2016-《刘霖-BDSA大数据安全探讨PPTDUEBAUCS技术》

BDSA大数据安全探讨 PPTD\UEBA\UCS技术刘霖北京天空卫士网络安全技术有限公司创始人 CEO TRGET和索尼攻击事件证明了，老旧的信息安全观念是不能适应全球移动互联网化的今天花了60亿美金还不能安全的安全网络，加了 10个亿美金的新盖子 “面对窃走美国联邦人事管理局400多万联邦美国人防护APT攻击的新盖子雇员个人信息的网络攻击，美国政府毫无招架雷神9月28日与美国土安全部（DHS）签下之力。对此，美国广播公司忍不住提出质疑：了一份10亿美元合同。在5年的合约期（可华盛顿能保证数据安全吗？一向对政府安全防延长2年），该公司将为DHS的各种数据资御能力颇有信心的美国人开始不安” 产提供全方面的网络安全防护。根据分析， —— 中青在线，青年参考 2015.6.10 这套防护方案最主要的技术之一是UCS技美国国会 2016 GAO报告指出：”NCPS（国家网络安全保护系统，俗称EINSTEIN）计划并不能切实应对高级持续性威胁（APT）。NCPS 可审查可疑流量并拦截，但在实际运行当中，高达94%的常规已知安全漏洞或者包含在网络流量中的恶意内容都未被正确识别出来。这个耗资高达60亿次美元的防火墙开发项目存在大量未能实现的目标，且尚无法有力打击黑客活动。” 术。这是2015年全球最大的单一安全项目。以全球最大的军事内网-美军的JWICS网为例 2015年9月29日，美国国防部副部长罗伯特·沃克（Robert Work）在参议院军事委员会听证会上称：“我们防御（网络）攻击的能力尚未达到要求，”美国军队需增强防御电脑网络攻击的能力。 1、无法处理内网无边界情况时的军事安全问题。2011年11月，美国在阿富汗和其它区域执行飞行任务的 “捕食者”和“收割者”无人机已经感染了病毒。军队基于主机的安全系统(HBSS)并没有生效，不过目前也没有证据表明有任何机密信息泄露，内华达州克里奇（Creech）基地操控这些无人机的每一个键盘动作都被病毒记录下来，美国专家正在努力清除它们。专家认为，基地内的无人机和在外执行任务的无人机都已经被感染。Danger Room博客作者Naoah Shachtman作者表示这种病毒最早在为死神和捕食者无人机导航的克里奇空军基地发现，这种病毒很难被完全删除。 2、内部有权限的人员窃取核心数据：曼宁事件”就是一个著名的案例：切尔西.曼宁服务于派驻伊拉克的美国陆军第10山地师第二战斗旅的期间，由于负责情报分析工作的原因而拥有存取的权限，于是利用职务之便将SIPRNet和JWICS网内数据库内的大量资料刻录拷贝交给维基解密包括25万笔的美国外交电报和被称为伊拉克与阿富汗战争日志的50万笔陆军报告文件。借着维基解密及其合作伙伴于2010年4月至11月间一系列的资讯公开，此事件成为了有史以来最大的军事泄密案。美国国会认为的美军只达到了最低安全标准，美军信息网络存在相当程度的数据泄漏风险（见美国众议院军事委员会 2015年1月通过GAO办公室对DOD的专项评估）。目录 · 概述 · 人员（P: PEOPLE） · 过程（P: PROCESS） · 技术（T: TECHNOLOGY） · 数据（D: DATA） · 小结概述对于企业信息安全，若想得到结构性的保障就需要有一个系统性信息安全支撑体系。无论这个体系采用什么样的参考框架，都需要考虑四个关键的构成要素，即过程、人员、技术和数据（PPTD），其中： • 过程是组织的系统性能力； • 人员是过程执行的资源； • 技术是过程有效性的支撑； • 数据是过程执行的驱动。自动化方法过程人员：知识结构工程信息安全高层专业人员知识结构包安全专业、业务领域和项目工程三个维度： • 安全专业，安全专业知识包括数据安全技术、网络安全技术、应用安全技术等等。安全人员需要在安全专业领域所有专长并对并对整体有所了解。 • 业务领域，业务领域包括金融领域、能源领域、电子商务领域等等。企业安全是业务驱动的，对保护对象即相关业务领域理解的越透彻，安全措施就越能到位。 • 安全工程：安全工程包括信息安全风险管理、安全运行管理、安全项目实施管理等。安全工程知识是安全技术在业务领域有效运用的基础。安全领域人员：组织企业信息安全组织包括三个层次：安全运行、安全运行管理和安全政策和策略确定。企业安全组织构成的基本逻辑是职责明确、统一指挥、有效协同。安全组织需要面向业务和安全管理确定可度量的指标，如 MTTD、MTTR等。决策组织管理组织运行组织安全运行组织技能与能力需求（示例）过程：“好”的安全过程与“坏”的安全过程 “好”的安全过程定义清晰、充分，能够重复使用，过程执行的结果质量可以预期。例如每次安全风险评估的结果可信度是一致的。 “坏”的安全过程定义混乱或根本没有定义，每次执行情况因人而异，执行过程基本是“黑箱”，执行结果质量起伏很大。