联系我们
发布日期:2018/12/24文章来源:盛邦安全
近几年“网络安全态势感知”的概念被无数次提起,在以银行为代表的金融行业中,部分银行客户开始对建设“安全态势感知”平台的必要性和可行性进行了大量探索和实践,盛邦安全认为出现这种局面,主要有两方面驱动,一是国家政策层面的推动,另一方面是银行客户面临现实挑战的实际业务诉求驱动。
政策驱动:国家和行业监管政策催生更高级的安全威胁检测技术和态势感知方案
2016年12月27日国务院刊发了《“十三五”国家信息化规划》,再次强调态势感知的重要性。“十大任务”中的最后一项——健全网络安全保障体系,提出“全天候全方位感知网络安全态势”和“加强网络安全大数据挖掘分析,更好地感知网络安全态势,做好风险防范工作”,与419网络安全和信息化工作座谈会上的讲话以及2017年生效的《网络安全法》的要求一致。
另外,银行业监管机构历来对信息安全风险监管要求严格。2017年银监会发布《中国银监会办公厅关于加强网络信息安全与客户信息保护有关事项的通知》简称(银监会发布(2017)2号文),指出金融机构及银行应加强应用安全防护,建立事前、事中、事后的安全控制体系;支持日志的检测审计,对入侵事件的危害和范围进行事后溯源和评估。以上,国家和监管机构相关政策的陆续出台,加快了新的威胁检测技术的诞生。
业务驱动:银行客户基于大数据分析的态势感知需求是安全攻防能力不对等的产物
在全球金融信息化发展的同时,黑产也在不断进化和升级。高级恶意代码以快速变种、多样化和动态交互的形式不断演化,并在近几年产生了强烈的攻击效果。如:WannaCry, Petya等。互联网每天新增的恶意代码和恶意网页都在数十万的量级,严重威胁着用户网络安全。这些恶意代码,和传统病毒相比,变种更多、更新更快,传统检测方式更难发现,攻击多以经济和商业利益为导向,实施大面积传播。安全人员面对如此量级的恶意代码,完全依靠人工分析显得力不从心。
随着安全技术的积累和发展,无论是传统的日志审计,还是国内外应用广泛的SIEM和SOC,完整方案里实际上都包含大量的人工服务,通过日志采集、关联分析后的内容,依然需要大量的人工服务对数据进行二次分析和处理,庞大的人员和时间成本,无法有效应对高级持续威胁。另一方面,APT攻击具有“海陆空”(不同攻击载荷、攻击方式、攻击维度)全天候、全方位打击的特点,采集单一的数据源是远无法提供安全趋势分析的;传统SIEM与SOC往往通过采集设备日志做分析,这些日志数据本身已属于“二手数据”,数据受限于不同设备种类、品牌等,采集端设备本身的威胁检测能力也参差不齐,最终导致了数据误报率居高不下,缺少具有高价值的元数据和具有金融行业特性的威胁情报支持。
安全攻防能力的不对等,使决策者需要通过态势感知工具了解当前环境的连续变化情况,从而更好地进行决策。
解决方案:基于大数据&人工智能的态势感知方案满足以银行为代表的金融行业需求
2011 年,韩国农协银行外包人员电脑上的病毒传染给了银行 IT 系统,黑客进而侵入农协银行长达 2 个月。黑客不仅破坏银行正在运行的 IT 系统,还破坏了全部数据副本。最终农协银行系统瘫痪,全部数据丢失。部分纸质数据通过人工回传,而网上交易数据永久性丢失,农协银行被迫停业 3 天,损失惨重。
通常金融系统的“外部安全堡垒”建设较为完善,但APT攻击的强目的性往往借助钓鱼邮件、水坑攻击等结合社会工程学的攻击,从内部瓦解金融系统坚实的安全堡垒。通过变种木马、勒索病毒,DGA域名组建僵尸网络、挖矿木马、暗网流量等对金融系统造成严重安全威胁。而随着针对金融行业的APT攻击事件愈演愈烈,传统的启发式检测对变种木马病毒、勒索病毒等存在检测难、误报高的问题,常规的防御体系面临溯源取证难、缺少专业威胁情报支持、存在信息泄露风险等困难。
为满足金融行业目前面临的问题和实际需求,我们需要利用基于大数据机器学习技术对已知威胁进行频繁行为模式挖掘,然后通过专家分析筛选,提取恶意行为模式库,并与可疑样本在沙箱中的行为进行对比,检测未知威胁;通过多种检测技术交叉检测来提高检测率;同时,通过检测网络流量中的DGA域名,定位网络内部已经被控的主机。融合安全设备,具备威胁情报检测、网络异常检测、下一代入侵检测、多AV检测、基因检测和沙箱行为检测等多种安全能力,有效减少客户投资及运维工作;从“端、边界、云”的空间维度上以及 “预警、监测、分析、清除”的时间维度上实现安全防护的闭环管理,真正做到 “全天候、全方位感知网络安全态势”,满足金融行业APT检测的迫切需求。
据此,盛邦安全推出的基于大数据和人工智能的安全分析与态势感知解决方案,利用分布式安全大数据平台提供海量威胁数据和白样本,采用人工智能中LSTM深度学习模型检测DGA域名,进而完成对受控主机的C&C通讯检测,识别网络内部已被僵尸木马控制的主机,包含恶意代码隐秘隧道通信检测(DGA、DNS、HTTP、未知协议,加密流量)及XSS、SQL注入等攻击检测,让APT检测更加智能、精准、高效。同时结合盛邦安全可持续威胁检测与溯源系统(RayEYE)的数据采集和分析特性,实时定位潜在的内部威胁,构建“御敌于千里之外”的安全体系。