跟着云服务和移动付出的鼓起,网络安全问题也日益凸显,尤其是网络进犯呈现的专业化趋势,更让网络进犯构成的要挟继续延伸。面临新的安全形势,传统的防护手法已无法应对各种杂乱的网络环境,建造自动防护安全体系成了大趋势,这也让态势感知技能成了安全范畴的焦点。
那么在云上安全备受瞩目的大环境下,云态势感知技能又如何为安全保驾护航呢?在未来又有着怎样的开展趋势呢?为此,InfoQ 约请到京东云产品研发部云安全高档产品司理梁洋洋教师,来为我们解读云态势感知的进化论。
1
态势感知技能呈现的布景
尽管态势感知是近几年新有的安全名词,但关于有安全布景的人来说,态势感知并不生疏,它是跟 SOC(安全操作中心)对标的产品。
在 2010 年之前,安全要挟不是特别多,首要仍是会集在网络层面,所以其时的 SOC 产品仍是停留在 NOC(网络操作中心)根底架构的阶段。
其时比较知名的产品是 Cisco-MARS 产品,首要是把一切 Cisco 的交换机、路由器、防火墙、IDS、IPS 数据都收集上来,然后放到 MARS 里边来相关剖析,构成进犯拓扑图。这便是态势感知最初始化的雏形,也便是把网络层面的安全数据收集到 NOC 的产品傍边。在安全技能还未老练的 2010 年,这个技能足以让人眼前一亮。
因为安全要挟场景不断改动,一般的 NOC 产品无法剖分出 APT 进犯,加上安全设备和安全事情的突增,传统的 NOC 已无法满意需求,所以在 2010 年 -2015 年逐渐鼓起 SIEM/SOC 渠道。SIEM 是安全信息和日志办理渠道。能够把主机上的安全日志包含登录日志都收集上来存储到 SIEM 里,对剖析进犯场景有很大的协助。
不过,国内的一些安全厂商对 SOC 输出没有规范,导致收集的日志格局不一致,后边的相关剖析达不到用户需求,终究 80% 的 SOC 的项目都以失利告终。
那么新的态势感知比较 SOC 渠道有哪些不同呢?
首要是检测引擎,安全探针要提高本身的检测才能和精确性。主机层面经过在终端装置 EDR 产品或许下一代杀毒软件,进行收集比较精确和简略相关的日志,利于更好地检测安全要挟。网络层面经过 NTA(全量日志剖析产品)来匹配危机情报和沙箱等新技能进行剖析。Web层面也会有根据语义剖析的 WAF 日志,这样收集对相关剖析起到很大效果,到达检测层面的提高。
其次是大数据架构方面的提高。因为现有的 SOC 渠道用传统的 MySQL 和 Oracle 来进行相关剖析,这种相关剖析的技能扩展性相对较差。所以跟着大数据技能的开展,收集的时分用 Flume,存储的时分用 ES,在相关剖析的时分用 Spark,到达大数据云架构的改动。
终究是在云上更有优势。能够高度规划实时的收集日志,而且经过 Kafka 这种方法发送到态势感知的安全操作中心,这样在今后的相关剖析时就占有了自动权。根据这些要素,才让态势感知产品呈现。
跟着技能的开展,态势感知会继续往下开展,下一个阶段是根据安全运营的 SOC,比上一代的要挟感知 SOC 多了根底日志收集丰厚程度。经过智能剖析架构来做处理,例如机器学习、图剖析等技能。
2
态势感知技能的开展趋势
态势感知首要经过网络层面进行决议计划,经过收集了大约十款产品来进行调研剖析,发现网络层面的才能首要有中心才能、扩展才能和增强安全运营才能。
态势感知的中心才能包含继续抓包取证、流量 / 要挟可视化、网络侵略检测体系规矩匹配、WebIDS 规矩匹配。扩展才能首要体现在要挟情报、动态行为检测和机器学习自动检测引擎,机器学习自动检测引擎里边又分为分类剖析、聚类分类和 KDE 时序剖析。
