SIEM QRadar

  • 料敵機先 事件處理早一步做

    來源:資安人 作者:陳啟川 -2016 / 12 / 22

    企業即使部署資安事件管理平台(SIEM),要在數以萬計的資料中馬上辨別出真正的攻擊並做出回應就像大海撈針,因此威脅情資平台的需求逐漸興起。如果ATM攻擊事件的苦主也有採用TIP/TIS,或許可以儘早亡羊補牢。

    在談Threat Intelligence前,請先回想一下APT攻擊流程示意圖(圖1);從一開始鎖定目標進行觀察研究,再依結果製作出攻擊工具,然後傳送到攻擊目標,針對目標的弱點發動攻擊,在控制目標後開始執行惡意工具,並從遠端下載更新惡意軟體或傳送機密資訊,到此完成一個精密的APT攻擊。

    image001

                                                                           圖1:APT攻擊流程示意圖

    Threat intelligence的功能
    企業在面對這類深度有效的針對性攻擊都顯得力有未逮, 即使部署了SIEM平台(Security Information Event Management),要在數以萬計的資料中馬上辨別出哪些是真正的攻擊威脅做出回應就像大海撈針一樣。從攻擊者的角度看,耗費大量心力才完成的精密攻擊只用一次豈不可惜,所以自然會再尋找相同產業或有類似環境的企業再次發動攻擊,因此開始有威脅情資平台(Threat Intelligence Platform, TIP)概念的出現。

    TIP主要功能在於能匯集並過濾分析多種不同的威脅資料來源,找出其中的關連,在第一時間找出攻擊者的相關資訊,像是利用弱點、手法、攻擊程式、網域名稱等,再將這些情資整合到其他的設備去偵測(Detect)或阻擋(Block),加速企業組織對網路攻擊的回應與抵禦已知、未知的威脅。

    TI 的迷思
    Threat Intelligence有時是個相當寬鬆的用語,所以只有企業自己本身才能清楚的知道廠商所提供的產品或服務是否真正具有「價值」,只有對組織有效的防護資訊才能算是intelligence。

    TIP介紹
    一般說來TIP主要包含了Aggregation、Analysis、Action三大功能。Aggregation主要在彙集各方資料,像是能支援什麼樣的資料來源?結構與非結構性的資料?採用STIX(Structured Threat Information eXpression) 或TAXII(Trusted Automated eXchange of Indicator Information)標準?且匯入的情資如何與原有威脅資料庫相互關連?能否自動處理這些資料以減少人力的耗費等。

    Analysis進階分析工作是TIP平台的核心重點,利用各種分析工具自動解析所彙集的資訊,判斷是否為異常行為,與評估其嚴重性。也會辨別對入侵指標(Indicator of Compromise),像是攻擊者所採用的工具、技術與手法,分析彼此的關係以協助管理人員迅速回應處理。

    Action指的是基於Aggregation與Analysis後所採取的後續動作,它包括了能主要在彙集各方資料,像是能支援什麼樣的資料來源?結構與非結構性的資料?採用STIX(Structured Threat Information eXpression)或TAXII(Trusted Automated eXchange of Indicator Information)標準?且匯入的情資如何與原有威脅資料庫相互關連?能否自動處理這些資料以減少人力的耗費等。

    Analysis進階分析工作是TIP平台的核心重點,利用各種分析工具自動解析所彙集的資訊,判斷是否為異常行為,與評估其嚴重性。也會辨別對入侵指標(Indicator of Compromise),像是攻擊者所採用的工具、技術與手法,分析彼此的關係以協助管理人員迅速回應處理。

    Action指的是基於Aggregation與Analysis後所採取的後續動作,它包括了能結合組織本身的工作流程(Workflow),讓資安、網路等相關團隊能共享資訊以便協同合作進行事件處理;和整合企業既有設備,如SIEM、弱點管理、網路安全等設備,以縮短對威脅的回應時間。

    事件處理的過程與結果也會送回平台內記錄儲存,做為後續改善以進一步優化組織IT架構,並將這些情資再回饋到TIP的社群裡,更新擴大TI也提昇整體社群對抵禦類似新型攻擊的能量。

    付費與免付費的TIP
    目前TIP有一般商業付費與免付費的解決方案,付費的像是IBM QRadar Security Intelligence Platform、ThreatQuotient的ThreatQ平台,還有LogRhythm的Security Intelligence Platform。像ThreatQ能接收上百種的情資來源(Intelligence Feed),包括商業付費的Del l SecureWorks、VeriSign,開放源碼與私有社群三種來源。

    免付費的則有MISP與MITRE CRITS(Collaborative Research Into Threats)。MISP是由MISP使用者所建立、維護與運作的一個社群平台,會員間相互分享全球的網路安全資訊,雖然是免費軟體,也具有直覺的圖形化使用者界面,能輸出OpenIOC、CSV、MISP XML等多種格式以整合IDS等現有設備,並於2016年10月釋出最新的MISP 2.4.52版本。

    MITRE則是由美國聯邦政府所資助成立的一個非營利性研究組織,於2013年發表用以表示網路威脅事件內容的STIX標準架構,協助企業或組織社群能迅速的進行威脅資訊的分享。

