APT Malware 外洩 網路攻擊 漏洞與弱點

  • 無文件攻擊的興起與應對之道

    無文件攻擊的興起與應對之道

    無文件攻擊比基於惡意軟體的傳統威脅更容易實施也更有效,因而給公司企業的安全防護帶來了更大的挑戰。

    網路罪犯自然會尋找阻力最小的途徑實施攻擊,這也正是越來越多的網路罪犯採用無文件攻擊的原因所在。隨著攻擊者對該攻擊手法的應用越來越得心應手,企業雇員越來越依賴移動設備和雲來開展工作,無文件攻擊的威脅也越來越大了。

    無文件攻擊也就是非惡意軟體攻擊,是一種可以讓攻擊者省去傳統惡意軟體攻擊所需步驟的攻擊手法。他們不用建立攻擊載荷,只需簡單地利用可信程式獲取記憶體存取即可。2017年,利用PowerShell或WMI的無文件攻擊占了全年攻擊總數的52%

    儘管如此,企業依然沒有對無文件攻擊投以足夠的關注。大多數人對網路安全行業的認知依然停留在打了多年交道的傳統攻擊方法上。

    企業是時候進一步瞭解這些威脅的工作機制了。他們有必要搞清如何檢測無文件攻擊,為什麼無文件攻擊會呈增多趨勢,以及可以採取哪些步驟做好防護。

    現代無文件攻擊的進化史

     無文件攻擊並不是新鮮事物,但它們隨著時間流逝而發展變化。

     今天的無文件攻擊遠不止“無文件”這麼簡單,要說無文件的話,十幾年前的紅色代碼(Code Rad)病毒和Slammer蠕蟲就應用了無文件的概念,藏身於記憶體之中;但今天的無文件攻擊是整個攻擊鏈、攻擊步驟全都無文件。即便今天的無文件攻擊確實涉及到攻擊載荷,這些載荷也往往貌似合法,因而非常難以檢測。

     無文件惡意軟體攻擊的增長,源于其易用性和終端檢測及回應(EDR)工具的改進。

    網路中真正令企業傷筋動骨的,是用戶名和密碼被盜,而不是擺了他們一道的惡意軟體本身。

     攻擊者使用域帳戶和IP管理員密碼在目標網路內橫向移動並盜取資訊。他們的活動形式多樣,大多數情況下獲取某使用者的 Office 365 或AWS登入帳戶更有價值。

     某種程度上,所有攻擊者都必須先進入網路或系統,也就是說,憑證盜竊是攻擊的第一步。本地管理員憑證往往是首選,因為沒人對它們多加關注,它們也沒被指派給具體個人。這基本上是種常態,畢竟這麼做可以讓管理工作更簡單些。服務帳戶憑證同樣脆弱。攻擊者一旦接入系統,就會用提權技術提升此類帳戶的許可權。

    為什麼會暴露在風險之中

    公司企業沒掌握自身IT系統複雜性,未能完全監視自家整個生態系統,是令自身暴露在風險之中的一大原因。

     很多企業都被大量資料淹沒,且無法將帳戶和用戶行為整合到一起以供分析。而只要無法跟蹤,也就無法知道哪個帳戶存取了哪些資源。

     如果企業員工還沒採用基本安全操作,那麼所面臨的威脅還會更大。網路釣魚攻擊就是用於獲取憑證的一大流行方式。

     駭客會對員工發起針對性攻擊,尋求其亞馬遜、Gmail、PayPal和其他常見服務的登入憑證。他們知道人們常會使用同一對用戶名和密碼登入不同的服務。

     一旦駭客入手了員工的個人帳戶,就可以利用該帳戶嘗試進入其企業網路。很多攻擊者都會對低級別員工下手,以期通過監視其郵件活動來分析出高級別員工的帳戶資訊。

    威脅蓄勢待發

     隨著員工越來越移動化和雲端化,無文件攻擊也會見長。遠端辦公極大地增加了對基礎設施的風險。從外面帶進來的設備都應該在登入本地網路之前再進行一次鏡像和掃描。

     移動設備在醫療保健行業所占比重越來越大,各行各業也都在朝著雲端邁進。但像雲這樣的環境,CISO對誰從哪兒登入的系統到底瞭解多少呢?大部分人都假定雲是安全的,但雲上包含有大量早已棄用理應註銷的憑證,這些憑證可都是攻擊者觸手可得的合法憑證。

     鑒於受經濟利益驅動的攻擊者將一直存在,未來將有更多威脅對企業造成損害幾乎是肯定的。殘酷的現實是,我們將見證破壞性攻擊的增長。

    我們能做些什麼?

