UBA

  • 無文件攻擊的興起與應對之道

    無文件攻擊的興起與應對之道

    無文件攻擊比基於惡意軟體的傳統威脅更容易實施也更有效,因而給公司企業的安全防護帶來了更大的挑戰。

    網路罪犯自然會尋找阻力最小的途徑實施攻擊,這也正是越來越多的網路罪犯採用無文件攻擊的原因所在。隨著攻擊者對該攻擊手法的應用越來越得心應手,企業雇員越來越依賴移動設備和雲來開展工作,無文件攻擊的威脅也越來越大了。

    無文件攻擊也就是非惡意軟體攻擊,是一種可以讓攻擊者省去傳統惡意軟體攻擊所需步驟的攻擊手法。他們不用建立攻擊載荷,只需簡單地利用可信程式獲取記憶體存取即可。2017年,利用PowerShell或WMI的無文件攻擊占了全年攻擊總數的52%

    儘管如此,企業依然沒有對無文件攻擊投以足夠的關注。大多數人對網路安全行業的認知依然停留在打了多年交道的傳統攻擊方法上。

    企業是時候進一步瞭解這些威脅的工作機制了。他們有必要搞清如何檢測無文件攻擊,為什麼無文件攻擊會呈增多趨勢,以及可以採取哪些步驟做好防護。

    現代無文件攻擊的進化史

     無文件攻擊並不是新鮮事物,但它們隨著時間流逝而發展變化。

     今天的無文件攻擊遠不止“無文件”這麼簡單,要說無文件的話,十幾年前的紅色代碼(Code Rad)病毒和Slammer蠕蟲就應用了無文件的概念,藏身於記憶體之中;但今天的無文件攻擊是整個攻擊鏈、攻擊步驟全都無文件。即便今天的無文件攻擊確實涉及到攻擊載荷,這些載荷也往往貌似合法,因而非常難以檢測。

     無文件惡意軟體攻擊的增長,源于其易用性和終端檢測及回應(EDR)工具的改進。

    網路中真正令企業傷筋動骨的,是用戶名和密碼被盜,而不是擺了他們一道的惡意軟體本身。

     攻擊者使用域帳戶和IP管理員密碼在目標網路內橫向移動並盜取資訊。他們的活動形式多樣,大多數情況下獲取某使用者的 Office 365 或AWS登入帳戶更有價值。

     某種程度上,所有攻擊者都必須先進入網路或系統,也就是說,憑證盜竊是攻擊的第一步。本地管理員憑證往往是首選,因為沒人對它們多加關注,它們也沒被指派給具體個人。這基本上是種常態,畢竟這麼做可以讓管理工作更簡單些。服務帳戶憑證同樣脆弱。攻擊者一旦接入系統,就會用提權技術提升此類帳戶的許可權。

    為什麼會暴露在風險之中

    公司企業沒掌握自身IT系統複雜性,未能完全監視自家整個生態系統,是令自身暴露在風險之中的一大原因。

     很多企業都被大量資料淹沒,且無法將帳戶和用戶行為整合到一起以供分析。而只要無法跟蹤,也就無法知道哪個帳戶存取了哪些資源。

     如果企業員工還沒採用基本安全操作,那麼所面臨的威脅還會更大。網路釣魚攻擊就是用於獲取憑證的一大流行方式。

     駭客會對員工發起針對性攻擊,尋求其亞馬遜、Gmail、PayPal和其他常見服務的登入憑證。他們知道人們常會使用同一對用戶名和密碼登入不同的服務。

     一旦駭客入手了員工的個人帳戶,就可以利用該帳戶嘗試進入其企業網路。很多攻擊者都會對低級別員工下手,以期通過監視其郵件活動來分析出高級別員工的帳戶資訊。

    威脅蓄勢待發

     隨著員工越來越移動化和雲端化,無文件攻擊也會見長。遠端辦公極大地增加了對基礎設施的風險。從外面帶進來的設備都應該在登入本地網路之前再進行一次鏡像和掃描。

     移動設備在醫療保健行業所占比重越來越大,各行各業也都在朝著雲端邁進。但像雲這樣的環境,CISO對誰從哪兒登入的系統到底瞭解多少呢?大部分人都假定雲是安全的,但雲上包含有大量早已棄用理應註銷的憑證,這些憑證可都是攻擊者觸手可得的合法憑證。

     鑒於受經濟利益驅動的攻擊者將一直存在,未來將有更多威脅對企業造成損害幾乎是肯定的。殘酷的現實是,我們將見證破壞性攻擊的增長。

    我們能做些什麼?