    MITRE CRITS結合了分析引擎與威脅資料庫,並進行資訊的分享以協助組織阻擋攻擊威脅。另外像Threat Connect則同時提供免費與付費的多種版本,網站上也提供不同版本間的功能差異。

    TIP與SIEM的差異

    image003

    談到這,或許有些人會有疑問,那TIP和SIEM的差別在哪?沒錯,從某個角度來看,TIP和SIEM功能上的確有不少相同的地方,像是資料的收集與事件關聯等,但兩者還是有其差異(見表1),或者說TIP可用來補足SIEM不足的地方。首先,SIEM主要用做組織內部的資料收集,包括了各個網路閘道設備,和伺服器、PC、NB等終端裝置。而TIP除了內部資料外,更強調來自外部的情資分享收集,以掌握最新的網路攻擊資訊。

    再者SIEM接收資料前需要經過適合的過濾分析,否則僅單純的將所有威脅資訊倒入SIEM裡,容易產生過多且不必要的誤報警示,不但增加資安人員無謂的負擔,也容易錯失真正危險的威脅資訊。最後是SIEM著重在資料的彙集,不一定能支援多種的分析工具,而TIP則能利用不同分析引擎,深入解析多種不同的情資來源,找出真正的威脅提供最新的弱點攻擊資訊,協助資安團隊能藉此迅速做出決策與回應。

    TIP的挑戰
    企業組織建置TIP後,能利用TIP的自動工具加速分析工作來減少處理時間的耗費,且分析引擎會依據威脅的重要性進行區分排序與顯示和特定組織的關連。所以當TIP運作一段時間後,就能針對自身環境找出最有用、精確的威脅來源,做為企業網路風險評估的基準。理想的狀況是當組織企業能了解自己弱點、風險所在後,將這些情資分享到相關的社群,進而推及到整個產業,讓其他相同環境、行業的組織企業都能即時獲取這些威脅情資,如果再遇到相同或類似的APT攻擊時就能馬上予以阻擋,以建立一個安全的網路環境(圖2)。

    image005

                                                                         圖2:理想的TIP社群運作模式

    但在實際運作上,TIP面臨著許多的挑戰。從外在條件來看,需要有足夠的人數加入社群運作才能夠擴大情資來源,再透過不斷的分享更新才能得到即時有效的威脅情資。就內部條件來看,企業組織內需要投注相當的資源與人力(具備技術專業)一段時間後才能看出成效。雖說TIP平台內提供許多的自動工具,但這些工具主要是用來縮短常態性的維護操作時間,不少工作還是需要有人來進行日常的維運。

    舉例來說,當遇到一個未曾發生過的事件時,就需要新建一個事件,賦予必要的屬性、分類、威脅等級,甚至是提供伴隨該事件的惡意程式附檔等資訊,這些都有賴技術人員提供專業的判斷。還有,對於管理人員來說,是否願意分享企業組織所遭遇到的攻擊資訊?或可能違反相關的保密原則等都是在建置TIP時要考量的。

    image007 

    圖3:TIP考量示意圖


    由資安公司所提供的TIS服務
    因此,TIP最好是能由一群具有專業技術能力的人來維持運作,並在全球各地網路上去收集攻擊威脅資訊且不斷即時更新,以發揮TIP的最大效益。這樣聽起來有沒有很熟悉?是的,這些就是網路安全公司多年來每天重複在做的工作。

    資安公司在全球網路上部署數以萬計的Sensor,也會與各大開放源碼的資安社群合作共享資訊,並從安裝在個人或企業客戶端的產品來獲得實際攻擊的寶貴資訊。接著有專屬的安全實驗室由專業的研究人員7x24小時不間斷的分析過濾這些資訊,並長期累積成獨有的資安Know-How,以隨時提供給客戶即時的更新防護。

    所以對於不適合自行建置TIP的組織企業,現在有許多資安公司提供TIS(Threat Intelligence Service)的服務,也就是把TIP平台所產生的TI威脅情資以產品的形式提供給客戶,讓企業即使沒有TIP,也能以TIS的方式立即將TIP的成果直接導入到現有的防護架構中,應用TI阻擋攻擊威脅。

  • SANS:2016年安全分析調查研究報告

    2016-12-23 01:58:31

    2016年12月6日,SANS發佈了第4期(2016年度)安全分析調查研究報告。報告對全球348名受訪者進行了調查研究。結果顯示,38%的人用安全分析來評估風險,35%的人用安全分析來識別惡意行為,31%的人用來實現合規。這也是安全分析最常用的三個場景。安全分析自動化不足的問題依然沒有多大改觀,和上次調查研究相比,依然僅有4%的人認為自己完全最到了安全分析自動化,僅有22%的人使用了機器學習相關的工具來參與安全分析。


