近幾年“網(wǎng)絡(luò)安全態(tài)勢感知”的概念被無數(shù)次提起,在以銀行為代表的金融行業(yè)中����,部分銀行客戶開始對建設(shè)“安全態(tài)勢感知”平臺的必要性和可行性進行了大量探索和實踐,盛邦安全認為出現(xiàn)這種局面�,主要有兩方面驅(qū)動,一是國家政策層面的推動���,另一方面是銀行客戶面臨現(xiàn)實挑戰(zhàn)的實際業(yè)務(wù)訴求驅(qū)動�。
政策驅(qū)動:國家和行業(yè)監(jiān)管政策催生更高級的安全威脅檢測技術(shù)和態(tài)勢感知方案
2016年12月27日國務(wù)院刊發(fā)了《“十三五”國家信息化規(guī)劃》��,再次強調(diào)態(tài)勢感知的重要性���。“十大任務(wù)”中的最后一項——健全網(wǎng)絡(luò)安全保障體系��,提出“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”和“加強網(wǎng)絡(luò)安全大數(shù)據(jù)挖掘分析�����,更好地感知網(wǎng)絡(luò)安全態(tài)勢���,做好風險防范工作”��,與419網(wǎng)絡(luò)安全和信息化工作座談會上的講話以及2017年生效的《網(wǎng)絡(luò)安全法》的要求一致�����。
另外���,銀行業(yè)監(jiān)管機構(gòu)歷來對信息安全風險監(jiān)管要求嚴格��。2017年銀監(jiān)會發(fā)布《中國銀監(jiān)會辦公廳關(guān)于加強網(wǎng)絡(luò)信息安全與客戶信息保護有關(guān)事項的通知》簡稱(銀監(jiān)會發(fā)布(2017)2號文)���,指出金融機構(gòu)及銀行應(yīng)加強應(yīng)用安全防護�,建立事前����、事中��、事后的安全控制體系��;支持日志的檢測審計��,對入侵事件的危害和范圍進行事后溯源和評估�。以上���,國家和監(jiān)管機構(gòu)相關(guān)政策的陸續(xù)出臺�����,加快了新的威脅檢測技術(shù)的誕生��。
業(yè)務(wù)驅(qū)動:銀行客戶基于大數(shù)據(jù)分析的態(tài)勢感知需求是安全攻防能力不對等的產(chǎn)物
在全球金融信息化發(fā)展的同時�����,黑產(chǎn)也在不斷進化和升級����。高級惡意代碼以快速變種�����、多樣化和動態(tài)交互的形式不斷演化,并在近幾年產(chǎn)生了強烈的攻擊效果���。如:WannaCry, Petya等�?���;ヂ?lián)網(wǎng)每天新增的惡意代碼和惡意網(wǎng)頁都在數(shù)十萬的量級,嚴重威脅著用戶網(wǎng)絡(luò)安全�。這些惡意代碼,和傳統(tǒng)病毒相比�����,變種更多�、更新更快,傳統(tǒng)檢測方式更難發(fā)現(xiàn)����,攻擊多以經(jīng)濟和商業(yè)利益為導向����,實施大面積傳播。安全人員面對如此量級的惡意代碼,完全依靠人工分析顯得力不從心��。
隨著安全技術(shù)的積累和發(fā)展�,無論是傳統(tǒng)的日志審計,還是國內(nèi)外應(yīng)用廣泛的SIEM和SOC����,完整方案里實際上都包含大量的人工服務(wù),通過日志采集����、關(guān)聯(lián)分析后的內(nèi)容,依然需要大量的人工服務(wù)對數(shù)據(jù)進行二次分析和處理�,龐大的人員和時間成本,無法有效應(yīng)對高級持續(xù)威脅���。另一方面�����,APT攻擊具有“海陸空”(不同攻擊載荷����、攻擊方式����、攻擊維度)全天候����、全方位打擊的特點��,采集單一的數(shù)據(jù)源是遠無法提供安全趨勢分析的��;傳統(tǒng)SIEM與SOC往往通過采集設(shè)備日志做分析�,這些日志數(shù)據(jù)本身已屬于“二手數(shù)據(jù)”,數(shù)據(jù)受限于不同設(shè)備種類���、品牌等����,采集端設(shè)備本身的威脅檢測能力也參差不齊�����,最終導致了數(shù)據(jù)誤報率居高不下����,缺少具有高價值的元數(shù)據(jù)和具有金融行業(yè)特性的威脅情報支持。
