这篇文章是本博客的第一篇文章,想了很久,应该首先写什么主题,本人一直从事网络安全产品相关的工作,就首先谈一下对于当前威胁检测产品的认识。
国内威胁检测的发展可以从2000年初入侵检测产品的发布算起,当然更往前还有各种反病毒软件已经比较流行,这里我们首先针对网络侧的检测谈起,2000年初国内网络安全企业陆续推出了入侵检测产品,采用的方式就是基于规则签名来识别非法流量,这种方式一直流传至今,目前多数安全产品还在延续这种方式,采用这种方式在发现常见攻击方面具备良好的效果,在当时互联网发展的初级阶段发挥了重要作用。
伴随互联网的发展,攻防两端的对抗更加激烈,基于签名的方式在应该未知威胁、高级威胁方面逐渐力不从心,攻击者只需要简单的修改攻击代码/或者多次尝试后就可以绕过入侵检测设备,于是就有了沙箱类检测产品的出现,沙箱类检测产品通过部署多种运行环境,将攻击流量在虚拟环境中运行,通过分析代码执行中的行为,识别威胁,采用这种方式可以用于发现未知威胁,因为未知威胁还没有获取到攻击签名,所以基于签名的入侵检测设备无法发现,而沙箱类的检测产品通过分析行为可以有效弥补基于签名方式的不足,目前多数的APT检测设备都是采用这种方式,但是沙箱环境和实际执行环境往往存在差异,这种差异一方面是由于如果真实模拟操作系统的行为,往往耗时较久,多数沙箱只模拟应用层的执行行为,另一方面操作系统存在非常多的版本,多数沙箱也仅仅实现了部分版本,同时目前的APT攻击往往隐蔽性较强,攻击的周期跨度很难,也导致沙箱类检测产品无法有效识别这些攻击。
最近几年人工智能的兴起,在网络安全领域在发挥了重要作用,利用人工智能技术识别一些威胁变种在很多的安全产品里面都可以看到,从实际测试来看,在发现未知威胁方面具备很好的效果,但是该方式目前在技术上还不成熟,只针对一些已知威胁的变种具备一定的效果,同时需要海量的样本做支撑,仅仅可以作为基于签名方式的一直补充。
最近几年大数据技术的发展,让大数据分析的技术在网络安全领域发挥了重要作用,通过处理海量的安全数据,可以从海量数据中发现攻击线索,同时通过对攻击线索的分析,追踪到攻击者,这种方式也就是目前我们所说的威胁情报,威胁情报在国内的发展最早可以追溯到2014年,国内有团队系统的开展安全大数据分析方面的研究工作,后续陆续有安全厂商推出威胁情报产品,不过多是集成在现有安全产品中,作为一个辅助检测功能。相较于国内,国外在威胁情报发展方面比我们要更久、也更加深入,目前威胁情报在实际安全运营中发挥了重要作用,我今天所说的新一代威胁检测也就是利用威胁情报进行威胁发现。
国内在威胁情报的生产、使用方面还处于初级阶段,但是目前国内厂商近几年逐步重视起来,将威胁情报作为重点的研究方向,也都成立的专门的研究团队,为什么威胁情报在威胁检测方面具有重要的作用,我认为是它改变了攻守双方的平衡,安全的本质是对抗,一直以来,攻防双方一直存在不对等的情况,防守方只能被动的防御,从基于签名的这种检测方式就可以看出,防守方往往不知道攻击者是谁、擅长使用什么攻击手段、攻击资源有那些等,而威胁情报是通过分析海量互联网数据,并进行持续的跟踪、分析,可以发现攻击者、攻击目标、手法、基础设施等数据,采用这种方式将攻守双方放在同等的位置进行对抗,这才是威胁情报发展的核心价值。
具体到威胁情报应用方面,国内主要采用的方式利用一些域名、IP、hash值等匹配的方式识别威胁,这种方式存在一个非常重要的问题在于没有将威胁情报和资产进行有效的关联,比如:域名关联的样本主要是针对linux的,而访问该域名的资产的操作系统是Linux,正常来说,这种访问行为不会对网络产生影响,但是如果单纯的情报匹配就会认为这种一种攻击行为;这种案例非常多,产生最大的后果就是会有大量的误报产生,造成无法有效定位真实的事件。同时国内在威胁情报共享方面还未形成统一的标准和规范,厂商之间基本都是独立的,这就造成防御力量的分散,威胁情报本身是面向攻击者,一家厂商很难有强大的能力覆盖全部攻击者,因此漏报的情况非常多,这也是目前国内仅仅将威胁情报作为一种辅助检测、响应的功能的原因,所以如果想做好利用威胁情报进行检测的工作,一方面,相关第三方单位尽快指定相关标准和规范,建立一套威胁情报共享的平台,另一方面就是单一厂商应思考如何解决因情报不足导致的漏报问题。