    1、資料收集的範圍

    首先是應用日誌(包括應用的審計日誌),第二是網路FW/IDS/IPS/UTM設備日誌,第三是漏掃/配置核查/補丁管理結果,第四是端點保護系統的日誌,再往後還有主機反惡意程式碼系統(AV)日誌,Whois,DNS日誌,情報資料,包檢測資料,使用者行為監測資料,身份資料,資料庫日誌,沙箱日誌,雲安全性記錄檔,大資料系統日誌,等等。

    image001

    2、威脅情報的收集與集成

    首選的用SIEM來收集情報,並將情報與各種資料進行關聯。其次是用自己開發的系統來做。

    image003

    3、安全分析過程的自動化

    認為完全自動化了的只有3.6%,差不多自動化了的有53.7%,根本沒有自動化的有22.1%,還有10.5%的人不知道是否做到了自動化(也基本可以視作沒有自動化)。

    image005

    4、是否發生過資料洩漏

    65%的人都表示過去兩年內自己單位發生過需要處置的資料洩漏事件。表示沒有發生過的占17%。

    image006

    5、回應速度

    整體上好於去年。62%的人表示最快可以在被攻陷後1天之內就檢測出來,而僅有5%的人最長需要超過10個月才能發現自己已經被攻陷。

    image008

    6、報警機制

    針對資訊洩漏和破壞事件的觸發來源,終端監測軟體的報警是最多的方式,其次是依靠SIEM的自動化告警,以及其他分析系統的自動化告警,再往後是依靠邊界防禦設備的告警,協力廠商供應商的告警,客戶發起的報告。

    image009

    7、安全分析的短缺

    最主要的三個短缺依次是:缺乏分析技能(也就是缺人,並且是高水準的人)、缺乏預算和資源、難以進行行為建模和檢測不出異常、缺乏對網路流量和日誌的可視性。簡言之,分析工具再NB,沒有分析人員也白給!

    image011

    8、安全分析工作的頻度

    在防護、檢測和回應階段,安全分析都佔據了很長的時間比,說明安全分析佔據了安全運維工作的重要角色。

    image013

    9、安全分析最有價值的場景

    依次是評估風險、識別可疑或者惡意的用戶行為、合規監測與管理、檢測外部惡意威脅、提升對網路和端點行為的可視性、檢測內部威脅,等等。

    image015

    10、可量化的改進

    有44%的受訪者表示他們通過安全分析工具能夠獲得可量化的改進和提升。

    image017

    11、對自身安全分析能力的滿意度

    16.1%人對於提升檢測速度表示十分滿意,54.1%的人對於性能、回應時間、查詢速度表示滿意,40.9%的人對預測和阻止未知威脅表示不滿意,45.5%的人對於“知彼”能力很不滿意。

    image019

    12、大資料安全分析和安全分析的區別

    還有48.2%的人認為二者沒有本質區別,但有34%的人認為二者有區別,主要體現在分析流程和工具的差異化上。SANS認為將這兩者區分開來標誌著對安全分析的深入理解。

    image021

    13、未來在安全分析領域的投資方向

    跟去年的調查研究類似,第一位的是人員和培訓,有49%的人投給了人和培訓。接下來,42%的人投給了檢測和SOC升級;29%的投給了事件回應(IR)集成;再往後是SIEM工具和系統,以及大資料分析引擎和工具。有趣的是安全情報產品工具和服務從去年的43%降低到了今年的18%,SANS估計是因為組織當前更加注重內部資料的收集,多過依賴協力廠商產品和服務。

    image023

    小結:更多的組織和單位開始使用安全分析,我們收集的資料越來越多,也越來越好,但最大的問題還不能很好地利用這些資料來進行檢測與回應。儘管我們可以更快地發現未知威脅,但是我們依然沒能很好地劃定威脅優先順序、集中的修復和彙報,以及建立正常的行為模型從而標記出異常。導致如此的原因之一就在於長期缺乏SOC運維的技能,以及管理上和資金上的支撐。

    Utilization of security analytics is slowly improving, and we’ve done a much better job of collecting data, but more effort is needed to detect, respond and report results using analytics before we can say we’re really maturing in this space.

  • 運用UBA機制 全面偵測各種資料外洩事件

    作者:資安人編輯部 -2016 / 12 / 15
    長期以來,企業不斷被各種資安威脅困擾,自南韓政府爆發被駭客運用APT 進階持續性滲透攻擊(Advanced Persistent Threat, APT)攻擊之後,添購資安設備速度明顯比過去更快,在既有防毒軟體、防火牆之外,也引進IPS入侵預防系統(Intrusion Prevention System,IPS)、APT防護、資料外洩防護(Data Loss Prevention;DLP)等設備,期望有效降低駭客入侵機率,避免發生機密資料外洩事件,只是似乎沒有收到預期的效果。根據ITRC(Identity Theft Resource Center)最新統計結果,全球在2016年至今已經發生763起資料外洩事件,有多達29,340,207筆資料被竊取,整體經濟損失金額難以估計。

    過去幾年全球陸續發生多起重大資料外洩事件,即便是大型企業、政府機關,依然無法有效對抗駭客攻擊,如2016年Yahoo便公開發出聲明,證實該公司在 2014 年底曾經被駭客入侵,約至少有多達 5 億筆的 Yahoo 用戶資料遭竊,包括用戶姓名、電子郵件、出生日期、未經加密的自訂等等問題,全數都被駭客盜取。而Dropbox也承認有6,800萬筆資料外洩,儘管外洩資料仍受加密及雜湊演算法保護,但依然要求用戶儘速更換密碼,避免網路硬碟上的資料遭到盜用。前述種種案例讓人不禁質疑,耗費巨資辛苦建立的資安防護架構,是否根本無力阻擋駭客攻擊,而在惡意程式入侵管道多元化下,資安防護是否有需要調整之處。

