快速判断当前及未来形势,以作出正确响应。从而充分做到身份认证在事前、事中、事后都可以得到充分保障。
目前国内网上银行的安全认证方式呈现多样化发展,从之前更多依赖简单的帐号密码,逐渐新增了数字证书、动态密码、一次性密码等新的认证方式。2008年至今各大银行在安全认证方面不断加大力度,工行推出了手机短信认证服务、浦发推出了“移动数字证书+动态密码”认证新方式等。接下来的章节中将与大家分享银行身份认证技术以及所面临的危机,敬请期待!