HW 思考系列:檢測只是開始,調查才能結案(下)——實戰時代蘭云科技的網絡安全觀
HW 思考系列:檢測只是開始,調查才能結案(上)——實戰時代蘭云科技的網絡安全觀
五年的HW行動,將網絡安全從“合規”時代,帶入“實戰化”時代。面對這一變化,安全理念應如何進化,安全產品應如何進階?
網絡安全實戰時代,檢測只是開始,調查才能結案!如何調查?如何結案?如何讓你的辦案能力超越福爾摩斯?且聽我給你慢慢道來。
四、有案必破,天下無賊
有了監察體系,使得復雜案件的破獲有了可能,但到底應該如何開展調查,實現結案,將“可能”轉變成“必然”呢?讓我們再次回望現實社會,社會治安領域,“辦案”流程可分為四步:報案、立案、破案、判案。
報案:是指發現案件的線索,線索可以是受害者提供,也可以是目擊者提供,甚至可以是基于懷疑而提供。比如,朝陽大媽發現形跡可疑的人即可報案,不一定需要看到案件的發生。
立案:警方基于線索,結合既有經驗,案件的重要性等綜合因素,將大量的案件線索做一個篩選,將相對重要的,符合立案要求的案件予以立案。一旦立案,無論案件大小,時間跨度多長,案件都會有全面、詳細的記錄和進展通報,直至偵破,結案。
破案:對于立案后的案件,以初始線索為起點,警方不斷開展拓線工作,搜尋能確定案件性質和責任的所必需的各種證據和相關人員,直至形成完整的證據鏈。破案是一個不斷推理、驗證,直至案件相關證據鏈構建齊全的過程。
判案:各方圍繞證據鏈進行辯論和確認,也可按需補充相關證據,完善證據鏈,直至所有結論沒有疑問,法官依據法律法規對案件進行判決。
“雪亮工程”等,改善的是“破案”環節。將原本存在巨大不確定性的,大海撈針般的尋找蛛絲馬跡,尋找目擊證人,轉變成了簡單、明確的監控錄像調閱,活動軌跡查看,最終落腳點確定的過程;將原來復雜的推理驗證工作,變成簡單的圖像對比工作;將原來需要幾天,幾個月,甚至幾年的工作量,縮減到幾個小時到幾天;將原來需要唇槍舌劍,激烈PK的證據鏈構建和確認過程,變成簡單,輕松的錄像回看。
對照社會治安領域的“辦案”流程,不難發現,現有網絡安全體系存在巨大缺陷:第一,缺失關鍵環節,也即“破案”環節(報案-檢測;立案-關聯分析,過濾;破案-無;判案-處置)。在社會案件中,已報案信息,未經破案過程,直接判案,是不可想象的,而網絡安全領域卻一直在這么做,甚至仍希望繼續這么做;第二,混淆不同階段的職責。以報案信息,做判案依據,將破案環節的責任強加給報案環節。這也是造成很多平時看起來“無所不包,無所不能”的網絡安全平臺,一到實戰就成了“舉步維艱”,甚至“一無所能”的擺設的根因所在;第三,將報案環節的誤報率,漏報率,作為衡量辦案能力的指標。破案能力(破案率)和破案效率才應是衡量整體安全能力的核心指標。
結合網絡安全自身的特點,我們合并“報案”和“立案”兩個環節,調整為“發現”,“破案”環節調整為“調查”,“判案”環節調整為“處置”。
經此調整后,每個階段的角色和職責一目了然,又適合網絡安全場景。以“破案”為中心,建設基礎防控能力、全面監測能力、高效調查能力,以及聯動處置能力,為實現高效破案提供支撐和保障。基礎防控能力通過防火墻、WAF、殺毒軟件等常規的安全產品構建;全面監測能力通過全流量監測與分析、終端監測、應用審計、大數據、人工智能等產品或技術構建;高效調查能力通過關聯分析、可視化、交互式分析、大數據、人工智能等技術構建;聯動處置能力通過同第三方安全產品聯動,將威脅進行阻斷或者隔離,消除威脅或阻止其擴散。一旦發現可疑線索或安全事件,安全人員基于收集到的全面且必要的安全相關數據,利用可視化、交互式分析、機器學習等技術,高效的展開調查、取證,再通過防控機制進行響應、處置。