    駭客入侵管道多元 運用UBA補強防護力
    在維護辛苦建立商譽的前提下,企業每年都將高達90%資安預算花費在閘道端防護機制上,期望阻斷惡意程式入侵的機率,但是在駭客攻擊手法不斷翻新,入侵管道日益多元化的趨勢下,此種防護措施已不足以對抗新型態的攻擊。根據Verizon最新發布「資料外洩調查報告 2016」指出,以釣魚網站、勒索軟體等誘騙使用者上當,至今仍是犯罪組織常用的手法,其模式是利用個人及企業員工資安意識不足的弱點,進而達成竊取資料的目的。

    此外,該報告更進一步指出,85%成功入侵的資安事件,都是瞄準系統既有漏洞發動攻擊,而前述漏洞多半早有修補程式,但是大部分公司卻都沒有進行更新,才會發生添購大量資安設備,卻無法有效杜絕駭客入侵。另外,在63%資料外洩事件中,則是源自於用戶使用容易破解、預設或被盜取的密碼,所以駭客組織很容易就能夠猜中密碼,肆意取得所需的商業機密或顧客資料。

    IT調查研究機構Gartner,在一份關於使用者行為分析市場研究報告中指出,現今企業需求在於能偵測各種類型的資料外洩事件,因此以行為分析為基礎的解決方案市場將更為收斂聚合,包括使用者行為分析(User and Entity Behavior Analytics, UEBA)、端點偵測與回應(Endpoint Detection Response, EDR)以及網路流量分析等。多數聚焦單一目的的分析產品都將更延伸支援描述性的分析功能,也就是告訴企業發生甚麼事了。

    杜絕駭客、揪出不肖員工 UBA市場規模持續擴大
    近幾年使用者行為分析(User Behavior Analytics,UBA)市場逐漸興起,主要是企業希望補強既有資安防護機制的不足之處,以減少資料外洩事件發生的機率。如SIEM平台多強調能夠運用即時關聯分析功能,監控是否有不尋常或未經授權的活動出現,進而在發現有異常行為當下,立即通報給資安管理人員知道,以及聯合其他資安設備對抗惡意程式入侵。然而當駭客組織以竊取來的員工帳號,從遠端登入公司網路,則會被資安設備歸類為合法的連線行為,自然不可能被資安事件管理 (Security Information Event Management,SIEM)列為惡意連線。

    相較之下,UBA則具備監控各個帳號登入的狀況,如輸入密碼的錯誤頻率、遠端登入的地區等等,一旦發現輸入錯誤次數超過合理的數字,或同一天於不同國家登入,便會預先將該帳號列為高風險群,在告知系統管理人需注意外,也會協同其他資安設備進行阻斷。

    儘管多數資料外洩事件都源自於駭客入侵,但仍有部分源自於不肖員工所為,如新竹科學園區便不時傳出有員工盜賣商業機密給中國的事件。而UBA則能夠在記錄員工存取資料歷程外,也可持續監控該帳號後續的行為,若發現員工將資料存放在外接裝置,或透過電子郵件夾寄出去,則同樣會在第一時間告知管理員,避免商業機密外流的事件發生。

    現今愈來愈多資安業者推出UBA方案,部分訴求能夠搭配SIEM平台使用,有些則能夠單獨運作,適用情境與產業不盡相同,資安管理人員在引進解決方案,不妨先重新檢視自身需求,應該能夠找到符合預算與公司需求的方案。

    IBM QRadar 使用者行為分析(UBA and Insider threat)

  • 預防和檢測如日中天?資安事件響應(Incident Response , IR)表示不服

    預防和檢測如日中天?資安事件響回應(Incident Response , IR)表示不服

    原創 2016-11-22 Martin安全牛

    近些年,企業安全工作的關注點,一直聚焦在如何預防駭客攻擊。但是,頻發的大型跨國企業的資料洩露事件表明,即使是對網路安全更為重視,同時也投入了更多成本的金融業,也明白了無論做了怎樣的安全防護,遲早會被駭客成功入侵的道理。這已經成為了所有企業必須認清的事實。

    因此,企業安全防護的重點,也隨之轉移到如何更快地發現安全問題,並及時針對這些安全事件,做出合理且有效的回應上。

    事件回應(Incident Response)的發展現狀

    很長時間以來,事件回應並不受安全廠商重視,而是作為產品的附加服務,通過少數售後工程師駐場的方式,與甲方的IT(安全)運維部門合作,解決在安全事件發生後相關產品的運維問題。

    但是,事件回應流程本身的複雜性和多變形卻被嚴重低估。事件回應流程本身因企業的IT資產和遭遇的網路攻擊不同而多種多樣,流程的各步驟相互牽制,且要遵守企業不同所屬行業的資料安全標準和規範。這種相對低效且未經詳細整體籌畫的回應方式,在面對安全事件發生後,需要以秒為單位計算企業損失的情況下,不免有些過於無力。

    為什麼要重視事件回應?Co3 Systems(在2015年初正式更名為Resilient Systems)的首席技術官布魯斯·施奈爾在2014年美國的黑帽大會的演講中談到,因為預防不可能做到完美,所以越來越多的企業如今正在加強事件回應能力。這其中的主要原因包括:已經失去了對計算環境的控制,很多防護機制無法實施;攻擊行為變得更加複雜,需要更多的回應措施;身不由己地被捲入其他人的安全攻防戰鬥;企業對安全防護和檢測措施從的投資往往不足。