     防止網路釣魚應從員工培訓做起。滲透測試是個不錯的培訓辦法,可以增強員工對網路釣魚的免疫力,不至於一被釣魚就上鉤。還應設立暢通的員工報告管道,讓員工只要發現可疑跡象就能快速上報。

     除此之外,公司企業還應緊密關注其生態系統中的各種活動。

     可以引入工具集,找出公司整個基礎設施上的所有憑證。結果可能會令人大吃一驚,基礎設施上流轉的憑證數量往往比員工總數多得多。

     評估了憑證數量之後,公司安全團隊還應深挖這些憑證的使用情況。比如都是誰在哪裡使用了這些憑證,是怎麼使用的。正常登入地點之外的憑證使用都應觸發警報。大型企業或跨國企業這種基礎設施規模龐大的機構組織,有必要引入自動化技術進行憑證安全管理工作。

     傳統身份與存取管理方法也可以借鑒一二,而如果企業夠成熟,可以考慮採納能自動化存取管理的工具集。這些工具在幫助企業掌握網路登入者的身份、位置、登入方法和所做動作上應該會很有幫助。

     

    凱信資訊提供企業帳號身份管理(Identity Managment),能快速盤點企業相關帳號及權限,以及特權帳號密碼管理(Privileged Access Management)能針對特權用戶的帳號密碼進行控管,並追查相關帳戶的使用活動(SIEM / UBA - User Behavior Analytics),進而分析帳號是否被盗用。

  • IBM QRadar SIEM名列2017Gartner安全資訊與事件管理領導者

    IBM QRadar SIEM名列2017Gartner安全資訊與事件管理領導者

    2017-12-14 22:26經濟日報 蔡尚勳

    在全球著名研究機構Gartner 近日最新公布的「安全資訊與事件管理力魔力象限」(Magic Quadrant for Security Information and Event Management) 報告中,IBM 再度名列「領導者(Leader)」,這已是IBM QRadar 連續第九年在Gartner 的SIEM 魔力象限獲選為領導者。

    Gartner 定義SIEM 市場需求為:即時分析事件資料,以便早期偵測蓄意攻擊與資料洩露,並且收集、儲存、分析、調查、回報事件資料,提供事件回應、鑑識、合規所用。

    IBM QRadar 提供多項進階功能,包括使用者行為分析(User Behavior Analytics, UBA) 、網路活動與異常檢測分析(Network Insights)、機器學習(Machine Learning)分析應用、認知安全(Watson CyberSecurity)應用等。並且透過QRadar App Exchange,大幅拓展了與第三方合作夥伴工具的整合能力。QRadar 結合IBM X-Force 威脅情資,並納入IBM Resilient 安全事件回應平台,將偵測與事後回應工作密切結合,提供完整的處理機制。

    Gartner 評鑑IBM 的SIEM 旗艦產品QRadar 的優勢在於:

    1.支援中大型企業所需的SIEM核心能力,並提供一套能涵蓋多種安全監控與維運技術的整合平台。

    2.提供能支援多重環境(on-premises與IaaS雲端) 監控的靈活架構。

    3.QRadar App Exchange 可將多方內容與資源整合進入QRadar Console 中控台,提升使用體驗。

    4.免費的使用者行為分析(UBA)與機器學習(Machine Learning) 應用,有助於企業進行進階的分析與針對使用者行為的監控。

    5.整合並關聯多重的網路事件來源,提供單一視圖。

    Gartner2017

    Gartner 的各項Use Case 評比當中,QRadar 在二項指標當中都是第一名:

    1. Advanced Threat Detection Use Case   (進階威脅偵測)

    2. Forensics and Incident Response Use Case  (鑑識與事件回應)

    IBM QRadar為「安全免疫系統」的指揮中樞

    辨識威脅行為當下提出告警,已是SIEM基本功能。目前企業更關注於聯合防禦機制,也就是在判斷威脅行為當下須觸發具備控制能力的防火牆、IPS等資安設備,立即執行阻斷,藉此降低資安事件造成的損害。

