在真实的战争中,对战场情况的洞察意味着战争的胜败,而在企业与黑客的网络战场上,这种洞察力或说可见性,可能是最为决定性的因素了。但我们知道,可见性仍然是当今企业亟需具备也最难以具备的安全能力。
安全团队如何提升可见性?一个极为有效的方法就是重新评估网络传感器的部署位置。
还是以真实的战争场景为例,美国陆军有一套简称为OCOKA的战术级地形评估因素:
观察与火力区(Observation and Fields of Fire)
掩护和隐蔽(Cover and Concealment)
障碍(Obstacles)
关键地形与决定性地形(Key and Decisive Terrain)
抵近通道(Avenues of Approach)
这些因素同样适用于网络空间,尤其是关键地形这个指标,谁拥有对关键地形的控制权谁就占据主要的优势。
侦察位置
网络流量分析(NTA)传感器就是网络战场上的侦察兵,每个传感器都有着自己的有利观察点,但没有任何一个传感器能够基于自己的观察点看清楚整个网络地形,只有汇集在一起才能得到一个完整的地形图。因此,部署传感器的原则就是要尽量最大化可见性并最小化每个观察区域的重叠,以减少信息冗余,以确保对战场的完全控制。
NTA传感器(有时也称流量探针)用于监测各种网络活动,以发现高级威胁、恶意软件或是数据泄露等恶意行为。一般而言,网络传感器可以分析网络、云、Web、电子邮件的流量,并发送警告和会话数据或日志。上文已经表述过,令传感器发挥作用的关键就是要将其部署在合适的位置。
关键位置
许多组织机构的问题主要在于两点,传感器的部署位置不对,要么就是缺少足够的传感器数量,这是因为他们缺乏对网络流量收集工作的充分理解。抛开数量问题不说,即使企业部署了足够多的传感器,如果部署策略发生问题,一样达不到好的效果。传感器的重叠会形成大量冗余数据和虚假警告,仅本来就紧张的事件响应资源更加疲于奔命。除了重叠部署,还有不恰当的部署位置问题,造成观察区域受阻(OCOKA中的障碍),或者无法发现使用隐藏手段的攻击者(OCOKA中的掩护和隐蔽)。不管哪种情况,最终会导致观察盲点,攻击者得以更深地在网络里行动和潜伏。
要想避免类似情况的发生,就需要检查并重新调整网络传感器的部署位置,而位置调整的关键是在网络中找出对手的攻击路径(OCOKA中的抵近通道)。
我现在拥有的可见性在哪里?
对手为了接进目标需要经过哪些途径?
哪里的分段网络/端点不能访问?(障碍)
哪里是已经部署了防御攻击的安全措施?
回答好这些问题才能正确的部署传感器,但首先要了解企业的关键资产才可能回答好这些问题,包括资产的位置、访问路径、进出通道、脆弱主机,以及邻近主机等。OCOKA中的“关键地形与决定性地形”原则提供了一份攻击防御和资产保护的行动指南,而核心资产永远都是攻击者的最终目标。现在,知道传感器该放哪里了吧。
平衡位置
传感器提供的有效信息量直接依赖于其处于网络中的位置。比如,将传感器放入防火墙,那就只能看到防火墙允许通过的流量,或者是防火墙里的内部流量,访问控制阻止了墙外的可见性。为了建立全面的NTA和数据防泄露能力,企业必须考虑传感器部署位置的平衡问题。
把关注点放在传感器的有效位置上,是防止信息或警告过载的关键,否则与检测响应能力的最终目标背道而驰。于是这就成为了一个优化平衡的问题,即如何在最小化传感器数量的同时最大化可见性。
传统的安全机制面向的是网络边界安全,如防火墙、IDS/IPS,以及其他一些流量分析设备,被动或主动的监测网络边界流量。然而,随着网络的分布式发展和愈趋复杂性,网络边界安全已不再适用。攻击者有各种方法避开边界检测,然后得以在内网中自由穿行。这就是为什么要考虑把传感器部署在“关键地形与决定性地形”的原因。当然,除了给传感器配上检测潜在恶意流量的规则以外,还需要有检测异常的能力。
总结
重新评估并调整传感器部署位置的最大好处就是,在减少冗余警告的同时基于传感器的元数据获得可行性的上下文。正确的传感器位置可以大幅度优化分析时间,让分析人员把精力用到重要的事件上:
降低检测分析时间。帮助安全人员从警告分析进入到调查阶段,快速接收相关信息并将威胁情报应用到网络数据。
将貌似无关联的活动与行为关联起来。在所有网络会话中回溯传感器收集的元数据,实现自动化的捕捉和安全分析。
在攻击发起时识别并阻止。识别C2、横向移动,等网络元数据中的恶意行为,阻止数据盗窃。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。