    事件響應目前所面臨的主要問題有兩點,一是我們仍無法實現完全的自動化,二是不能將人員從安全的迴圈中移除。我們應當採用工程化的手段,使得系統能夠支援回應迴圈中的人員執行關鍵任務。是技術來輔助人員,而不是反過來。

    今年4月,IBM完成對Resilient Systems的收購,並以外掛程式的方式實現Resilient Systems的事件回應平臺與IBM QRadar的無縫整合。

    Resilient Systems如何做事件回應

    Resilient Systems的事件回應平臺(IRP)是一個將流程、人員和技術進行緊密整合的自動化平臺。其最大的優勢,在於以安全事件為導向,通過內置的行業標準和最佳實踐,將響應流程整體細化、分解,並自動化的對流程進展狀況進行監控,幫助企業快速進行安全事件的應急回應。

    Resilient IRP 1

    IRP的核心價值在於對企業核心IT資產的安全防護,所以IRP要與企業網路中現有可掌控全域IBM QRadar、ArcSight、SplunkSIEM類平臺產品進行對接,以獲取關於攻擊和資產狀態的資訊。

    Resilient IRP 2

    確認攻擊類型後,IRP會以企業IT資產為單位,將回應流程進行細緻的分解,並下發給IT運維部門,分解後的回應流程可以大致分為人工和自動兩個大類。目前Resilient SystemsIRP平臺仍是半人工半自動化的,但這兩種方式的結合使得整個處理進度變得更加可控。同時,IRP平臺對整個事件回應流程的定義是完全開放的,企業可以根據自身網路環境、特殊的業務需求和相關標準來添加自訂流程,將僅有紙質文檔的標準自訂到Resilient SystemsIRP平臺上,並作為可複用資產,在不同企業或子公司之間進行共用。

    實現事件回應演練

    軍方需要常規性地軍事演練,以保證在戰時盡可能地最大程度發揮出部隊應有的戰鬥能力。安全事件發現後的回應環節亦是爭分奪秒的戰場。

    Resilient SystemsIBM QRadar可以通過搭建虛擬環境,和企業內部驅動的滲透/眾測兩種方式,進行事件回應的演練。虛擬環境本身可以由IBM QRadar自身通過對某些規則的演練或者測試網路環境的搭建來完成。滲透/眾測情況下,企業可以通過外包的方式,邀請滲透測試團隊駐場測試,或者是在協定測試基線的前提下(不觸碰業務資料等)進行眾測,對企業網路進行攻擊

    經常性的進行回應演練,不僅可以定期量化地評估QRadar檢測問題和IT運維部門事件回應的能力,這也有助於企業有針對性地進行安全防護和事件回應能力的提升。但演練的形式和頻率,則由企業自行決定。

    Resilient SystemsIBM QRadar

    如果看過安全牛之前的文章,可以瞭解到IBM QRadarIBM安全的大腦,也是終端、資料庫、身份管理等對應安全設備間聯動的核心。

    IRP不同,QRadar是以企業IT資產為導向的,在QRadar定位攻擊及受影響資產及其狀態等資訊後,每個確認攻擊的詳細資訊都可發送到IRP平臺,自動生成並開始事件回應流程。在完成某個攻擊引發的安全事件的應急回應後,整個處理過程的相關資訊,包括對應攻擊類型、回應流程細節、下發和完成時間等資訊,都會被IRP平臺記錄。Resilient Systems可以自動將整個回應過程評價量化,並提供相應報表的生成。除了對安全部門的監督外,它也是IT運維團隊的事件回應能力的一個具體表現。

    Resilient IRP 3

    CISOCEO等高管角度考慮,當管理層不再只是關心由安全部門還是IT部門承擔事故責任,而更多的是關注如何提高企業整體的事件回應能力時,Resilient Systems能一份客觀詳盡地評估和答卷。

    事件回應的發展趨勢

    目前事件響應最大的挑戰,是從誤報中甄別哪些是真正嚴重的攻擊,哪些只是腳本小子所為,以及攻擊行為是如何影響企業自身的網路環境。QRadar自身通過駭客對不同資產發動的不同攻擊,將駭客的危險層級進行區分。一些相對低端的行為,如通過某些成熟的自動化工具對週邊安全和網路設備進行的攻擊,在QRadar確認後則會聯動相應設備自動化的進行攔截處理。而在問題變得相對複雜時,才會告警並提醒安全人員將攻擊資訊提交到Resilient Systems,開啟事件響應流程。但是,目前每天過多的攻擊告警,使得安全人員應接不暇,疲於奔命。不光是真正的安全威脅會湮沒在其中,即使將攻擊細節提交給Resilient Systems,也已經耗費了過多的人力。

    可以說,自動化將會是目前事件響應最大的進化。

    對威脅的預防、檢測、遏制、進化以及學習能力,都會在對安全攻擊進行回應的時刻集中體現。安全回應過程也必然會變得更具協調性。如果不能把預防、檢測和回應這三者間的關係協調好,實現步調一致,那麼安全性也就無從談起。

