一家企業(yè)該如何對自身風(fēng)險及安全規(guī)程進行實施?更具體地講，將著眼點集中在大數(shù)據(jù)技術(shù)領(lǐng)域，一家企業(yè)該如何實施其威脅情報流程?

不少企業(yè)認為自身已經(jīng)非常了解疆域之內(nèi)的安全關(guān)鍵點以及入門點的具體位置。然而遺憾的是，他們會很快發(fā)現(xiàn)最為嚴重的安全問題往往出現(xiàn)在其始料未及的區(qū)域。

“企業(yè)會高度關(guān)注自身ATM運作狀態(tài)，但卻往往忽視了大型機所提供的細節(jié)警告提示，”Securonix公司首席營銷官Sharon Vardi指出。“如果無法掌握這方面信息，企業(yè)相當(dāng)于把皇冠上的明珠拱手讓人，這顯然是種開門揖盜的不智行為。”

要想真正了解安全關(guān)注重點，我們首先需要收集到能夠加以分析的數(shù)據(jù)，同時在分析過程中有目的地進行針對性觀察。

然而，如果無法對當(dāng)前進行當(dāng)中的完整數(shù)據(jù)流進行收集與分析，企業(yè)仍然無法在安全保障工作中取得成功——換言之，單純對有限時間窗口之內(nèi)的運作狀態(tài)進行快照保存還遠遠不夠。我們需要在惡意活動發(fā)生之前、當(dāng)中以及之后對數(shù)據(jù)進行持續(xù)收集。

“企業(yè)還需要提升數(shù)據(jù)的涵蓋范圍，從內(nèi)部到網(wǎng)絡(luò)體系當(dāng)中、貫穿每一個端點甚至需要重視存在于自身網(wǎng)絡(luò)環(huán)境之外的外部與公共數(shù)據(jù)來源，”Blue Coat Systems公司高級威脅保護戰(zhàn)略與產(chǎn)品營銷主管Alan Hall指出。“否則，即使在最理想的情況下我們能夠針對威脅做出的響應(yīng)舉措也將非常有限。”

行之有效的事件響應(yīng)機制需要依托于背景信息

在面對安全事故時，行之有效的響應(yīng)機制顯然必不可少。而要達到這一目標(biāo)，我們需要背景信息作為依托——具體來講，也就是那些超越原始形式、在收集之后進行了整理的有效信息。背景信息能夠被用于識別高級、隱蔽乃至其它各種類型的攻擊活動，同時提供指引以幫助我們找到最理想的應(yīng)對辦法。

安全數(shù)據(jù)并不是大數(shù)據(jù)。這是一類臃腫的病態(tài)數(shù)據(jù)。

“為了對安全事故進行妥善管理，企業(yè)不僅需要收集數(shù)據(jù)，同時也必須以實時方式對數(shù)據(jù)進行分析——而后進行數(shù)據(jù)存儲，這樣一來這部分信息就能夠在日后用于比對新的實時數(shù)據(jù)，”Tripwire公司高級安全研究工程師Travis Smith表示。“目前的挑戰(zhàn)在于……數(shù)據(jù)存儲會帶來一定程度的運營成本——另外，數(shù)據(jù)的管理與使用同樣可能帶來種種實際難題。”

現(xiàn)實情況是，希望進行日志信息分析的安全團隊需要把賭注放在開發(fā)人員身上，因為只有后者在日志當(dāng)中記錄與系統(tǒng)相關(guān)的合適信息，這部分數(shù)據(jù)才能真正服務(wù)于安全保障工作。而這些具體細節(jié)往往在系統(tǒng)開發(fā)過程當(dāng)中就已經(jīng)決定了(更準(zhǔn)確地講，很多系統(tǒng)中干脆不存在此類細節(jié)記錄機制)。

利用完整的數(shù)據(jù)包捕捉能力揭開真相

即使在上述環(huán)節(jié)中得到了肯定的答案，安全日志也只能算是保障工作整體中的冰山一角。實際上，真相源自貫穿整個網(wǎng)絡(luò)體系的完整數(shù)據(jù)包當(dāng)中。我們需要擺脫以往那種單純提取日志信息的思維束縛，轉(zhuǎn)而進入網(wǎng)絡(luò)捕捉與安全相關(guān)的數(shù)據(jù)負載——但這又帶來另一大挑戰(zhàn)：“安全數(shù)據(jù)并非大數(shù)據(jù)，”Smith解釋道。“這是一種臃腫的病態(tài)數(shù)據(jù)”。

正常數(shù)據(jù)存儲的最佳實踐要求保留過去三十天當(dāng)中的流量，然而一部分行業(yè)政策可能提出更高的要求，特別是政府方面的監(jiān)管機構(gòu)。“如果安全團隊始終處于純戒備狀態(tài)之下，那么其幾乎沒辦法對背景信息進行分析，”Hall補充稱。