     防止網路釣魚應從員工培訓做起。滲透測試是個不錯的培訓辦法,可以增強員工對網路釣魚的免疫力,不至於一被釣魚就上鉤。還應設立暢通的員工報告管道,讓員工只要發現可疑跡象就能快速上報。

     除此之外,公司企業還應緊密關注其生態系統中的各種活動。

     可以引入工具集,找出公司整個基礎設施上的所有憑證。結果可能會令人大吃一驚,基礎設施上流轉的憑證數量往往比員工總數多得多。

     評估了憑證數量之後,公司安全團隊還應深挖這些憑證的使用情況。比如都是誰在哪裡使用了這些憑證,是怎麼使用的。正常登入地點之外的憑證使用都應觸發警報。大型企業或跨國企業這種基礎設施規模龐大的機構組織,有必要引入自動化技術進行憑證安全管理工作。

     傳統身份與存取管理方法也可以借鑒一二,而如果企業夠成熟,可以考慮採納能自動化存取管理的工具集。這些工具在幫助企業掌握網路登入者的身份、位置、登入方法和所做動作上應該會很有幫助。

     

    凱信資訊提供企業帳號身份管理(Identity Managment),能快速盤點企業相關帳號及權限,以及特權帳號密碼管理(Privileged Access Management)能針對特權用戶的帳號密碼進行控管,並追查相關帳戶的使用活動(SIEM / UBA - User Behavior Analytics),進而分析帳號是否被盗用。

  • WannaCry勒索病毒不相信眼淚,破局有四招!

    這是一次破壞性極強的黑客襲擊事件,病毒頃刻之間蔓延全球,爆發不到48小時,100多個國家和地區的企業紛紛中招,目前所知的波及國家數量已超150個,中招設備數量超過30萬台,沒錯,它就是讓人頭疼到想哭的WannaCry勒索病毒。

    WannaCry勒索病毒,有人歡喜有人愁

    WannaCry把中招的人搞得真心想哭。試想,打開電腦,你就有可能面臨著一筆300美元的比特幣「贖金」。雖然安全專家極力強調,不要繳納贖金以免助紂為虐,可不交的話,電腦中所有的重要資料便會丟失,為此讓人虐心。據統計,在事件爆發的第二天晚間,全球已有90人交付贖金,其後繳納贖金的人數上升至116人,而這一數字還在不斷上漲。

    大多數IT安全人員因為這次席捲全球的勒索攻擊事件而在周末忙得不可開交,有的忙著更新補丁,有的猶豫交贖金。而IBM內部尚未接到受感染的案例報告,因為IBM在4月份已通過BigFix向所管理的終端自動推送了此補丁。

    但千萬不要誤以為WannaCry攻擊風波已經平息,未來將還會有更多更新的勒索病毒軟體會利用類似漏洞開展新一波攻擊。作為近來最流行的在線威脅,勒索病毒軟體有時每天發生超過40,000次攻擊,並占攜帶惡意代碼的所有垃圾郵件的65%以上。

    據跟蹤垃圾郵件趨勢的IBM X-Force研究人員指出,2016年,勒索軟體垃圾郵件的增長速度達到了驚人的6000%,從2015年占垃圾郵件的0.6%已上升至2016年占垃圾郵件的平均40%,而2017年情況顯然只會更糟。面對如此嚴峻的安全形勢,唯有依託IBM安全免疫系統,未雨綢繆,方能無懼無憂。

    防範WannaCry勒索病毒攻擊的正確招式

    勒索病毒看似破壞力驚人,其實破解只需四大招!

    1. 補丁更新:公司需要確認是否及時安裝了最新補丁,在勒索病毒變種前對其加以遏制。
    2. 網路阻斷:對於為安裝補丁的系統來說,攔截機制是第二道防線。因此,公司必須確保安全軟體及網路攔擊技術已更新至最新版本。
    3. 即時監控:增設監控,通過數據反饋安全進展。
    4. 積極應對:公司應與IT安全團隊緊密協作,並制定受到感染後的應對策略。

    IBM WannaCry

    看了上面的防範四大招,我們來復原一下IBM安全解決方案為客戶保駕護航的全過程。其實,早在今年3月檢測出 Windows漏洞時,IBM X-Force 的安全研究人員就已做出應對,提醒用戶升級相關補丁;藉助 IBM 的 BigFix 安全補丁和 QRadar 網路保護技術,客戶可以對其數據進行妥善保護。此外,Watson for Cyber Security 能夠分析攻擊警告,並向客戶及託管安全運營中心反饋相關數據。

    其中IBM的終端管理產品在微軟補丁發布當天,即3月14日便發布了更新,IBM入侵防禦系統在4月20日發布更新特徵庫,更新後的產品具有對該漏洞的全面防禦能力。同時,對於其它非IBM用戶防護此病毒除了儘快更新Windows系統相關補丁外,也可利用IBM X-Force Exchange安全情報平台獲得最新的安全信息。X-Force Exchange安全情報平台在漏洞披露當天即發布了漏洞警告,提醒用戶升級相關補丁;除了公布漏洞和攻擊消息,X-Force Exchange安全情報平台還提供了用於防禦的Snort規則、此波攻擊主要IP、已發現惡意軟體哈希值等多項重要信息,便於用戶進行自查和防禦。

    基於四大招,IBM安全解決方案在此次網路安全攻擊中的應對策略如下:

    01補丁支持

    藉助BigFix Patch管理,確保能夠發現並報告所有終端設備的安全情況,儘可能讓受到感染的終端設備自動安裝補丁。並利用閉環驗證,確保補丁安裝成功。同時啟用所有終端設備的持續策略執行狀態,縮小受攻擊面。

    02網路阻斷

    藉助QRadar Network Security,在內部部署網路保護設備。確保進行IP信譽度評分及 URL 過濾,以自動攔截惡意站點存取。並確保網路保護的簽名及Firmware保持在最新版本。

    03即時監控

    通過QRadar Watson、X-Force Exchange與X-Force Malware Analysis的即時聯動,藉助X-Force獲得通用的關聯視圖,對安全分析相關日誌、網路流量及用戶行為進行優先排序,進一步部署網路安全設備,即時檢測惡意軟體及攻擊活動。同時,對使用基於雲的惡意軟體分析服務及自動發送/接收功能,以便快速識別威脅。並利用Watson認知功能打破結構化數據的局限,並將全球最新的研究洞察力運用到活躍威脅防禦之中。

    04積極應對

    實現ResilientBigFix與X-Force IRIS的多方聯動下的未雨綢繆,制定並測試意外事件響應計劃,確保人員、流程與技術的統一。同時確保 IR 流程的統一性、可靠性及合規性,而且可輕鬆予以改進。並在威脅傳播並造成更大危害之前識別、檢測、遏制並修復威脅。此外,通過諮詢具有豐富意外事件管理與安全智能經驗的專家,協助客戶渡過危機,並通過完整的 IR 統籌安排與自動化啟動決定性行動。

    可以看見,IBM的QRadar、X-Force與BigFix等安全產品在此次對於勒索病毒的防禦中各司其職又相互聯動,對安全隱患實施監測並予以阻斷,有效防止用戶遭受侵害。

    從WannaCry到Adylkuzz等層出不窮的勒索軟體,勒索病毒的進攻方式愈加隱蔽,危害更為嚴重,是時候給你的企業建立真正的安全免疫系統了。快快深入了解IBM安全解決方案,不等勒索找上門。



  • SANS:2016年安全分析調查研究報告

    2016-12-23 01:58:31

    2016年12月6日,SANS發佈了第4期(2016年度)安全分析調查研究報告。報告對全球348名受訪者進行了調查研究。結果顯示,38%的人用安全分析來評估風險,35%的人用安全分析來識別惡意行為,31%的人用來實現合規。這也是安全分析最常用的三個場景。安全分析自動化不足的問題依然沒有多大改觀,和上次調查研究相比,依然僅有4%的人認為自己完全最到了安全分析自動化,僅有22%的人使用了機器學習相關的工具來參與安全分析。


    1、資料收集的範圍

    首先是應用日誌(包括應用的審計日誌),第二是網路FW/IDS/IPS/UTM設備日誌,第三是漏掃/配置核查/補丁管理結果,第四是端點保護系統的日誌,再往後還有主機反惡意程式碼系統(AV)日誌,Whois,DNS日誌,情報資料,包檢測資料,使用者行為監測資料,身份資料,資料庫日誌,沙箱日誌,雲安全性記錄檔,大資料系統日誌,等等。

    image001

    2、威脅情報的收集與集成

    首選的用SIEM來收集情報,並將情報與各種資料進行關聯。其次是用自己開發的系統來做。

    image003

    3、安全分析過程的自動化

    認為完全自動化了的只有3.6%,差不多自動化了的有53.7%,根本沒有自動化的有22.1%,還有10.5%的人不知道是否做到了自動化(也基本可以視作沒有自動化)。

    image005

    4、是否發生過資料洩漏

    65%的人都表示過去兩年內自己單位發生過需要處置的資料洩漏事件。表示沒有發生過的占17%。

    image006

    5、回應速度

    整體上好於去年。62%的人表示最快可以在被攻陷後1天之內就檢測出來,而僅有5%的人最長需要超過10個月才能發現自己已經被攻陷。

    image008

    6、報警機制

    針對資訊洩漏和破壞事件的觸發來源,終端監測軟體的報警是最多的方式,其次是依靠SIEM的自動化告警,以及其他分析系統的自動化告警,再往後是依靠邊界防禦設備的告警,協力廠商供應商的告警,客戶發起的報告。

    image009

    7、安全分析的短缺

    最主要的三個短缺依次是:缺乏分析技能(也就是缺人,並且是高水準的人)、缺乏預算和資源、難以進行行為建模和檢測不出異常、缺乏對網路流量和日誌的可視性。簡言之,分析工具再NB,沒有分析人員也白給!