增强安全运营才能便是对安全实体进行剖析,经过剖析探针来检查进犯的用户,比方 SOAR、Kill-Chain、UEBR。而态势感知在主机层面上的才能,除了有中心才能、扩展才能和增强安全运营才能外,还具有不知道要挟检测才能。
针关于云上,态势感知的中心才能首要是做云作业的负载担负,包含装备 / 缝隙办理、网络阻隔防火墙流量可视化、体系完整性丈量认证和监控、运用程序操控、弥补性内存和缝隙进犯防护。
扩展才能中的行为监控 HIDS/EDR 才能是云端主机层面防护软件中最重要的,其它还包含静态加密 KMS、HIPS 缝隙屏蔽、诈骗才能和反歹意软件。增强安全运营才能包含作业负载外部的缝隙和装备评价、IAM/MFA、日志办理和监控。不知道要挟检测才能需终端集成要挟情报、AI/ 沙箱云查杀。
3
京东云态势感知功用优势
京东云的态势感知产品可协助用户进行大数据安全剖析。最底层是根底数据层,进行 NetFlow 收集、网络流量、DNS、HTTP/S 日志收集。第二层是要挟感知层,经过安全的探针检测,包含 DDoS/ 高防、全量日志剖析、NIDS、要挟情报匹配、机器学习反常检测、沙箱、主机安全 /EDR 和缝隙扫描 / 蜜罐里的数据都收集上来。
第三层是相关剖析层,包含实时针对性进犯剖析、APT 进犯剖析、自动化编列研判、精准画像 UEBA 和图剖析。针对性进犯是在一分钟之内发现了进犯的相关剖析,而 APT 进犯会把进犯时刻相对拉长,拉长成一小时或许一天的时刻,给黑客满足进犯时刻,便于检测黑客进犯的状况。
自动化编列研判是现在比较好的解决方案,因为黑客的进犯手法千奇百怪,只能更细化调度的引擎,细化到每个功用点像积木相同组合在一起,构成相关链。经过相关链更好的去剖析、丰厚查询相关剖析的进程。
而 UEBA 首要是针对云上的数据,以数据层面来进行切入,比方说 OSS、RDS 或用户自建的数据库对它进行监控,包含用户对数据库的拜访、目标存储的拜访进行剖析。底层的(OpenAPI)的拜访也都会进行相关剖析或机器学习剖析。
图剖析是在主机层面检测信息、网络信息、用户信息能够用图的方法展现给用户,能够挖掘出进犯的途径,是一种很好的剖析手法。
第四层是要挟展现层,首要是经过告警事情、要挟事情、热门事情、安全大屏、自动化进犯溯源给用户展现,下降用户调查取证的时刻,提高功率。
经过云上日志能够剖分出更有价值的安全要挟以及安全问题。
底层根底网络信息是五元组、DNS、HTTP、LB 信息,在进犯途径的时分或许会经过 NAT 的转化,转化之后便不行查找 ID。NAT 数据可用于对财物进行再补齐。经过 VPC Log 获取 VPC 里数据流传输,还能够剖分出横向进犯。
在主机基本信息中,经过上传的进程、端口、账号、软件、文件、体系日志,相关出更有价值的信息。比方说反常网络衔接、肉鸡行为、可移操作、灵敏文件篡改都能够进行剖析。安全产品例如 Anti-DDos、WAF、扫描器、HIDS、NIDS、数据库审计、堡垒机都能够上传。有利于剖析 DDoS 进犯、Web 缝隙、SQL 注入、病毒木马等。
云产品组件的云产品基线,装备失利或许引起的缝隙;还能够对 OSS 审计日志、RDS 审计日志、OpenAPI 日志的危险拜访行为进行剖析。还有人员信息中的 VPN、登录日志和权限日志。这些都能够协助态势感知更好地进行剖析。
4
云态势感知技能进犯链剖析
进犯链剖析分简略规矩相关剖析和杂乱规矩相关剖析。