蘭云科技認為:網絡安全實戰時代,我們應擯棄以誤報率,漏報率為核心衡量指標的安全理念,踐行以“破案”為中心,以破案能力和破案效率為核心衡量指標的新型安全理念,建設以發現、調查、處置為主線的實戰化網絡安全體系。
蘭云科技的定位是:為網絡安全人員提供強有力的系列工具—蘭眼“調查者”,提升他們的破案能力和破案效率。使網絡安全領域,**
五、實踐檢驗
“實踐是檢驗真理的唯一標準”,以“破案”為中心的方案是否能真正解決困擾網絡安全多年的頑疾,需要通過實戰進行檢驗。讓我們回顧一次真實的事件:
2018年的某天下午上班后,一些員工反饋,公司網速突然變得很慢,網頁經常打開失敗,非常影響工作效率,希望公司盡快排查,解決!于是安排人員利用“蘭眼”進行調查。
既然是上網流量有異常,那么我們就調取辦公區的出口流量信息。
在13:30~13:35時段內,流量有大幅的波動。我們推測流量的大幅波動應該是某臺/些主機流量異常造成的,因此調取這一時段內流量的主機占比信息。
經驗證,有一臺主機(192.168.6.174)在該時段內的流量出現異常,明顯高于其他主機。進一步推測,應該是某個應用出現了異常,導致流量激增,于是調取該主機的應用流量占比情況信息。
經驗證,SMTP協議的流量占192.168.6.174主機該時段流量的絕大部分。于是,我們進一步分析郵件應用具體發生了哪些行為。
從圖中可以看出,在該時段內該主機不到1秒鐘就會發1封郵件,這顯然不是正常的由人產生的郵件發送行為,很可能是惡意軟件的自動化郵件發送行為。我們可以再調查一下該主機都和哪些郵件服務器通信。
可以看到,該主機通信的郵件服務器IP,多以98開頭,經確認這些IP都屬于美國的IP,這再次說明該主機的自動郵件發送行為存在問題。我們基本能確定該主機是中了帶郵件自動發送行為的惡意軟件。由于是當天才突然開始的流量異常,因此,我們可以重點調查該主機在產生異常流量之前,是否下載過軟件/文件,或者在安全產品中觸發過過告警。
調閱“蘭眼”中同該主機相關的告警,發現該主機在13:24下載的一個軟件,觸發了告警,從威脅的詳細描述信息看,確定是惡意文件。后經安全人員對該惡意文件進一步分析確認,該文件是一款開發輔助工具軟件,被人植入惡意模塊后,上傳至第三方下載平臺,而某員工從該第三方下載平臺下載了該軟件使用。至此,我們完成了對整個事件的調查和取證,形成了完整的證據鏈,可以進行全面的影響評估和精準的應對處置。
回顧該案例可以發現,整個“破案”過程有以下幾個特點:
1、可從任何疑點開始調查:該案例的可疑線索來自于員工投訴,而不是威脅告警;
2、安全技能要求不高:整個過程,只有最后一步需要一定的安全知識。各個步驟都是可視化的,一目了然,而且下一步應該分析什么,也都是自然而然的浮現出來;
3、調查效率高:在一個產品中,通過簡單的幾個步驟就完成了整個事件的調查。
將網絡犯罪回歸到犯罪率,破案率的本質上來,構建以“破案”為中心網絡安全體系,完全可以高效的解決困擾網絡安全領域已久的頑疾。
網絡安全實戰時代,檢測只是開始,調查才能結案!擁有“調查者”,人人都能成為福爾摩斯!
