酷应用

【技术前沿】数据分析+纵深防御=威胁防护组合拳

百家作者：绿盟科技 2017-10-24 10:20:00

随着机器学习技术的成熟，数据分析已不仅仅基于统计分析，机器学习也成为增强安全的新宠。将数据分析技术引入到纵深防御体系已成为趋势，它在每一层防护中加入数据分析模块，这样，后一层都能为前一层提供不同层面的安全保障，实现真正纵深防御的效果。

纵深防御是现有的安全技术解决方案之一，它指的是网络安全不仅依赖于一种安全机制，需要尽可能的利用网络资源，使用多种网络安全技术，建立多层次的防御体系。

纵深防御应是使用不同检测方法在不同的采集点针对不同的数据的防御组合拳。

新一代检测技术则是针对已知一类攻击，比如使用数据分析引擎来发掘不依赖于特征签名的攻击，代表产品有用户和实体行为分析UEBA、网络流量分析NTA等。将数据分析技术引入到纵深防御体系已成为趋势，它在每一层防护中加入数据分析模块，这样，后一层都能为前一层提供不同层面的安全保障，实现真正纵深防御的效果。具体可以在端点、物联网设备、子网传感器、边界网关、以及大数据平台上，同时运行机器学习，多层纵深防御数据分析手段联动配合来实现纵深防御。

SOC也是一种从安全的角度去管理整个网络和系统的概念，它是纵深防御体系中的一种有效的安全管理平台，但是现有的SOC存在一些问题，比如缺乏安全攻防对抗、智能分析、大数据处理、有效相应协同、专业人员运营的能力。

图1. 现有SOC中存在的问题

基于以上存在的问题，智能化、多维度化、情报驱动、大数据化、协同化、可视化、交互化的理念将会融入到新一代ISOC中。

同时，也要求SOC的架构实现风险可视化、防御主动化、运行自动化。在进行安全防御的同时，SOC将为安全设备提供安全智能引擎和情报数据，采用深度防御策略，自动化协同安全能力，并逐步实现安全策略的可视化。

具体来说，在实现安全检测与持续监控时，将会：

● 采用大数据平台架构

● 增加网络流量分析（NTA）

● DNS访问数据分析（pDNS）

● 用户与实体行为分析（UEBA）

● 终端检测和响应（EDR）

● 威胁情报平台（TIP）技术和产品

● 人机交互分析工具

很多的现有的安全技术解决方案比如ISOC已经将数据分析纳入了关键技术，其中UEBA（User&Entity Behavior Analytics）不可或缺。UEBA主要可以监控内网安全，其中被控主机、内鬼以及被疏忽的信息泄露都有可能给公司带来损失。

随着机器学习技术的成熟，数据分析已不仅仅基于统计分析，机器学习也成为增强安全的新宠。

Niara UEBA (https://www.niara.com/)将用户定义为账号，实体划分为组群（部门、职位、特权）、资产（工作站、物联网、子网）、信息（文件、数据、应用程序）等三部分。

图2. 用户、实体范围

通过关联用户的所有信息，包括：名字、密码、职位、部门、远程访问等信息形成用户标签，通过他的用户标签以及他的访问行为与其对应的被分配的特权进行匹配，来检测其是否有越权行为。

图3. 实体鉴别与风险预警

由于有了特权信息，不同的特权组（设备、用户、子组）就可以形成特权图，从而当一个特权组预警时，可以通知到特权组里面的所有成员。

图4. 特权组预警

当针对数据源（AD(Active Directory)域日志、VPN日志等）进行行为抽取时，可以对多种数据源的信息进行关联和聚合，通过时间对其进行可视化，最后进行检测，在可视化的时候呈现最有用的信息给用户，更直观的帮助用户定位问题。在系统实际用起来之后就需要实时的更新系统，因为它需要持续的学习能力，这样才能抵御最新的威胁。在数据分析时经常会遇到一些灰色地带，这一部分的异常无法确定一定是一个威胁，此时就需要用户的反馈，通过用户的反馈来进一步确认。

当完成用户和实体行为分析后，需要对数据进行可视化，这就需要思考三个问题：

显示什么？

怎么显示？

以及如何应对？

图5.UEBA的页面显示

这是针对内网安全的检测系统，所以当然是将安全性显示出来，也就是异常->威胁；在显示威胁的时候，用户当然想要知道为什么这是一个威胁，有什么理论依据呢？所以需要现象->理论；有了威胁，用户下一步一定很着急，那就告诉他该怎么办吧：知识->执行。

总结一下，如下图所示：首先，该系统首先需要对内网的资产进行管理（打开、关闭、作业），在出现威胁的时候通过资产内容、对资产操作行为内容以及对资产操作的关系内容进行分析，进一步验证它是威胁的结论，在得到结论之后需要通过用户的反馈，比如邮件等方式进行进一步的验证，之后对该威胁进行取证，从而拿到切实的证据，最后执行防护措施，比如隔离，来达到安全防护的目的。