    最後,如果從企業安全中延展開來,我們可以看到,物聯網的高速發展所帶來的新型安全威脅,對事件回應的流程和理念,也勢必會產生影響,事件響應也會隨之升級。不遠的將來,事件回應的保護的細微性可能將不再僅是IT資產和資料,還要顧及企業的每個用戶甚至是用戶這個個體本身。從安全的整體性考慮,打造一個全網路世界而不僅是某個企業網路的安全免疫系統,已經迫在眉睫。

    安全牛評

    事件回應作為企業安全防護中至關重要的一環,卻從近兩年開始行業內的聲音才有所變大。這也是Resilient SystemsIRP平臺一直沒有直接競品的主要原因。雖然有部分IT服務管理平臺,或者安全廠商提供的應急回應小組駐場服務,但是僅此兩者是不夠的。將安全行業的最佳實踐和成熟自動化的IT服務管理結合,是事件回應發展的必然趨勢,也是Resilient Systems最大的優勢。

  • IBM安全產品線全解讀 聯動一切的QRadar

    IBM安全產品線全解讀  聯動一切的QRadar

    原創 2016-09-27 Martin安全牛

    201110月,網路安全公司Q1 LabsIBM3440萬美元的價格收購,Q1 Labs旗下的明星”SIEM產品QRadar20082012年處在Gartner魔力象限的SIEM領導者地位)也自然被IBM收入囊中,並納入其安全產品線之列。

    QRADAR news1

    很多人仍有這樣一個誤區:不像IBM Watson那樣高大上QRadar仍舊只是一個進行日誌分析和事件管理的工具。其實則不然。

    不只是SIEM

    IBM安全對其安全產品線進行梳理,進而提出的安全免疫系統中,QRadar處於安全智慧,也是中心的位置。其本身包含SIEM、日誌管理、漏洞管理和風險管理等功能模組。以及,例如,針對QRadar用戶行為分析(UBA)功能擴展,在Security App Exchange由合作夥伴或IBMQRadar開發的61個功能擴展包,以便QRadar產品自身功能性的延展以及和其它廠商的安全設備的聯動。

    QRADAR news2

    Security App Exchange平臺

    由此可見,QRadar目前的所具備的功能,遠不止SIEM這麼簡單。然而,由於QRadar本身是由SIEM起家,所以對於QRadar來講,它首先仍是對日誌的管理,之後才是安全事件,以及對事件回應流程的控制。同時,延伸出對漏洞、風險的管理,以及對用戶行為的分析等。這些都是QRadar的重要能力所在,也是實現和安全設備聯動的基礎。

    QRadar為核心的聯動

    QRadar與傳統SIEM的最大區別,在於傳統SIEM更多的只是針對安全事件進行預警,而QRadar更多的則是透過與安全設備的聯動,即安全設備根據QRadar的指令做出回應動作,使企業整個安全防禦體系可以根據不同安全事件的發現或發生,進行即時動態的防禦規則變更,對安全事件進行自動化的回應。

    QRADAR news3
    安全免疫系統

    當然,QRadar和企業內部網路部署的安全設備的關係,不會像一個糖葫蘆一樣分先後,而更像是司令部,在企業安全防線的後方,搜集戰情,分析戰況,甚至作為指揮中心,調兵遣將。

    1.安全性漏洞的修復——BigFix的聯動

    BigFixIBM2010年完成收購的終端安全管理軟體,其主要是針對桌面和資產進行管理,以及軟體和安全補丁的分發。在漏洞管理方面,QRadar本身有自己的相應模組。但其不同點在於,QRadar會將所有漏洞,如終端、網路設備或應用漏洞等全部彙聚到QRadar的漏洞管理模組中,同時還可以接入一些協力廠商的漏洞掃描工具。而BigFix則除了漏洞的發現外,更側重於對安全性漏洞的修復能力。

    BigFix的安全性漏洞資訊來源分成兩部分,本身BigFix自身有一個漏洞庫,漏洞庫中的補丁都是廠商發佈的官方補丁。另一部分是IBMX-Force平臺提供的威脅情報,比如說某個漏洞的CVE。但是,因為情報出來了不代表就有了安全補丁,所以BigFix本身有部分研究人員去對這些暫時沒有補丁的漏洞開發一些和其它設備聯動,或對相關漏洞利用進行檢查或阻斷的方法。

    在與QRadar的聯動方面,從終端的系統和軟體來看,透過BigFix的用戶端發現存在安全性漏洞後,QRadar會通知管理員這個安全性漏洞的情況以及相應的風險評級,安全管理員可以透過QRadar來告知BigFix是否決定修復;如果決定修復,補丁分發的操作可以在BigFix平臺上一鍵執行。

    QRADAR news4

    BigFixQRadar的聯動

    透過在不同終端安裝用戶端的方式,BigFix能夠收集客戶所有安裝軟體的基本資訊,並將這些資訊定時回饋給QRadar。而QRadar則從伺服器(而不是終端)的視角,將BigFix給出的資訊進行匯總和分類。如果確認某個伺服器缺少某個補丁,那麼QRadar就會透過BigFix及其用戶端實現漏洞的修復。同時,管理員可以透過BigFix平臺對漏洞修復進度進行即時監控。修復完成後,會將修復資訊再次回饋給QRadar的漏洞管理模組,並對系統記憶體在漏洞的資訊根據修復結果進行變更。