云态势感知技能的核算层选用 Spark,这样数据剖析发生的正告会跟着时刻流入到大数据处理引擎(Spark)里,经过 Spark 里的滑动窗口对一切输入的数据流来剖析。遭受到暴力破解并成功,第一个从网络的 IDS 会发生正告,接下来会有 EDR 告警,一起装置体系后门。整个操作是衔接的,这便是简略规矩相关剖析。
那杂乱规矩相关剖析是什么样的呢?首要黑客会运用扫描集群,扫描 Redis 端口进行暴力破解。假如未授权拜访上操控云服务器的根底服务器,便会将公钥写入根底服务器,之后就能自动化操作,比方说装一些黑客东西、DDoS 东西或挖矿、勒索东西。
歹意服务器长时刻扫描会被要挟情报检测到服务器的 IP 地址,然后态势感知在本地检测的时分会对这些 IP 进行扫描。在扫描暴力破解的时分,运用 NIDS ET 规矩来进行检测,接下来会用 Redis 弱口令 / 敞开认证,口令是弱口令或许没有敞开认证,会发生告警事情。写入 C&C 服务器公钥的时分会运用 sshkey 目录,在动目录的时分会发生一条不合法文件篡改的告警事情。
再往后会有反弹 shell,能够对可疑衔接或许是沦陷主机进行检测。在挖矿程序的时分会经过云沙箱来进行检测,DDoS 也能够经过肉鸡行为进行检测。这样对用户每一步操作都构成了告警事情,然后把这些告警事情相关在一起。这便是比较杂乱的规矩和时序剖析的进程。
5
云态势感知技能机器学习 & 深度学习剖析
反常检测是怎样做的呢?这儿以 DGA 检测为例。首要要把外部练习数据导进来,有黑数据和白数据,然后把 DNS 的数据导进来进行特征提取,再往下是用 Spark 练习模型,练习之后会把模型放在集群里边进行检测,这样就构成了 DGA 运转检测的流程。
那么模型做好之后怎样用呢?
首要检测经过两条路,第一条路是 NIDS 的 DNS 流数据,经进程序补齐账号之后发到 Spark 里边进行特征提取匹配,然后进行猜测;第二条路是云主机上,比方说自己设定了公网 DNS 解析的话,它发送的数据也是经过 DNS 解析来进行补齐财物来进行实时检测。
经过这两个数据会把 DGA 猜测做一下,之后把数据放在实时办理剖析引擎中进行剖析。剖析之后才会把它放到 ES topic 里边,给用户看到终究的剖析成果,这样就完成了 DGA 域名检测流程。
图剖析技能便是把一切的数据导到图剖析,经过图的方法相关出来,再经过图的搜索算法检测出来。例如下面这个实在的侵略事例:
首要经过挖矿进程发现其间有一台服务器(Test-001)现已高负载,检查高负载 CPU 所界说的进程的时分,发现它是一个反常进程,所以进行告警。告警之后会进入到调查列表里,经过某个点找出挖矿进程的程序是怎样运转起来的,又是怎样进到服务器里的。
经过时刻推移的方法,经过上下文相关来进行检测,相关之后发现了一条命令行审计规矩,也便是经过其间一个可疑进程来下载了挖矿的脚本而且运转了。挖矿脚本的副进程是用户自己创立的一个 Hadoop 的进程,也便是 Yarn 进程。Yarn 进程其实是 Hadoop 未授权拜访的 RCE 的缝隙。一起经过扫描器来进行扫描检测这台主机,发现这台主机的确存在 Hadoop RCE 的缝隙,这便是自动化进犯溯源,里边的中心技能便是图剖析的技能。
现在京东云态势感知产品的运用场景一个是公有云商场,另一个是专有云商场。
专有云商场所对应的产品有态势感知 JDStack 版别,是内嵌到专有云的云租户来进行检测,它的用户是关于里边每一个租户安全的检测。还有一个是针关于云渠道,或许针对与 IDC 传统的安全办理场景提出产品叫态势感知专有云的版别。