例如按这样过程进行的安全风险评估结果难以确信。业务风险评估过程（示例）约束法规确定范围与约束 EA模型 (业务/数据/应用/ICT) 基于EA的安全需求网络域面向安全的资产与业务关联梳理基于业务安全要点的暴露面分析暴露面风险分析面向目标渗透测试资产暴露面目录面向业务安全要点的暴露面测评安全测评结果确认与分析风险评估报告风险管控建议价值链项目输出测评结果确认风险根源分析企业信息安全技术控制框架企业信息安全需求行政安全措施法规依从需求技术安全措施是满足企业信息安全需求的三类安全措施之一，也是其中最重要、最复杂的，因此需要通过架构的设计来保证技术控制之间的协同以及与其它安全控制的协同。业务安全需求威胁控制需求技术安全措施/(数据化技术安全措施) 运行管理机制监测/解析机制信息安全技术基础设施控制/响应机制物理安全措施技术：有效性评估策略风险的核心是围绕着业务支撑或业务产生的资产，并取决于资产自身的脆弱性和已采取的安全措施，因此安全技术有效性评估策略包括： • 面向业务/业务资产的有效性评估 • 面向威胁方的有效性评估 • 面向脆弱性的有效性评估 • 综合加权的有效性评估技术：面向有效性的规划与设计基于价值链的范围确定面向攻击语境的威胁评估基于EA的安全需求分析大数据安全（BDSA）数据：行为的映射（安全的／不安全的）—需要智能内容安全技术支撑数据用于安全是信息安全控制的一个新维度 (BDSA：Big Data Security Analytics)，首先网络空间的数据能够真实地反映网络主体的行为以及行为后面的模式，其次，大数据技术的发展提供了可能。网络安全保障企业网络威胁管控决策 …… 关联信息 • 资源分配信息 • 用户身份信息 • …… 企业网行为威胁情报安全知识关联信息网络数据执行日志数据事件报告数据协议流数据全包数据 BDSA不仅仅是大数据，而是以大数据为核心的数据全谱，其中包括解读大数据的关联信息，支撑大数据应用的安全知识和威胁情报。数据：大数据安全解析（BDSA）传统的攻击检测方法传统的攻击是基于“句法（Syntactic-based）”的，也称是“基于规则（Rule-based)”的。基于“句法”或“基于规则”的方法往往使用单一性指标（Atomic indicator）来检测攻击。这样的指标容易收集（如Hash值或IP），但与此同时攻击者也很容易通过改变这些指标来有效地逃避检测。现代的攻击已快速发展为3M方式（Multi-phased, Multi-asset, Multi-day），并导致受害者的巨大损失。新一代的攻击检测方法新一代攻击检测需要在新的模型下（如Kill chain），运用大数据集合并基于语义（semantic-based)或模式 (pattern-based）对攻击进行检测。新一代基于语义或模式对攻击检测方法是面向攻击者使用的工具、技战术和执行过程。识别这些内容并不容易，但对应攻击者而言也很难改变。将大数据、语义模型和KC模型结合到一起，提供了有效检测出现代地攻击的潜能。数据：BDSA案例背景 2013年，RSA、EMC和NEU 以EMC企业网环境为基础，联合进行了大数据安全解析实验，据称该实验在当时是实际环境下大数据安全解析的首例应用。实验环境为EMC真实环境，数据量平均每天14亿条日志，约1TB数据，解析数据超过6T。监测对象包括EMC所有活跃主机，工作日规模为27,000 ~ 35,000台，周末规模为9,000~10,100台主机。算法概要由于缺乏异常行为数据，项目采用了非监督学习的聚类算法。采用PCA(Principal Component Analysis)方法消除特征间的依赖关系、降低计算维度，采用了改进的K-means算法，进行聚类。两周解析结果(2013/4/22~2013/5/5)： 784个事件（平均每天56个）；仅有8个事件与企业先进的安全设备识别的事件相同；通过SOC对每个事件进行了复核： 25.25%是恶意软件相关事件 39.41%违规事件 35.33%未能识别原因侦察诱饵重定向漏洞分析下载档案回报通讯窃取资料统一内容安全中心 Unified Content Security SkyGuard Cloud SecGator DLP IAS Engine DLP Cloud 邮件安全网关数据防泄漏接入安全云针对混合攻击和定向攻击的最先进邮件防护采用深层内容分析，对静态、传输中及使用中的数据进行识别、监控、保护，拥有用户及目的地感知的特色功能对任意地点的 web及邮件提供最佳防护，并且拥有最低的总体拥有成本和最轻松的部署 SWG SEG Web安全网关针对高级威胁和数据窃取的最有效防护 SecGator Security Engine Mobile 移动安全对移动数据特有的有效防护，针对窃取、遗失, app 及web威胁 1 DLP 是 APT 攻击最后一道防线内部信息泄漏的最后一道防线 2