    安全性漏洞的修復與否,決定權在管理人員手裡,他們會根據QRadar給出的漏洞風險等級,以及是否會影響到企業業務連續性等指標去具體地權衡。

    2. X-Force——QRadar的主要威脅情報來源

    談到安全性漏洞,勢必要談談威脅情報。目前QRadar的威脅情報源,更多的是透過X-Force平臺的接入,其提供的諸如惡意軟體樣本、惡意IP或惡意DNS庫,CVE資訊等,都是QRadar非常重要的情報來源。

    IBM在全球擁有12個安全運營中心(SOC),很多SOC客戶都與IBM簽有相關協議,一些在運營過程中發現的安全問題,允許IBM共用到X-Force平臺,所以X-Force有大量的安全資料來自IBMSOC,對這些資料的分析和利用無疑成為了IBM安全的重要支撐力量。

    除此以外,還有一些來自本地的網路或安全設備的情報,例如MaaS360IBM實現對移動端設備進行管理的軟體)來確認企業員工是否對其手機進行了越獄或root。這種行為因為增加了被安裝惡意app的風險而被定義為違規事件,那麼作為一項脆弱資產,當這個高風險設備對內部資源進行訪問時,QRadar就會有所警覺。

    QRADAR news5

    MaaS360BYOD安全的支持

    3.網路層動態阻斷——Network Protection XGS的聯動

    BigFix相比,Network Protection XGS(以下簡稱XGS,作為功能類似於傳統的IPS的網路層的安全設備來講,其與QRadar的聯動則因為大量規則的動態配置,反而要複雜一些。與防火牆較為基礎的透過黑白名單進行規則匹配不同,IPS則是透過DPI(深度包檢測),將網路層的資料包進行7層解析,進而發現其中的安全威脅並實現阻斷動作。這也是IPS本身的優勢所在。

    QRADAR news6

    XGSQRadar的聯動

    XGS將其分析得來的資料以日誌的形式接入QRadar後,透過QRadarXGS日誌和駭客可能攻擊的目標設備日誌進行比較分析後,就可以清楚地得知駭客在透過何種攻擊手段攻擊企業網路中的哪部分資產,並在告知企業安全管理員的同時,QRadar會命令XGS和目標設備做出相應動作,同時在網路層和目標設備的訪問這兩個點進行阻斷。例如,XGS透過對資料包的解析確定是資料庫伺服器在遭到攻擊,那麼Guardium或者其它資料庫安全產品,就會對資料庫存取控制策略進行動態變更,並同時XGS在網路層對攻擊IP等進行阻斷。

    在發現攻擊的情況下,網路層和受攻擊設備兩個方面,同時進行防禦動作,這個過程也正是IPS資料對QRadar的意義所在。

    除此以外,如果企業透過某個漏洞掃描軟體,發現了某部分資產存在脆弱性,比如說安全性漏洞,但是由於所處行業比較特殊,或者相關廠商還未發佈安全補丁,那麼QRadar也可以根據這個漏洞的利用方式,在XGS上生成特定的規則,以實現對相關漏洞利用請求的阻斷。

    當然,IBM有自己的漏掃產品,AppScan,其作為一個檢測類工具,只能透過黑盒和白盒測試對應用的邏輯漏洞進行掃描,而不再有之後的動作,漏洞的修復需要與BigFix聯動完成,或者結合XGS對相應行為進行阻斷。

    QRADAR news7

    AppScan平臺

    AppScan側重的邏輯漏洞不同,IBM安全在移動端的反欺詐產品Trusteer Mobile,則更多的傾向於是否存在被惡意利用的安全性漏洞,即針對應用的惡意行為做檢測。特別是在金融領域,包括釣魚郵件,惡意url、惡意軟體和惡意網站等,同時Trusteer的惡意樣本庫也會接入X-Force平臺。因為很多漏洞利用的目標在於對特權帳戶的竊取,所以在發現應用漏洞的高危行為後,Trusteer也會透過QRadar與特權帳號管理模組(PIM)進行聯動。

    除了進行漏洞修復的BigFix和在網路層實現動態阻斷的XGS,再談談QRadarIBM的資料庫安全產品Guardium的雙向整合。

    4.資料庫存取控制和帳號許可權變更——Guardium的雙向整合以及和身份管理和認證平臺(IAM)的聯動

    在之前Guardium資料庫安全技術詳解》這篇文章中也有提到QRadarGuardium的雙向整合。Guardium作為資料庫安全這一細分領域的產品,往往在使用上常涉及特權帳號的管理。國內有很多客戶選擇使用堡壘機來實現對帳號及其許可權的控制,以及用戶行為的審計,這個功能IBM也有相應的身份與存取控制產品(PIM)來實現。

    QRADAR news8

    QRadarGuardium的雙向整合

    QRadarGuardium的雙向整合,主要目的在於避免由於錯誤配置和脆弱性資料庫資產所帶來的安全風險。透過Guardium的資料庫活動日誌的即時回傳,QRadar可以將資料庫活動資訊進行上下文環境的關聯分析,識別並阻止攻擊。同時,QRadar也可以命令,將XGS等安全設備分析出的可以IP資訊送給Guardium,並命令其阻斷來自此IP位址對資料庫的存取權限。如果這個IP是某個企業內部人員所使用,那麼對應的帳戶也可以透過QRadarPIM的聯動對其帳號許可權進行調整,並實行更為嚴格的安全性原則。