    image011

    8、安全分析工作的頻度

    在防護、檢測和回應階段,安全分析都佔據了很長的時間比,說明安全分析佔據了安全運維工作的重要角色。

    image013

    9、安全分析最有價值的場景

    依次是評估風險、識別可疑或者惡意的用戶行為、合規監測與管理、檢測外部惡意威脅、提升對網路和端點行為的可視性、檢測內部威脅,等等。

    image015

    10、可量化的改進

    有44%的受訪者表示他們通過安全分析工具能夠獲得可量化的改進和提升。

    image017

    11、對自身安全分析能力的滿意度

    16.1%人對於提升檢測速度表示十分滿意,54.1%的人對於性能、回應時間、查詢速度表示滿意,40.9%的人對預測和阻止未知威脅表示不滿意,45.5%的人對於“知彼”能力很不滿意。

    image019

    12、大資料安全分析和安全分析的區別

    還有48.2%的人認為二者沒有本質區別,但有34%的人認為二者有區別,主要體現在分析流程和工具的差異化上。SANS認為將這兩者區分開來標誌著對安全分析的深入理解。

    image021

    13、未來在安全分析領域的投資方向

    跟去年的調查研究類似,第一位的是人員和培訓,有49%的人投給了人和培訓。接下來,42%的人投給了檢測和SOC升級;29%的投給了事件回應(IR)集成;再往後是SIEM工具和系統,以及大資料分析引擎和工具。有趣的是安全情報產品工具和服務從去年的43%降低到了今年的18%,SANS估計是因為組織當前更加注重內部資料的收集,多過依賴協力廠商產品和服務。

    image023

    小結:更多的組織和單位開始使用安全分析,我們收集的資料越來越多,也越來越好,但最大的問題還不能很好地利用這些資料來進行檢測與回應。儘管我們可以更快地發現未知威脅,但是我們依然沒能很好地劃定威脅優先順序、集中的修復和彙報,以及建立正常的行為模型從而標記出異常。導致如此的原因之一就在於長期缺乏SOC運維的技能,以及管理上和資金上的支撐。

    Utilization of security analytics is slowly improving, and we’ve done a much better job of collecting data, but more effort is needed to detect, respond and report results using analytics before we can say we’re really maturing in this space.

  • 預防和檢測如日中天?資安事件響應(Incident Response , IR)表示不服

    預防和檢測如日中天?資安事件響回應(Incident Response , IR)表示不服

    原創 2016-11-22 Martin安全牛

    近些年,企業安全工作的關注點,一直聚焦在如何預防駭客攻擊。但是,頻發的大型跨國企業的資料洩露事件表明,即使是對網路安全更為重視,同時也投入了更多成本的金融業,也明白了無論做了怎樣的安全防護,遲早會被駭客成功入侵的道理。這已經成為了所有企業必須認清的事實。

    因此,企業安全防護的重點,也隨之轉移到如何更快地發現安全問題,並及時針對這些安全事件,做出合理且有效的回應上。

    事件回應(Incident Response)的發展現狀

    很長時間以來,事件回應並不受安全廠商重視,而是作為產品的附加服務,通過少數售後工程師駐場的方式,與甲方的IT(安全)運維部門合作,解決在安全事件發生後相關產品的運維問題。

    但是,事件回應流程本身的複雜性和多變形卻被嚴重低估。事件回應流程本身因企業的IT資產和遭遇的網路攻擊不同而多種多樣,流程的各步驟相互牽制,且要遵守企業不同所屬行業的資料安全標準和規範。這種相對低效且未經詳細整體籌畫的回應方式,在面對安全事件發生後,需要以秒為單位計算企業損失的情況下,不免有些過於無力。

    為什麼要重視事件回應?Co3 Systems(在2015年初正式更名為Resilient Systems)的首席技術官布魯斯·施奈爾在2014年美國的黑帽大會的演講中談到,因為預防不可能做到完美,所以越來越多的企業如今正在加強事件回應能力。這其中的主要原因包括:已經失去了對計算環境的控制,很多防護機制無法實施;攻擊行為變得更加複雜,需要更多的回應措施;身不由己地被捲入其他人的安全攻防戰鬥;企業對安全防護和檢測措施從的投資往往不足。

    事件響應目前所面臨的主要問題有兩點,一是我們仍無法實現完全的自動化,二是不能將人員從安全的迴圈中移除。我們應當採用工程化的手段,使得系統能夠支援回應迴圈中的人員執行關鍵任務。是技術來輔助人員,而不是反過來。

    今年4月,IBM完成對Resilient Systems的收購,並以外掛程式的方式實現Resilient Systems的事件回應平臺與IBM QRadar的無縫整合。

    Resilient Systems如何做事件回應

    Resilient Systems的事件回應平臺(IRP)是一個將流程、人員和技術進行緊密整合的自動化平臺。其最大的優勢,在於以安全事件為導向,通過內置的行業標準和最佳實踐,將響應流程整體細化、分解,並自動化的對流程進展狀況進行監控,幫助企業快速進行安全事件的應急回應。

    Resilient IRP 1

    IRP的核心價值在於對企業核心IT資產的安全防護,所以IRP要與企業網路中現有可掌控全域IBM QRadar、ArcSight、SplunkSIEM類平臺產品進行對接,以獲取關於攻擊和資產狀態的資訊。