    IBM資訊安全事業部協理金天威表示,為了協助企業建立資安關鍵的預防、偵測、回應能力,IBM提出「安全免疫系統」架構,統一整合端點、行動應用、資料與應用程式、雲端、身分驗證與存取、進階詐騙、網路、外部威脅情資等各個環節的資訊,以IBM QRadar作為核心中樞,建置資安智慧平台執行大數據分析,提供網路、使用者、資料(庫)及應用程式等活動的深度可視性,協助快速偵測威脅,並依據風險等級排列事件處理的優先順序,協助關鍵問題答案、更有效管理資安威脅。

    SIEM未來發展在3C

    全球資安攻擊事件層出不窮,新型態的網路攻擊日新月異,加上全球資安人才短缺日益嚴重,對企業資安整體策略帶來重大挑戰。從SIEM 解決方案持續演進的趨勢來看,以下三點是關鍵方向,亦為IBM整體安全架構及IBM QRadar 發展的重點:

    1.Cloud 雲端安全— 利用雲端資源提供簡單、隨時可得的安全防護。

    2.Collaboration協同合作— 分享與善用威脅情資、分析與最佳實踐,減輕人才缺乏的壓力。

    3.Cognitive認知運算/人工智慧— 面對資安資料爆炸性成長與資安知識落差,運用智慧達成自動化,做出更好、更快的決策。

  • SANS:2016年安全分析調查研究報告

    2016-12-23 01:58:31

    2016年12月6日,SANS發佈了第4期(2016年度)安全分析調查研究報告。報告對全球348名受訪者進行了調查研究。結果顯示,38%的人用安全分析來評估風險,35%的人用安全分析來識別惡意行為,31%的人用來實現合規。這也是安全分析最常用的三個場景。安全分析自動化不足的問題依然沒有多大改觀,和上次調查研究相比,依然僅有4%的人認為自己完全最到了安全分析自動化,僅有22%的人使用了機器學習相關的工具來參與安全分析。


    1、資料收集的範圍

    首先是應用日誌(包括應用的審計日誌),第二是網路FW/IDS/IPS/UTM設備日誌,第三是漏掃/配置核查/補丁管理結果,第四是端點保護系統的日誌,再往後還有主機反惡意程式碼系統(AV)日誌,Whois,DNS日誌,情報資料,包檢測資料,使用者行為監測資料,身份資料,資料庫日誌,沙箱日誌,雲安全性記錄檔,大資料系統日誌,等等。

    image001

    2、威脅情報的收集與集成

    首選的用SIEM來收集情報,並將情報與各種資料進行關聯。其次是用自己開發的系統來做。

    image003

    3、安全分析過程的自動化

    認為完全自動化了的只有3.6%,差不多自動化了的有53.7%,根本沒有自動化的有22.1%,還有10.5%的人不知道是否做到了自動化(也基本可以視作沒有自動化)。

    image005

    4、是否發生過資料洩漏

    65%的人都表示過去兩年內自己單位發生過需要處置的資料洩漏事件。表示沒有發生過的占17%。

    image006

    5、回應速度

    整體上好於去年。62%的人表示最快可以在被攻陷後1天之內就檢測出來,而僅有5%的人最長需要超過10個月才能發現自己已經被攻陷。

    image008

    6、報警機制

    針對資訊洩漏和破壞事件的觸發來源,終端監測軟體的報警是最多的方式,其次是依靠SIEM的自動化告警,以及其他分析系統的自動化告警,再往後是依靠邊界防禦設備的告警,協力廠商供應商的告警,客戶發起的報告。

    image009

    7、安全分析的短缺

    最主要的三個短缺依次是:缺乏分析技能(也就是缺人,並且是高水準的人)、缺乏預算和資源、難以進行行為建模和檢測不出異常、缺乏對網路流量和日誌的可視性。簡言之,分析工具再NB,沒有分析人員也白給!