    例如,某人透過特權帳號登入資料庫(登入後其桌面會自動被PIM錄影),執行查詢語句並獲取相關的資料後,並對資料庫操作記錄進行了清除。Guardium會將其判斷為惡意或攻擊行為,其之後對資料庫的所有操作均會被Guardium阻斷,同時QRadar要求PIM在其登入時加上了雙因數認證的強制要求,同時命令XGS對所有此帳戶常用的終端在登入進企業內網時進行阻斷,並給出相關預警。

    在上面這個例子中,QRadar用戶行為分析(UBA模組是支撐Guardium判定很重要的一個點,UBA本身需要很多規則來對使用者的行為進行判定,判定後QRadar透過對GuardiumXGS以及PIM近乎同時的指令下達,從帳戶,網路接入以及資料庫存取權限三方面對高危行為進行約束和控制,以實現對企業資料安全的保護。

    除此以外,Qradar不但可以與特權帳號管理平臺(PIM)整合,還可以與IBM傳統的身份和認證平臺(IAM)實現整合,為企業提供更加深入地針對帳號和許可權的安全風險分析。例如,發現繞過統一認證平臺對後臺系統的訪問、帳號和許可權的變更、核心帳號的違規共用,以及員工離職變崗後訪問原有崗位敏感性資料等情況。

    QRADAR news9

    除了上面所提到的這些,今年3IBM才完成收購的Resilient SystemQRadar的聯動,則很好的補全了事件回應這一環,使得以QRadar的核心的IBM安全免疫系統真正具備了一個SOC工具所需具備的防禦+檢測+回應這三個能力。

    5.事件回應工單流程的自動化——Resilient System的聯動

    Resilient的事件回應,更多的是考慮一個安全運營中心的整個工作流程,是工單流程的自動化,而不再是像XGSGuardium一樣某個特定領域的安全產品。

    QRADAR news10

    QRadar中整合Resilient System

    安全事件的工單流程是什麼樣子的?這裡可以舉個簡單的例子。

    管理員透過QRadar看到了某個攻擊,包括攻擊本身的公網ip,攻擊者的目標以及發起攻擊所利用的安全性漏洞。出現了安全事件之後,需要進行的回應包括阻斷、漏洞修復等操作,而這些都需要一個工單流程來做。這時Resilient會告訴安全管理員這是一個編號為XXX的安全事件,這個事件的安全風險處於哪個級別,它的責任人是(假設為)小王,需要他對這起事件進行分析和處理。如果這是一個網站的安全問題,小王之後要通知網站管理員小劉。小劉發現是一個安全性漏洞,通知伺服器的運維人員小李在伺服器上打個補丁。小李最後讓小張調用BigFix去進行這個安全性漏洞的修復工作。

    這是一個標準的工單流程,它說明一個安全事件的處理流程,需要不同的人參與進來。

    當然,安全管理員還要判斷這個安全事件的影響範圍,如果影響到企業的客戶,要通知相關部門對其進行賠償和道歉,對於合作夥伴則要告知,對監管部門則要上報。雖然每個國家每個行業對這套流程的標準都不盡相同,但是Resilient也可以處理。同時,這個過程中還有可能涉及到企業外部的供應商,那麼對供應商可以拿到的資料是否有合規上的要求,比如某些業務資料要進行加密或脫敏處理,以及一些用戶隱私的保護,這些都是Resilient所考慮的。

    企業安全管理員透過QRadar發現的安全問題,可以透過Resilient以幾乎自動工單的方式,和相關安全設備進行對接,並透過QRadar對整個工單流程的實施進展進行即時監控。

    QRadarSOC中的定位

    QRadar及其和IBM安全產品線的聯動,而形成的這一集安全防禦、安全檢測和安全回應的安全體系,是否就是一個完整的安全運營中心?IBM認為不是,理由在於QRadar沒有大腦,它目前還無法做到將一切事項自動化,同時這個安全體系仍舊需要安全分析師來進行決策。也就是說,在發生安全事件之後,還是需要人來決定如何處理、回應,而QRadar只能說是SOC裡比較好用的工具之一。

    類似於醫院,即使有血常規、B超、腦部CT等檢查報告,它們也只是輔助醫師對患者的病情進行更準確的判斷,但最終的診斷和處方,還是由醫生本人來確定和開具。最近IBM宣導的認知安全也是如此,雖然它在不斷的學習如何從安全的角度來看待自然語言文本,但其現階段的目標也還只是減少企業安全分析師在技能上的缺陷,以及大幅度縮減其用於安全分析的時間成本,但它還遠不能代替安全分析師來做決斷。

    QRADAR news11

    IBM Watson輔助醫生做出診斷

    不過,可以看到,QRadar2012年進入IBM安全產品線以來,其自身早已不再是傳統的SIEM那麼簡單,而是作為IBM安全免疫體系中真正的核心,統率著整個IBM安全產品線。

    安全牛評
    IBM
    最大的優勢,就是在於對未來趨勢發展的準確把握和判斷,以及IBM對各細分安全領域處於領導者地位的安全廠商進行收購後,對其產品極強的整合能力。透過收購,不僅是從產品類別或功能上對整個IBM安全產品線進行補充,同時還與其它安全產品形成有機的聯動。這無疑成就了IBM安全免疫體系特有的協同效果。