安全攻防能力的不對等����,使決策者需要通過態(tài)勢感知工具了解當前環(huán)境的連續(xù)變化情況,從而更好地進行決策��。
解決方案:基于大數(shù)據(jù)&人工智能的態(tài)勢感知方案滿足以銀行為代表的金融行業(yè)需求
2011 年����,韓國農(nóng)協(xié)銀行外包人員電腦上的病毒傳染給了銀行 IT 系統(tǒng),黑客進而侵入農(nóng)協(xié)銀行長達 2 個月���。黑客不僅破壞銀行正在運行的 IT 系統(tǒng)���,還破壞了全部數(shù)據(jù)副本。最終農(nóng)協(xié)銀行系統(tǒng)癱瘓���,全部數(shù)據(jù)丟失�����。部分紙質(zhì)數(shù)據(jù)通過人工回傳����,而網(wǎng)上交易數(shù)據(jù)永久性丟失�����,農(nóng)協(xié)銀行被迫停業(yè) 3 天,損失慘重�。
通常金融系統(tǒng)的“外部安全堡壘”建設(shè)較為完善,但APT攻擊的強目的性往往借助釣魚郵件�����、水坑攻擊等結(jié)合社會工程學的攻擊���,從內(nèi)部瓦解金融系統(tǒng)堅實的安全堡壘��。通過變種木馬�����、勒索病毒���,DGA域名組建僵尸網(wǎng)絡(luò)、挖礦木馬�����、暗網(wǎng)流量等對金融系統(tǒng)造成嚴重安全威脅�����。而隨著針對金融行業(yè)的APT攻擊事件愈演愈烈,傳統(tǒng)的啟發(fā)式檢測對變種木馬病毒����、勒索病毒等存在檢測難���、誤報高的問題�,常規(guī)的防御體系面臨溯源取證難�、缺少專業(yè)威脅情報支持、存在信息泄露風險等困難��。
為滿足金融行業(yè)目前面臨的問題和實際需求����,我們需要利用基于大數(shù)據(jù)機器學習技術(shù)對已知威脅進行頻繁行為模式挖掘,然后通過專家分析篩選���,提取惡意行為模式庫��,并與可疑樣本在沙箱中的行為進行對比���,檢測未知威脅�;通過多種檢測技術(shù)交叉檢測來提高檢測率�;同時,通過檢測網(wǎng)絡(luò)流量中的DGA域名���,定位網(wǎng)絡(luò)內(nèi)部已經(jīng)被控的主機���。融合安全設(shè)備,具備威脅情報檢測�����、網(wǎng)絡(luò)異常檢測�、下一代入侵檢測、多AV檢測���、基因檢測和沙箱行為檢測等多種安全能力����,有效減少客戶投資及運維工作�;從“端、邊界��、云”的空間維度上以及 “預(yù)警�����、監(jiān)測、分析����、清除”的時間維度上實現(xiàn)安全防護的閉環(huán)管理,真正做到 “全天候����、全方位感知網(wǎng)絡(luò)安全態(tài)勢”����,滿足金融行業(yè)APT檢測的迫切需求。
據(jù)此����,盛邦安全推出的基于大數(shù)據(jù)和人工智能的安全分析與態(tài)勢感知解決方案,利用分布式安全大數(shù)據(jù)平臺提供海量威脅數(shù)據(jù)和白樣本����,采用人工智能中LSTM深度學習模型檢測DGA域名,進而完成對受控主機的C&C通訊檢測�����,識別網(wǎng)絡(luò)內(nèi)部已被僵尸木馬控制的主機,包含惡意代碼隱秘隧道通信檢測(DGA���、DNS��、HTTP����、未知協(xié)議��,加密流量)及XSS����、SQL注入等攻擊檢測,讓APT檢測更加智能�����、精準�����、高效�����。同時結(jié)合盛邦安全可持續(xù)威脅檢測與溯源系統(tǒng)(RayEYE)的數(shù)據(jù)采集和分析特性,實時定位潛在的內(nèi)部威脅����,構(gòu)建“御敵于千里之外”的安全體系。