    image011

    8、安全分析工作的頻度

    在防護、檢測和回應階段,安全分析都佔據了很長的時間比,說明安全分析佔據了安全運維工作的重要角色。

    image013

    9、安全分析最有價值的場景

    依次是評估風險、識別可疑或者惡意的用戶行為、合規監測與管理、檢測外部惡意威脅、提升對網路和端點行為的可視性、檢測內部威脅,等等。

    image015

    10、可量化的改進

    有44%的受訪者表示他們通過安全分析工具能夠獲得可量化的改進和提升。

    image017

    11、對自身安全分析能力的滿意度

    16.1%人對於提升檢測速度表示十分滿意,54.1%的人對於性能、回應時間、查詢速度表示滿意,40.9%的人對預測和阻止未知威脅表示不滿意,45.5%的人對於“知彼”能力很不滿意。

    image019

    12、大資料安全分析和安全分析的區別

    還有48.2%的人認為二者沒有本質區別,但有34%的人認為二者有區別,主要體現在分析流程和工具的差異化上。SANS認為將這兩者區分開來標誌著對安全分析的深入理解。

    image021

    13、未來在安全分析領域的投資方向

    跟去年的調查研究類似,第一位的是人員和培訓,有49%的人投給了人和培訓。接下來,42%的人投給了檢測和SOC升級;29%的投給了事件回應(IR)集成;再往後是SIEM工具和系統,以及大資料分析引擎和工具。有趣的是安全情報產品工具和服務從去年的43%降低到了今年的18%,SANS估計是因為組織當前更加注重內部資料的收集,多過依賴協力廠商產品和服務。

    image023

    小結:更多的組織和單位開始使用安全分析,我們收集的資料越來越多,也越來越好,但最大的問題還不能很好地利用這些資料來進行檢測與回應。儘管我們可以更快地發現未知威脅,但是我們依然沒能很好地劃定威脅優先順序、集中的修復和彙報,以及建立正常的行為模型從而標記出異常。導致如此的原因之一就在於長期缺乏SOC運維的技能,以及管理上和資金上的支撐。

    Utilization of security analytics is slowly improving, and we’ve done a much better job of collecting data, but more effort is needed to detect, respond and report results using analytics before we can say we’re really maturing in this space.

  • 運用UBA機制 全面偵測各種資料外洩事件

    作者:資安人編輯部 -2016 / 12 / 15
    長期以來,企業不斷被各種資安威脅困擾,自南韓政府爆發被駭客運用APT 進階持續性滲透攻擊(Advanced Persistent Threat, APT)攻擊之後,添購資安設備速度明顯比過去更快,在既有防毒軟體、防火牆之外,也引進IPS入侵預防系統(Intrusion Prevention System,IPS)、APT防護、資料外洩防護(Data Loss Prevention;DLP)等設備,期望有效降低駭客入侵機率,避免發生機密資料外洩事件,只是似乎沒有收到預期的效果。根據ITRC(Identity Theft Resource Center)最新統計結果,全球在2016年至今已經發生763起資料外洩事件,有多達29,340,207筆資料被竊取,整體經濟損失金額難以估計。

    過去幾年全球陸續發生多起重大資料外洩事件,即便是大型企業、政府機關,依然無法有效對抗駭客攻擊,如2016年Yahoo便公開發出聲明,證實該公司在 2014 年底曾經被駭客入侵,約至少有多達 5 億筆的 Yahoo 用戶資料遭竊,包括用戶姓名、電子郵件、出生日期、未經加密的自訂等等問題,全數都被駭客盜取。而Dropbox也承認有6,800萬筆資料外洩,儘管外洩資料仍受加密及雜湊演算法保護,但依然要求用戶儘速更換密碼,避免網路硬碟上的資料遭到盜用。前述種種案例讓人不禁質疑,耗費巨資辛苦建立的資安防護架構,是否根本無力阻擋駭客攻擊,而在惡意程式入侵管道多元化下,資安防護是否有需要調整之處。

    駭客入侵管道多元 運用UBA補強防護力
    在維護辛苦建立商譽的前提下,企業每年都將高達90%資安預算花費在閘道端防護機制上,期望阻斷惡意程式入侵的機率,但是在駭客攻擊手法不斷翻新,入侵管道日益多元化的趨勢下,此種防護措施已不足以對抗新型態的攻擊。根據Verizon最新發布「資料外洩調查報告 2016」指出,以釣魚網站、勒索軟體等誘騙使用者上當,至今仍是犯罪組織常用的手法,其模式是利用個人及企業員工資安意識不足的弱點,進而達成竊取資料的目的。