有時候除了具體頻率之外，怎樣實現(xiàn)也成了另一大難題：客戶似乎很難真正憑借自己的安全管理項目獲得預(yù)期中的效果。“安全團隊要么完全沒有得到任何警報或者警報數(shù)量太低……要么就是由于警報不斷涌現(xiàn)而陷入精神疲勞狀態(tài)，”Proficio公司市場營銷副總裁John Humphreys解釋道。

其它數(shù)據(jù)來源亦需要加以考量

正如Tripwire公司的Smith所建議，除了要對日志數(shù)據(jù)進行捕捉之外，大家同時還需要關(guān)注日志之外的信息來源，并“整理一部分內(nèi)部網(wǎng)絡(luò)中生成的內(nèi)容。大家也有必要將會話同捕捉到的數(shù)據(jù)包字符串加以結(jié)合，最終實現(xiàn)完整的數(shù)據(jù)包捕捉流程。”

Vardi進一步補充稱，“大家還應(yīng)該考慮審視那些傳統(tǒng)角度講并不屬于安全數(shù)據(jù)的外部數(shù)據(jù)來源。”其中包括Facebook操作、職位搜索以及其它一些可能由企業(yè)內(nèi)部員工立足于業(yè)務(wù)環(huán)境并使用辦公體系下設(shè)備與網(wǎng)絡(luò)所訪問的數(shù)據(jù)源。

“開源情報與企業(yè)數(shù)據(jù)相結(jié)合能夠很好地解決這些問題，”Vardi強調(diào)稱。這類數(shù)據(jù)源從表面上看似乎同安全數(shù)據(jù)沒有任何關(guān)聯(lián)，但其卻能夠顯著改變安全數(shù)據(jù)的背景信息，同時幫助企業(yè)利用多種新型方式審視自身風(fēng)險狀況。當(dāng)然，要讓威脅情報真正具備實用性，這部分信息必須真實可信且基于值得依賴的來源，其中也包括我們的內(nèi)部數(shù)據(jù)來源。時至今日，大量應(yīng)用程序會在日常工作當(dāng)中持續(xù)生成似乎毫無危害的內(nèi)部流量，其中大部分的設(shè)計目標(biāo)在于實現(xiàn)數(shù)據(jù)共享，從而幫助業(yè)務(wù)團隊完成自己的既定任務(wù)。然而，這些數(shù)據(jù)的存在及其實際質(zhì)量也會成為安全工作中不容忽視的重要一環(huán)。

這些純內(nèi)部網(wǎng)絡(luò)通信往往被忽視，或者干脆不會被那些單純監(jiān)控入侵以及滲透活動的系統(tǒng)日志所發(fā)現(xiàn)。這一般是由于此類流量只在內(nèi)部網(wǎng)絡(luò)中進行橫向傳輸，而不會跨越入侵監(jiān)控系統(tǒng)或者觸及周邊防火墻的控制路徑。

“入侵與滲透活動只會發(fā)生在設(shè)備網(wǎng)絡(luò)流量進入或者傳出企業(yè)網(wǎng)絡(luò)的情況之下，”富士通旗下子公司PFU Systems銷售與市場推廣經(jīng)理Carmine CLementelli指出。“與外部臨時性網(wǎng)站所使用的命令與控制通信機制類似，在大多數(shù)情況下，在這一層面中發(fā)現(xiàn)問題時往往為時已晚。”

我們該重視哪些背景信息?

說到背景信息檢測這一話題，我們首先可以利用其找到當(dāng)前企業(yè)所面臨的威脅以及正在經(jīng)受的攻擊活動，以下三個選項則是大家應(yīng)當(dāng)認真考量的主要實現(xiàn)方式：

1. 要求系統(tǒng)自動定義背景信息，并希望其由供應(yīng)商定義的配置以及規(guī)則能夠“切實達成使命”。

2. 使用大家自己隨時間推移而逐步積累并掌握到的背景信息，并希望其足以涵蓋整個業(yè)務(wù)環(huán)境——或者至少要能夠與攻擊者們了解到的情況基本相當(dāng)。

3. 對當(dāng)前的實時性狀況進行背景信息定義;盡可能提取能夠匹配安全要求的威脅數(shù)據(jù)及支持情報;而后祈禱我們能夠在這場爭分奪秒的競爭當(dāng)中占得先機，同時又不至于被大量警報搞得身心俱疲。

或者，大家也可以充分發(fā)揮安全社區(qū)帶來的使得，并利用由其他人選定的跨行業(yè)、跨配置定義，而后對其中的背景信息進行自定義。“安全團隊需要運用其它企業(yè)的實踐經(jīng)驗，并從中了解自身IT環(huán)境的真實狀況，”Humphreys指出。“這是一種非常值得提倡的真實背景信息審視思路。”