    Resilient IRP 2

    確認攻擊類型後,IRP會以企業IT資產為單位,將回應流程進行細緻的分解,並下發給IT運維部門,分解後的回應流程可以大致分為人工和自動兩個大類。目前Resilient SystemsIRP平臺仍是半人工半自動化的,但這兩種方式的結合使得整個處理進度變得更加可控。同時,IRP平臺對整個事件回應流程的定義是完全開放的,企業可以根據自身網路環境、特殊的業務需求和相關標準來添加自訂流程,將僅有紙質文檔的標準自訂到Resilient SystemsIRP平臺上,並作為可複用資產,在不同企業或子公司之間進行共用。

    實現事件回應演練

    軍方需要常規性地軍事演練,以保證在戰時盡可能地最大程度發揮出部隊應有的戰鬥能力。安全事件發現後的回應環節亦是爭分奪秒的戰場。

    Resilient SystemsIBM QRadar可以通過搭建虛擬環境,和企業內部驅動的滲透/眾測兩種方式,進行事件回應的演練。虛擬環境本身可以由IBM QRadar自身通過對某些規則的演練或者測試網路環境的搭建來完成。滲透/眾測情況下,企業可以通過外包的方式,邀請滲透測試團隊駐場測試,或者是在協定測試基線的前提下(不觸碰業務資料等)進行眾測,對企業網路進行攻擊

    經常性的進行回應演練,不僅可以定期量化地評估QRadar檢測問題和IT運維部門事件回應的能力,這也有助於企業有針對性地進行安全防護和事件回應能力的提升。但演練的形式和頻率,則由企業自行決定。

    Resilient SystemsIBM QRadar

    如果看過安全牛之前的文章,可以瞭解到IBM QRadarIBM安全的大腦,也是終端、資料庫、身份管理等對應安全設備間聯動的核心。

    IRP不同,QRadar是以企業IT資產為導向的,在QRadar定位攻擊及受影響資產及其狀態等資訊後,每個確認攻擊的詳細資訊都可發送到IRP平臺,自動生成並開始事件回應流程。在完成某個攻擊引發的安全事件的應急回應後,整個處理過程的相關資訊,包括對應攻擊類型、回應流程細節、下發和完成時間等資訊,都會被IRP平臺記錄。Resilient Systems可以自動將整個回應過程評價量化,並提供相應報表的生成。除了對安全部門的監督外,它也是IT運維團隊的事件回應能力的一個具體表現。

    Resilient IRP 3

    CISOCEO等高管角度考慮,當管理層不再只是關心由安全部門還是IT部門承擔事故責任,而更多的是關注如何提高企業整體的事件回應能力時,Resilient Systems能一份客觀詳盡地評估和答卷。

    事件回應的發展趨勢

    目前事件響應最大的挑戰,是從誤報中甄別哪些是真正嚴重的攻擊,哪些只是腳本小子所為,以及攻擊行為是如何影響企業自身的網路環境。QRadar自身通過駭客對不同資產發動的不同攻擊,將駭客的危險層級進行區分。一些相對低端的行為,如通過某些成熟的自動化工具對週邊安全和網路設備進行的攻擊,在QRadar確認後則會聯動相應設備自動化的進行攔截處理。而在問題變得相對複雜時,才會告警並提醒安全人員將攻擊資訊提交到Resilient Systems,開啟事件響應流程。但是,目前每天過多的攻擊告警,使得安全人員應接不暇,疲於奔命。不光是真正的安全威脅會湮沒在其中,即使將攻擊細節提交給Resilient Systems,也已經耗費了過多的人力。

    可以說,自動化將會是目前事件響應最大的進化。

    對威脅的預防、檢測、遏制、進化以及學習能力,都會在對安全攻擊進行回應的時刻集中體現。安全回應過程也必然會變得更具協調性。如果不能把預防、檢測和回應這三者間的關係協調好,實現步調一致,那麼安全性也就無從談起。

    最後,如果從企業安全中延展開來,我們可以看到,物聯網的高速發展所帶來的新型安全威脅,對事件回應的流程和理念,也勢必會產生影響,事件響應也會隨之升級。不遠的將來,事件回應的保護的細微性可能將不再僅是IT資產和資料,還要顧及企業的每個用戶甚至是用戶這個個體本身。從安全的整體性考慮,打造一個全網路世界而不僅是某個企業網路的安全免疫系統,已經迫在眉睫。

    安全牛評

    事件回應作為企業安全防護中至關重要的一環,卻從近兩年開始行業內的聲音才有所變大。這也是Resilient SystemsIRP平臺一直沒有直接競品的主要原因。雖然有部分IT服務管理平臺,或者安全廠商提供的應急回應小組駐場服務,但是僅此兩者是不夠的。將安全行業的最佳實踐和成熟自動化的IT服務管理結合,是事件回應發展的必然趨勢,也是Resilient Systems最大的優勢。