    此外,該報告更進一步指出,85%成功入侵的資安事件,都是瞄準系統既有漏洞發動攻擊,而前述漏洞多半早有修補程式,但是大部分公司卻都沒有進行更新,才會發生添購大量資安設備,卻無法有效杜絕駭客入侵。另外,在63%資料外洩事件中,則是源自於用戶使用容易破解、預設或被盜取的密碼,所以駭客組織很容易就能夠猜中密碼,肆意取得所需的商業機密或顧客資料。

    IT調查研究機構Gartner,在一份關於使用者行為分析市場研究報告中指出,現今企業需求在於能偵測各種類型的資料外洩事件,因此以行為分析為基礎的解決方案市場將更為收斂聚合,包括使用者行為分析(User and Entity Behavior Analytics, UEBA)、端點偵測與回應(Endpoint Detection Response, EDR)以及網路流量分析等。多數聚焦單一目的的分析產品都將更延伸支援描述性的分析功能,也就是告訴企業發生甚麼事了。

    杜絕駭客、揪出不肖員工 UBA市場規模持續擴大
    近幾年使用者行為分析(User Behavior Analytics,UBA)市場逐漸興起,主要是企業希望補強既有資安防護機制的不足之處,以減少資料外洩事件發生的機率。如SIEM平台多強調能夠運用即時關聯分析功能,監控是否有不尋常或未經授權的活動出現,進而在發現有異常行為當下,立即通報給資安管理人員知道,以及聯合其他資安設備對抗惡意程式入侵。然而當駭客組織以竊取來的員工帳號,從遠端登入公司網路,則會被資安設備歸類為合法的連線行為,自然不可能被資安事件管理 (Security Information Event Management,SIEM)列為惡意連線。

    相較之下,UBA則具備監控各個帳號登入的狀況,如輸入密碼的錯誤頻率、遠端登入的地區等等,一旦發現輸入錯誤次數超過合理的數字,或同一天於不同國家登入,便會預先將該帳號列為高風險群,在告知系統管理人需注意外,也會協同其他資安設備進行阻斷。

    儘管多數資料外洩事件都源自於駭客入侵,但仍有部分源自於不肖員工所為,如新竹科學園區便不時傳出有員工盜賣商業機密給中國的事件。而UBA則能夠在記錄員工存取資料歷程外,也可持續監控該帳號後續的行為,若發現員工將資料存放在外接裝置,或透過電子郵件夾寄出去,則同樣會在第一時間告知管理員,避免商業機密外流的事件發生。

    現今愈來愈多資安業者推出UBA方案,部分訴求能夠搭配SIEM平台使用,有些則能夠單獨運作,適用情境與產業不盡相同,資安管理人員在引進解決方案,不妨先重新檢視自身需求,應該能夠找到符合預算與公司需求的方案。

    IBM QRadar 使用者行為分析(UBA and Insider threat)

  • IBM QRadar 使用者行為分析(UBA)

    QRadar UBA 透過Machine Learning 用行為分析找出可疑的人員與帳號

    基於不少重大資安攻擊起源於內部員工帳號密碼的身份權限被盜用,IBM將利用機器學習(Machine Learning)技術分析使用者與帳號行為,檢視企業內員工,甚至供應鏈中的外包合作廠商使用者行為模式,依據異常行為判斷內部權限是否已被竊取,以向管理人員發出警告。

    有鑑於大規模資安攻擊越來越常見起源於部份內部員工的帳號密碼等身分權限遭竊取,IBM QRadar 推出 UBA 使用者行為分析應用,透過分析包括員工、外包商與合作夥伴等內部使用者行為模式,來判定其帳號密碼是否已經被外部攻擊者竊取,進而預防藉由取得內部權限進而發動更大規模的後續攻擊行為。

    UBA Extension



    目前針對商業組織的攻擊行為有高達60%與內部威脅有關,當中又有約四分之一肇因於內部用戶的帳密遭釣魚網站或惡意程式竊取,透過行為模式分析,則可提供 異常使用行為示警,例如某員工首次或在過去未曾嘗試登入的位置登入一個儲存高價值資訊的內部系統,便會向管理人員發出警示通知,提醒加強注意。