而在涉及內(nèi)部人員竊取數(shù)據(jù)并將其發(fā)送給競爭對手的情況時，我們能夠通過其中的背景信息了解到自身員工與承包商可能會以遠高于正常水平的頻率進行數(shù)據(jù)訪問。當(dāng)然，大家也可以捕捉到員工同企業(yè)外部接收者進行數(shù)據(jù)共享的其它蛛絲馬跡，例如通過個人郵箱賬戶或者便攜U盤發(fā)送數(shù)據(jù)。

舉例來說，近期發(fā)布過不良評論內(nèi)容的員工可以被標(biāo)記為潛在的內(nèi)部風(fēng)險因素。如果第三方供應(yīng)商進行過多次登錄嘗試并試圖訪問企業(yè)內(nèi)訪問頻度極低的某些系統(tǒng)，那么這種跡象也極有可能意味著該供應(yīng)商有意進行惡意行為或者已經(jīng)遭受到釣魚攻擊。

但背景信息并不單純與人員以及系統(tǒng)相關(guān)。“有時候一份文檔也可能成為攻擊活動的入口，”Vardi指出。“針對文件內(nèi)容的行為同樣需要認真加以對待。其存在于何處?有誰進行過訪問?通過哪個IP地址進行訪問?其又被傳輸?shù)搅四睦?”

Vardi同時補充稱，“將這一切異常狀況同其它事故及警報信息相結(jié)合，就能幫助我們掌握到與預(yù)料之外的惡意活動相關(guān)的具體背景信息。舉例來說，如果某位員工、合作伙伴或者客戶平時基本利用Windows PC上的火狐瀏覽器進行訪問，但卻在突然之間開始利用Mac設(shè)備上的Safari瀏覽器下載企業(yè)文件，那么這就可能意味著其中存在著潛在安全風(fēng)險。”

ATM欺詐則是真實世界當(dāng)中發(fā)生過的案例，而且最近一段時間引發(fā)了業(yè)界的巨大反響。想象一下，銀行客戶在過去二十年中一直將某種特定的交互方式作為主要銀行事務(wù)處理途徑，那么我們完全可以快速從其行為當(dāng)中找到異常狀況，具體包括他們的取款金額、取款地點以及所使用的卡片。大家甚至可以通過其在同一天內(nèi)利用同一張卡在不同位置取款來認定其可能遭遇的欺詐活動。

大家也可以利用同樣的原則監(jiān)控指向企業(yè)資源的訪問外加內(nèi)部網(wǎng)絡(luò)當(dāng)中的用戶及系統(tǒng)活動——而不僅僅局限于ATM以及取款行為。

下面來看幾種具體案例：

·某一端點記錄到單一用戶在網(wǎng)絡(luò)當(dāng)中多次通過同一位置使用多個用戶登錄憑證。如果看到這種狀況，那么大家的系統(tǒng)很有可能已經(jīng)遭到惡意入侵。

·未經(jīng)加密的出站/入站流量與內(nèi)部往來傳輸流量相關(guān)聯(lián)——內(nèi)部往來傳輸流量主要用于監(jiān)控橫向的網(wǎng)絡(luò)活動傳輸。這種聯(lián)網(wǎng)流程可能標(biāo)志著網(wǎng)絡(luò)中存在著未經(jīng)授權(quán)的用戶或者設(shè)備進行登錄之狀況。

·利用基于行為的檢測技術(shù)審視出站流量與點到點傳輸流量，從而了解相關(guān)流量到底通往何處以及其通過該路徑的實際頻率。我們不能單純依靠針對入口這一種檢測方式;大家還需要假定惡意軟件已經(jīng)存在于內(nèi)部網(wǎng)絡(luò)當(dāng)中，并據(jù)此對出口同樣加以觀察。

·充分發(fā)揮命令與控制檢測的固有優(yōu)勢，同時識別那些著眼于進行數(shù)據(jù)外泄的現(xiàn)有攻擊活動。請注意，一般來講數(shù)據(jù)外泄?fàn)顩r不會以單獨的一次下載操作出現(xiàn);其往往由一系列發(fā)生在給定時間段之內(nèi)的小規(guī)模活動共同構(gòu)成。在此期間，我們觀察到的只是一大堆橫向往來的數(shù)據(jù)傳輸行為——在這種情況下，我們就需要借力于行為分析而非純粹的數(shù)據(jù)包分析。考慮到經(jīng)過IT/安全認證的網(wǎng)站亦有可能被攻擊者們所侵入，因此由其提供的各類服務(wù)——例如存儲服務(wù)——亦有可能借此逃過黑名單與過濾系統(tǒng)的監(jiān)控法眼。

·除了依靠宏觀性應(yīng)用監(jiān)控實現(xiàn)應(yīng)用功能分析，我們還應(yīng)當(dāng)著眼于其它層面。舉例來說，F(xiàn)acebook的整體安全狀況也許沒什么問題，但如果員工在利用Facebook進行聊天、視頻查看以及視頻上傳時，情況顯然會出現(xiàn)明顯變化。具體來講，哪些數(shù)據(jù)會以怎樣的方式被傳輸至/自Facebook中的各項功能?這絕對是安全團隊必須重視的又一大問題。

我們該如何加以應(yīng)對?