  • IBM安全產品線全解讀 聯動一切的QRadar

    IBM安全產品線全解讀  聯動一切的QRadar

    原創 2016-09-27 Martin安全牛

    201110月,網路安全公司Q1 LabsIBM3440萬美元的價格收購,Q1 Labs旗下的明星”SIEM產品QRadar20082012年處在Gartner魔力象限的SIEM領導者地位)也自然被IBM收入囊中,並納入其安全產品線之列。

    QRADAR news1

    很多人仍有這樣一個誤區:不像IBM Watson那樣高大上QRadar仍舊只是一個進行日誌分析和事件管理的工具。其實則不然。

    不只是SIEM

    IBM安全對其安全產品線進行梳理,進而提出的安全免疫系統中,QRadar處於安全智慧,也是中心的位置。其本身包含SIEM、日誌管理、漏洞管理和風險管理等功能模組。以及,例如,針對QRadar用戶行為分析(UBA)功能擴展,在Security App Exchange由合作夥伴或IBMQRadar開發的61個功能擴展包,以便QRadar產品自身功能性的延展以及和其它廠商的安全設備的聯動。

    QRADAR news2

    Security App Exchange平臺

    由此可見,QRadar目前的所具備的功能,遠不止SIEM這麼簡單。然而,由於QRadar本身是由SIEM起家,所以對於QRadar來講,它首先仍是對日誌的管理,之後才是安全事件,以及對事件回應流程的控制。同時,延伸出對漏洞、風險的管理,以及對用戶行為的分析等。這些都是QRadar的重要能力所在,也是實現和安全設備聯動的基礎。

    QRadar為核心的聯動

    QRadar與傳統SIEM的最大區別,在於傳統SIEM更多的只是針對安全事件進行預警,而QRadar更多的則是透過與安全設備的聯動,即安全設備根據QRadar的指令做出回應動作,使企業整個安全防禦體系可以根據不同安全事件的發現或發生,進行即時動態的防禦規則變更,對安全事件進行自動化的回應。

    QRADAR news3
    安全免疫系統

    當然,QRadar和企業內部網路部署的安全設備的關係,不會像一個糖葫蘆一樣分先後,而更像是司令部,在企業安全防線的後方,搜集戰情,分析戰況,甚至作為指揮中心,調兵遣將。

    1.安全性漏洞的修復——BigFix的聯動

    BigFixIBM2010年完成收購的終端安全管理軟體,其主要是針對桌面和資產進行管理,以及軟體和安全補丁的分發。在漏洞管理方面,QRadar本身有自己的相應模組。但其不同點在於,QRadar會將所有漏洞,如終端、網路設備或應用漏洞等全部彙聚到QRadar的漏洞管理模組中,同時還可以接入一些協力廠商的漏洞掃描工具。而BigFix則除了漏洞的發現外,更側重於對安全性漏洞的修復能力。

    BigFix的安全性漏洞資訊來源分成兩部分,本身BigFix自身有一個漏洞庫,漏洞庫中的補丁都是廠商發佈的官方補丁。另一部分是IBMX-Force平臺提供的威脅情報,比如說某個漏洞的CVE。但是,因為情報出來了不代表就有了安全補丁,所以BigFix本身有部分研究人員去對這些暫時沒有補丁的漏洞開發一些和其它設備聯動,或對相關漏洞利用進行檢查或阻斷的方法。

    在與QRadar的聯動方面,從終端的系統和軟體來看,透過BigFix的用戶端發現存在安全性漏洞後,QRadar會通知管理員這個安全性漏洞的情況以及相應的風險評級,安全管理員可以透過QRadar來告知BigFix是否決定修復;如果決定修復,補丁分發的操作可以在BigFix平臺上一鍵執行。

    QRADAR news4

    BigFixQRadar的聯動

    透過在不同終端安裝用戶端的方式,BigFix能夠收集客戶所有安裝軟體的基本資訊,並將這些資訊定時回饋給QRadar。而QRadar則從伺服器(而不是終端)的視角,將BigFix給出的資訊進行匯總和分類。如果確認某個伺服器缺少某個補丁,那麼QRadar就會透過BigFix及其用戶端實現漏洞的修復。同時,管理員可以透過BigFix平臺對漏洞修復進度進行即時監控。修復完成後,會將修復資訊再次回饋給QRadar的漏洞管理模組,並對系統記憶體在漏洞的資訊根據修復結果進行變更。

    安全性漏洞的修復與否,決定權在管理人員手裡,他們會根據QRadar給出的漏洞風險等級,以及是否會影響到企業業務連續性等指標去具體地權衡。

    2. X-Force——QRadar的主要威脅情報來源

    談到安全性漏洞,勢必要談談威脅情報。目前QRadar的威脅情報源,更多的是透過X-Force平臺的接入,其提供的諸如惡意軟體樣本、惡意IP或惡意DNS庫,CVE資訊等,都是QRadar非常重要的情報來源。

    IBM在全球擁有12個安全運營中心(SOC),很多SOC客戶都與IBM簽有相關協議,一些在運營過程中發現的安全問題,允許IBM共用到X-Force平臺,所以X-Force有大量的安全資料來自IBMSOC,對這些資料的分析和利用無疑成為了IBM安全的重要支撐力量。