    UBA Integration

     

    什麼是 IBM QRadar User Behavior Analytics

    IBM QRadar User Behavior Analytics (UBA)用於全面深入地瞭解用戶異常行為和內部威脅,幫助用戶輕鬆洞悉內部威脅。這是 IBM QRadar Security Intelligence Platform的擴展元件,用於分析內部人員的使用模式,以便確定他們的憑證或系統是否遭到網路罪犯的攻擊。

    該應用包含以用戶為中心的儀表板,按名稱顯示高風險使用者及其異常活動,以及與 QRadar相關的事件。只需按一下滑鼠即可將嫌疑人添加至觀察列表,或允許添加基於文本的注釋以說明觀察結果,還可以深入挖掘底層的日誌和流資料。

    監視高風險活動,發現並管控內部威脅

    IBM QRadar User Behavior Analytics (UBA) 擴展了 QRadar Security Intelligence Platform應用幫助企業輕鬆全面瞭解可能是內部威脅的個人用戶和異常行為,在與SIEM相同的管理介面上,添加了一個以用戶為中心的視圖,應用元件包括受監控使用者的數量、高風險用戶、風險類別、安全事件和攻擊行為、系統狀態以及使用者觀察清單,並依據不同行為進行風險權重加權。

    IBM QRadar UBA 該系統包含三大部分,分別是協助分析並為員工行為風險評分的風險分析概覽、優先排序行為分析儀表板,以及強化既有QRadar安全資料等。

    IBM QRadar User Behavior Analytics (UBA) 使用者風險儀表板

    UBA 1

    Machine Learning 找出偏離之行為

    UBA MachineLearning

     

    IBM QRadar UBA 能快速偵測異常行為在下面各種情境:
    • A user login location is changed
    • A user accesses the network for the first time
    • A user accesses high-value systems for the first time.
    • A user performs an action with rarely used privileges
    • A user accesses a privileged user account for the first time
    • A first-time use of privileges in a user account
    • An account is active at unusual times or from unusual locations
    • A suspended account is used
    • An attempt to access the network from a canceled or a closed user account
    • A restricted or under-watch website (or host) is accessed
    IBM QRadar UBA能偵測帳號密碼被盗用:
    • A login failure
    • An account is used suddenly after a long time
    • A user logs in simultaneously (or very close in time) from multiple locations
    • A user accesses the VPN account from unusual locations
    • A user accesses the VPN account at unusual times
    • A user account is used for an abnormal volume of activity
    • A dormant account that has access to important assets becomes active
    • A user accesses an account that is coming from an anonymous server (or a suspicious jump server)

    為何需要使用 IBM QRadar User Behavior Analytics

    內部威脅占到企業所遭受安全攻擊的大約 60%,其中許多情況是由於內部員工、合同工或合作夥伴成為網路釣魚攻擊或其他攻擊的受害者,而使用戶憑證落入駭客之手所致。

    例如,當用戶使用特權帳戶在新位置第一次登入到高價值的伺服器時,這種新的用戶行為分析應用會向分析人員發出警報。由於 UBA應用解決方案建立了正常用戶行為的基線,因此所有明顯偏離該基線的異常模式都無所遁形。

    內部威脅占到企業所遭受安全攻擊的大約 60%

    IBM QRadar User Behavior Analytics有哪些優點?

    擴展了 IBM QRadar Security Intelligence Platform的功能

    • 包含全新的整合儀表板
    • 結合了用戶行為分析功能
    • 幫助安全分析人員洞悉個人用戶和異常行為

    應對內部威脅

    • 防止惡意的內部人員和網路罪犯使用洩露的憑證
    • 以用戶為重點,檢查異常行為、威脅以及資料洩露情況
    • 全面深入地瞭解高風險用戶及其行為

    提高安全分析人員的工作效率

    • 計算風險分數,對高風險使用者進行排名
    • 使用 QRadar收集的資料,應用現成可用的新行為規則和分析
    • 顯示安全攻擊所涉及的日誌與流資料
    • 檢測異常行為,建立用戶觀察列表
    • 在新的 QRadar選項卡和儀表板中按使用者顯示結果
    • 事件響應解決方案整合,更快地形成閉環
    • 佈署後幾乎立即可以產生結果