背景信息不僅在攻擊活動檢測當(dāng)中十分必要，同時也能夠用于識別攻擊行為的來源、阻斷攻擊影響擴展并修復(fù)業(yè)務(wù)系統(tǒng)當(dāng)中已經(jīng)被攻擊所破壞的環(huán)節(jié)。

“在集成化檢測調(diào)查、分析與取證體系當(dāng)中，大家能夠查看到過去四個月當(dāng)中的全部零日安全警告，”Niara公司市場營銷副總裁John Dasher表示。“在此之后，大家可以審視自己的日志信息、數(shù)據(jù)包流以及威脅來源，從而將個人與特定設(shè)備進行關(guān)聯(lián)。大家還能夠了解哪些用戶訪問過哪些特定系統(tǒng)、應(yīng)用程序以及文件，從而掌握造成危害的根源究竟是什么——例如某個PDF文件。”

某些復(fù)雜的攻擊活動雖然看起來非?？梢桑锌赡懿⒉粫|發(fā)任何警報。但如果其中存在著某個指向已知惡意IP地址的出口，那么大家就能夠觀察到該IP地址與造成安全威脅的PDF來源相符，而后采取合理的應(yīng)對措施。

與此同時，同樣重要的就是不要被大量警報信息消耗掉過多精力，因為不斷出現(xiàn)的警報有可能需要經(jīng)過數(shù)天甚至數(shù)星期的時間才能排查完成，這就使得我們有可能錯過了在其它位置悄然進行的真正攻擊活動。大家需要有能力將檢測到的行為與某些背景信息加以結(jié)合，從而盡可能在合適的時間段采取最理想的處理辦法。

“我們不可能始終擁有完美的應(yīng)對手段，畢竟我們的網(wǎng)絡(luò)運維團隊并不是每周7天、每天24小時始終工作，”Humphreys提醒道。“有鑒于此，大家應(yīng)當(dāng)支持最新且效果最出色的防火墻方案，并發(fā)出指令來暫時性阻斷惡意流量。大家必須要使用最理想的工具，并選擇明智且具備高度自動化水平的使用方式。”

背景環(huán)境下實施威脅情報機制的重要意義

不少大型企業(yè)都會將自身定位為全球安全威脅情報的持有者，因為他們擁有成千上萬客戶以及與之相匹配的數(shù)十萬節(jié)點，同時會將自身擁有的數(shù)據(jù)與其它企業(yè)進行共享。對這部分數(shù)據(jù)進行提取與診斷，而后單純依賴基于簽名及規(guī)則的解決方案加以處理則意味著，不斷變化的惡意軟件將能夠非常輕松地脫光此類機制的監(jiān)控視野。“這種方式并不具備可實施性，”Clementelli強調(diào)稱。

在對威脅情報項目進行實施規(guī)劃時，大家應(yīng)該始終謹記一點——威脅情報的實際價值直接取決于數(shù)據(jù)源與數(shù)據(jù)供應(yīng)機制的質(zhì)量。一套良好的分析引擎如果只能獲取到糟糕的數(shù)據(jù)信息，那么其實際效果可能還不如一套水平較低但采用高可靠性、高相關(guān)度情報的分析引擎。背景信息必須要能夠與大家所掌握的其它變量結(jié)合起來——請記住，安全分析工作所需要的絕不僅僅是安全數(shù)據(jù)。

在應(yīng)對這些挑戰(zhàn)的同時，大家很可能還需要物色一位在大數(shù)據(jù)與安全分析方面擁有出色水平的安全專家。同樣的，請確保自身的安全識別解決方案供應(yīng)商以及其它安全產(chǎn)品供應(yīng)商有能力針對內(nèi)部與第三方廠商風(fēng)險管理方案以及安全事件響應(yīng)提供必要的專業(yè)知識。這種能力之所以如此重要，是因為只有能夠同時涵蓋上游與下游供應(yīng)鏈的方案才能挫敗更多潛在的攻擊活動。而當(dāng)攻擊活動已經(jīng)被證實成功后，同樣重要的則是限制危害的影響范圍，同時立即將網(wǎng)絡(luò)基礎(chǔ)設(shè)施恢復(fù)到正常運作狀態(tài)以及既定的安全水平。