    除此以外,還有一些來自本地的網路或安全設備的情報,例如MaaS360IBM實現對移動端設備進行管理的軟體)來確認企業員工是否對其手機進行了越獄或root。這種行為因為增加了被安裝惡意app的風險而被定義為違規事件,那麼作為一項脆弱資產,當這個高風險設備對內部資源進行訪問時,QRadar就會有所警覺。

    QRADAR news5

    MaaS360BYOD安全的支持

    3.網路層動態阻斷——Network Protection XGS的聯動

    BigFix相比,Network Protection XGS(以下簡稱XGS,作為功能類似於傳統的IPS的網路層的安全設備來講,其與QRadar的聯動則因為大量規則的動態配置,反而要複雜一些。與防火牆較為基礎的透過黑白名單進行規則匹配不同,IPS則是透過DPI(深度包檢測),將網路層的資料包進行7層解析,進而發現其中的安全威脅並實現阻斷動作。這也是IPS本身的優勢所在。

    QRADAR news6

    XGSQRadar的聯動

    XGS將其分析得來的資料以日誌的形式接入QRadar後,透過QRadarXGS日誌和駭客可能攻擊的目標設備日誌進行比較分析後,就可以清楚地得知駭客在透過何種攻擊手段攻擊企業網路中的哪部分資產,並在告知企業安全管理員的同時,QRadar會命令XGS和目標設備做出相應動作,同時在網路層和目標設備的訪問這兩個點進行阻斷。例如,XGS透過對資料包的解析確定是資料庫伺服器在遭到攻擊,那麼Guardium或者其它資料庫安全產品,就會對資料庫存取控制策略進行動態變更,並同時XGS在網路層對攻擊IP等進行阻斷。

    在發現攻擊的情況下,網路層和受攻擊設備兩個方面,同時進行防禦動作,這個過程也正是IPS資料對QRadar的意義所在。

    除此以外,如果企業透過某個漏洞掃描軟體,發現了某部分資產存在脆弱性,比如說安全性漏洞,但是由於所處行業比較特殊,或者相關廠商還未發佈安全補丁,那麼QRadar也可以根據這個漏洞的利用方式,在XGS上生成特定的規則,以實現對相關漏洞利用請求的阻斷。

    當然,IBM有自己的漏掃產品,AppScan,其作為一個檢測類工具,只能透過黑盒和白盒測試對應用的邏輯漏洞進行掃描,而不再有之後的動作,漏洞的修復需要與BigFix聯動完成,或者結合XGS對相應行為進行阻斷。

    QRADAR news7

    AppScan平臺

    AppScan側重的邏輯漏洞不同,IBM安全在移動端的反欺詐產品Trusteer Mobile,則更多的傾向於是否存在被惡意利用的安全性漏洞,即針對應用的惡意行為做檢測。特別是在金融領域,包括釣魚郵件,惡意url、惡意軟體和惡意網站等,同時Trusteer的惡意樣本庫也會接入X-Force平臺。因為很多漏洞利用的目標在於對特權帳戶的竊取,所以在發現應用漏洞的高危行為後,Trusteer也會透過QRadar與特權帳號管理模組(PIM)進行聯動。

    除了進行漏洞修復的BigFix和在網路層實現動態阻斷的XGS,再談談QRadarIBM的資料庫安全產品Guardium的雙向整合。

    4.資料庫存取控制和帳號許可權變更——Guardium的雙向整合以及和身份管理和認證平臺(IAM)的聯動

    在之前Guardium資料庫安全技術詳解》這篇文章中也有提到QRadarGuardium的雙向整合。Guardium作為資料庫安全這一細分領域的產品,往往在使用上常涉及特權帳號的管理。國內有很多客戶選擇使用堡壘機來實現對帳號及其許可權的控制,以及用戶行為的審計,這個功能IBM也有相應的身份與存取控制產品(PIM)來實現。

    QRADAR news8

    QRadarGuardium的雙向整合

    QRadarGuardium的雙向整合,主要目的在於避免由於錯誤配置和脆弱性資料庫資產所帶來的安全風險。透過Guardium的資料庫活動日誌的即時回傳,QRadar可以將資料庫活動資訊進行上下文環境的關聯分析,識別並阻止攻擊。同時,QRadar也可以命令,將XGS等安全設備分析出的可以IP資訊送給Guardium,並命令其阻斷來自此IP位址對資料庫的存取權限。如果這個IP是某個企業內部人員所使用,那麼對應的帳戶也可以透過QRadarPIM的聯動對其帳號許可權進行調整,並實行更為嚴格的安全性原則。

    例如,某人透過特權帳號登入資料庫(登入後其桌面會自動被PIM錄影),執行查詢語句並獲取相關的資料後,並對資料庫操作記錄進行了清除。Guardium會將其判斷為惡意或攻擊行為,其之後對資料庫的所有操作均會被Guardium阻斷,同時QRadar要求PIM在其登入時加上了雙因數認證的強制要求,同時命令XGS對所有此帳戶常用的終端在登入進企業內網時進行阻斷,並給出相關預警。

