在真實的戰爭中,對戰場情況的洞察意味著戰爭的勝敗,而在企業與黑客的網絡戰場上,這種洞察力或說可見性,可能是最為決定性的因素了。但我們知道,可見性仍然是當今企業亟需具備也最難以具備的安全能力。
安全團隊如何提升可見性?一個極為有效的方法就是重新評估網絡傳感器的部署位置。
還是以真實的戰爭場景為例,美國陸軍有一套簡稱為OCOKA的戰術級地形評估因素:
觀察與火力區(Observation and Fields of Fire)
掩護和隱蔽(Cover and Concealment)
障礙(Obstacles)
關鍵地形與決定性地形(Key and Decisive Terrain)
抵近通道(Avenues of Approach)
這些因素同樣適用於網絡空間,尤其是關鍵地形這個指標,誰擁有對關鍵地形的控制權誰就佔據主要的優勢。
偵察位置
網絡流量分析(NTA)傳感器就是網絡戰場上的偵察兵,每個傳感器都有著自己的有利觀察點,但沒有任何一個傳感器能夠基於自己的觀察點看清楚整個網絡地形,只有彙集在一起才能得到一個完整的地形圖。因此,部署傳感器的原則就是要儘量最大化可見性並最小化每個觀察區域的重疊,以減少信息冗餘,以確保對戰場的完全控制。
NTA傳感器(有時也稱流量探針)用於監測各種網絡活動,以發現高級威脅、惡意軟件或是數據洩露等惡意行為。一般而言,網絡傳感器可以分析網絡、雲、Web、電子郵件的流量,併發送警告和會話數據或日誌。上文已經表述過,令傳感器發揮作用的關鍵就是要將其部署在合適的位置。
關鍵位置
許多組織機構的問題主要在於兩點,傳感器的部署位置不對,要麼就是缺少足夠的傳感器數量,這是因為他們缺乏對網絡流量收集工作的充分理解。拋開數量問題不說,即使企業部署了足夠多的傳感器,如果部署策略發生問題,一樣達不到好的效果。傳感器的重疊會形成大量冗餘數據和虛假警告,僅本來就緊張的事件響應資源更加疲於奔命。除了重疊部署,還有不恰當的部署位置問題,造成觀察區域受阻(OCOKA中的障礙),或者無法發現使用隱藏手段的攻擊者(OCOKA中的掩護和隱蔽)。不管哪種情況,最終會導致觀察盲點,攻擊者得以更深地在網絡裡行動和潛伏。
要想避免類似情況的發生,就需要檢查並重新調整網絡傳感器的部署位置,而位置調整的關鍵是在網絡中找出對手的攻擊路徑(OCOKA中的抵近通道)。
- 我現在擁有的可見性在哪裡?
- 對手為了接進目標需要經過哪些途徑?
- 哪裡的分段網絡/端點不能訪問?(障礙)
- 哪裡是已經部署了防禦攻擊的安全措施?
回答好這些問題才能正確的部署傳感器,但首先要了解企業的關鍵資產才可能回答好這些問題,包括資產的位置、訪問路徑、進出通道、脆弱主機,以及鄰近主機等。OCOKA中的“關鍵地形與決定性地形”原則提供了一份攻擊防禦和資產保護的行動指南,而核心資產永遠都是攻擊者的最終目標。現在,知道傳感器該放哪裡了吧。
平衡位置
傳感器提供的有效信息量直接依賴於其處於網絡中的位置。比如,將傳感器放入防火牆,那就只能看到防火牆允許通過的流量,或者是防火牆裡的內部流量,訪問控制阻止了牆外的可見性。為了建立全面的NTA和數據防洩露能力,企業必須考慮傳感器部署位置的平衡問題。
把關注點放在傳感器的有效位置上,是防止信息或警告過載的關鍵,否則與檢測響應能力的最終目標背道而馳。於是這就成為了一個優化平衡的問題,即如何在最小化傳感器數量的同時最大化可見性。
傳統的安全機制面向的是網絡邊界安全,如防火牆、IDS/IPS,以及其他一些流量分析設備,被動或主動的監測網絡邊界流量。然而,隨著網絡的分佈式發展和愈趨複雜性,網絡邊界安全已不再適用。攻擊者有各種方法避開邊界檢測,然後得以在內網中自由穿行。這就是為什麼要考慮把傳感器部署在“關鍵地形與決定性地形”的原因。當然,除了給傳感器配上檢測潛在惡意流量的規則以外,還需要有檢測異常的能力。
總結
重新評估並調整傳感器部署位置的最大好處就是,在減少冗餘警告的同時基於傳感器的元數據獲得可行性的上下文。正確的傳感器位置可以大幅度優化分析時間,讓分析人員把精力用到重要的事件上:
- 降低檢測分析時間。幫助安全人員從警告分析進入到調查階段,快速接收相關信息並將威脅情報應用到網絡數據。
- 將貌似無關聯的活動與行為關聯起來。在所有網絡會話中回溯傳感器收集的元數據,實現自動化的捕捉和安全分析。
- 在攻擊發起時識別並阻止。識別C2、橫向移動,等網絡元數據中的惡意行為,阻止數據盜竊。
關鍵詞:流量分析;NTA;傳感器;可見性
閱讀更多 數世諮詢 的文章