    在上面這個例子中,QRadar用戶行為分析(UBA模組是支撐Guardium判定很重要的一個點,UBA本身需要很多規則來對使用者的行為進行判定,判定後QRadar透過對GuardiumXGS以及PIM近乎同時的指令下達,從帳戶,網路接入以及資料庫存取權限三方面對高危行為進行約束和控制,以實現對企業資料安全的保護。

    除此以外,Qradar不但可以與特權帳號管理平臺(PIM)整合,還可以與IBM傳統的身份和認證平臺(IAM)實現整合,為企業提供更加深入地針對帳號和許可權的安全風險分析。例如,發現繞過統一認證平臺對後臺系統的訪問、帳號和許可權的變更、核心帳號的違規共用,以及員工離職變崗後訪問原有崗位敏感性資料等情況。

    QRADAR news9

    除了上面所提到的這些,今年3IBM才完成收購的Resilient SystemQRadar的聯動,則很好的補全了事件回應這一環,使得以QRadar的核心的IBM安全免疫系統真正具備了一個SOC工具所需具備的防禦+檢測+回應這三個能力。

    5.事件回應工單流程的自動化——Resilient System的聯動

    Resilient的事件回應,更多的是考慮一個安全運營中心的整個工作流程,是工單流程的自動化,而不再是像XGSGuardium一樣某個特定領域的安全產品。

    QRADAR news10

    QRadar中整合Resilient System

    安全事件的工單流程是什麼樣子的?這裡可以舉個簡單的例子。

    管理員透過QRadar看到了某個攻擊,包括攻擊本身的公網ip,攻擊者的目標以及發起攻擊所利用的安全性漏洞。出現了安全事件之後,需要進行的回應包括阻斷、漏洞修復等操作,而這些都需要一個工單流程來做。這時Resilient會告訴安全管理員這是一個編號為XXX的安全事件,這個事件的安全風險處於哪個級別,它的責任人是(假設為)小王,需要他對這起事件進行分析和處理。如果這是一個網站的安全問題,小王之後要通知網站管理員小劉。小劉發現是一個安全性漏洞,通知伺服器的運維人員小李在伺服器上打個補丁。小李最後讓小張調用BigFix去進行這個安全性漏洞的修復工作。

    這是一個標準的工單流程,它說明一個安全事件的處理流程,需要不同的人參與進來。

    當然,安全管理員還要判斷這個安全事件的影響範圍,如果影響到企業的客戶,要通知相關部門對其進行賠償和道歉,對於合作夥伴則要告知,對監管部門則要上報。雖然每個國家每個行業對這套流程的標準都不盡相同,但是Resilient也可以處理。同時,這個過程中還有可能涉及到企業外部的供應商,那麼對供應商可以拿到的資料是否有合規上的要求,比如某些業務資料要進行加密或脫敏處理,以及一些用戶隱私的保護,這些都是Resilient所考慮的。

    企業安全管理員透過QRadar發現的安全問題,可以透過Resilient以幾乎自動工單的方式,和相關安全設備進行對接,並透過QRadar對整個工單流程的實施進展進行即時監控。

    QRadarSOC中的定位

    QRadar及其和IBM安全產品線的聯動,而形成的這一集安全防禦、安全檢測和安全回應的安全體系,是否就是一個完整的安全運營中心?IBM認為不是,理由在於QRadar沒有大腦,它目前還無法做到將一切事項自動化,同時這個安全體系仍舊需要安全分析師來進行決策。也就是說,在發生安全事件之後,還是需要人來決定如何處理、回應,而QRadar只能說是SOC裡比較好用的工具之一。

    類似於醫院,即使有血常規、B超、腦部CT等檢查報告,它們也只是輔助醫師對患者的病情進行更準確的判斷,但最終的診斷和處方,還是由醫生本人來確定和開具。最近IBM宣導的認知安全也是如此,雖然它在不斷的學習如何從安全的角度來看待自然語言文本,但其現階段的目標也還只是減少企業安全分析師在技能上的缺陷,以及大幅度縮減其用於安全分析的時間成本,但它還遠不能代替安全分析師來做決斷。

    QRADAR news11

    IBM Watson輔助醫生做出診斷

    不過,可以看到,QRadar2012年進入IBM安全產品線以來,其自身早已不再是傳統的SIEM那麼簡單,而是作為IBM安全免疫體系中真正的核心,統率著整個IBM安全產品線。

    安全牛評
    IBM
    最大的優勢,就是在於對未來趨勢發展的準確把握和判斷,以及IBM對各細分安全領域處於領導者地位的安全廠商進行收購後,對其產品極強的整合能力。透過收購,不僅是從產品類別或功能上對整個IBM安全產品線進行補充,同時還與其它安全產品形成有機的聯動。這無疑成就了IBM安全免疫體系特有的協同效果。