赛博坦套件开发平台的安全分析实践

头条 置顶 精帖
收藏
1 1192
Sunny912
一辉 未认证 2018-06-23 10:02:07
付费话题:0 积分

  作为一个安全管理和安全分析的平台,最终开发的目的是为用户带来实际价值,由于用户的环境和需求千差万别,单独的解决方案恐怕难于完全适应,最重要的是实践的方法论,那我们就讲一讲赛博坦套件平台安全分析的实践方法论。谈到方法论,最重要的是指导思想,指导思想是什么呢?就是我们一直都强调的见微知著。

  为什么我们要讲见微知著?首先我们看看安全分析的三个环节:

  第一个环节是用户的基础数据环境:

  安全分析的基础是什么,数据,数据,还是数据,没有数据,再好的方法也出不来,巧妇难为无米之炊。例如我们把用户的基础数据环境简单的分为三类:

      1)安全设施薄弱的用户:只有网络设备,主机和最基本的边界防护类的安全设备,例如防火墙,那么这类用户提供的数据种类就比较有限。

      2)安全设施具备的用户:这类用户一般部署了主流的各类安全设备,安全管理的制度基本齐全,这类用户提供的数据种类比较多。

      3)安全设施完善的用户:这类用户不但硬件完全具备,而且有比较完善的管理制度和运维方法,所以这类用户能够提供更加高质量的数据,例如身份信息。

  第二个环节是用户的需求和期望:用户的需求和期望同样是千差万别的,安全设施薄弱的用户不代表需求薄弱,也许需求期望更加强烈。用户需求我们大体分为这几个方面:合规审计,威胁检测和运维管理。

  合规审计是主流的用户需求,也是基本的用户需求,例如满足网络安全法的日志分析需求,一般要满足这些需求相对容易实现,把能够采集的基础数据都采集上来,有报表和查询基本都能满足。

  威胁检测的需求主要是应对安全攻击,满足这个需求的设备是比较多的,大多数安全设备都会强调具备这个功能,是否这些设备具备相互替代的能力,答案肯定是否定的,结果还是各施其职,但是也会有一些交集。例如一个安全设施薄弱的用户也会有强烈的威胁检测需求,从成本考虑,并没有部署各种专项的安全检测设备,但是不能说用户就没有这个威胁检测需求,但是肯定要降低预期,因为不可能有安全设备能够包治百病。对于赛博坦平台之类的安全管理和分析平台,威胁检测肯定也是必备的功能之一,但是它应该是更高层次的综合分析,在防火墙,IDSIPSWAF等设备的数据基础之上进行综合管理和分析。

  运维管理的需求一般是安全设施完善的用户,需求比较贴合自己的实际环境,各个安全设备各施其职,需要一个安全管理平台来进行集中分析和运维管理。

  第三个环节就是赛博坦平台的安全分析方法和手段,针对不同层次的用户数据环境,不同的用户需求,赛博坦平台能够提供什么方法和手段来应对?赛博坦平台的主要核心方法和手段就是智能安全分析引擎,智能安全分析有三个层次:关联分析,行为分析和专项深度分析。

  从用户的数据环境,用户的需求再到解决问题的方法,这三个环节一定是需要相互匹配和均衡的。为了将这三个环节串联起来,我们的方法理念是见微知著,从细分数据入手,深入分析细分类的数据,发现问题再进行相互验证。我们一直强调,安全数据类似违法数据,往往都是蛛丝马迹,因此需要我们将数据分类,然后对每一类数据进行深入分析,最后将分析结果相互验证和追溯,可以说这就是见微知著。如果从宏观整体数据入手,一大堆数据混为一谈,无论是大数据分析,还是所谓人工智能和机器学习,往往效果不如人意,这是安全数据和场景的特点所决定的。

  对于安全设施薄弱的用户,主要的方法和手段就是关联分析和专项分析,对现有的数据进行深入细分,挖掘功能点,能够让用户看到实际的一个一个的效果点。

  对于安全设施具备的用户,由于数据相对完善,除了关联分析和专项分析,行为分析可以作为重要手段,可以根据细分类数据的结果做相互验证和追溯,例如对不同安全设备的告警事件进行合并处理,就能极大地减少安全设备的告警误报。

  对于安全设施完善的用户,这一类用户相对理性,应该更多的挖掘安全运维管理的需求,解决用户的实际安全运维工作问题。

  那么我们的方法实践论就是三个步骤:

      1)分析用户的基础数据环境,能够提供什么种类的数据,包括日志分类,流量分类,性能数据分类等。

      2)了解用户的需求和期望,结合用户的基础数据,从每一类数据细分入手,对每一类数据进行深入分析,分析可能满足用户的功能点。对于数据比较完善的功能点,通过关联分析和行为分析进行相互验证和追溯。

      3)结合赛博坦平台的分析方法,在平台上通过仪表板和报表将需求功能点展示出来。

 

  说了这么多方法论和细分数据,那么到底赛博坦平台提供了那些细分数据分析功能点呢?我们从一些日志分类数据来说明展示:

日志分类

安全场景

描述

分析方法

DNS

DGA行为(DNS)

检测DNS查询请求中的DGA行为

专项分析

DNS数据(隧道)

检测DNS查询请求中的DNS数据

专项分析

终端安全

可疑进程行为(用户)

在终端检测和响应日志中检测可疑进程行为(用户)

关联分析

可疑事件(终端)

在终端检测和响应日志中检测可疑事件(终端)

关联分析

可疑进程行为(主机)

在终端检测和响应日志中检测可疑进程行为(主机)

关联分析

可疑进程行为(时间)

在终端检测和响应日志中检测可疑进程行为(时间)

关联分析

可疑进程行为(CrossProc)

在终端检测和响应日志中检测可疑进程行为(CrossProc)

关联分析

可疑进程行为(模块)

在终端检测和响应日志中检测可疑进程行为(模块)

关联分析

可疑进程行为(服务)

在终端检测和响应日志中检测可疑进程行为(服务)

关联分析

可疑登录行为(位置)

在终端检测和响应日志中检测可疑登录行为(位置)

关联分析和行为分析

SSH

可疑登录行为(时间)

在终端检测和响应日志中检测可疑登录行为(时间)

关联分析和行为分析

防火墙

源扫描(端口)

检测防火墙日志中的源扫描(端口)

关联分析和行为分析

应用程序数据

在防火墙日志中检测应用程序数据

关联分析和行为分析

可疑网络行为(SSH区域)

在防火墙日志中检测可疑网络行为(SSH区域)

关联分析

可疑网络行为(应用程序端口)

在防火墙日志中检测可疑网络行为(应用程序端口)

关联分析

可疑事件(终端)

在防火墙日志中检测可疑事件(终端)

关联分析和行为分析

 IDS/IPS

IDS/IPS告警(优先级)

在入侵检测和防护日志中检测告警(优先级)

关联分析

安全Web网关

可疑网络行为(应用程序)

在Web代理日志中检测可疑网络行为(应用程序)

关联分析

HTTP数据(代理)

检测Web代理日志中的HTTP数据(代理)

专项分析

HTTP C2行为

在Web代理日志中检测HTTP C2行为

专项分析

VPN

可疑登录行为(位置)

检测虚拟专用网络日志中的可疑登录行为(位置)

关联分析和行为分析

Windows安全日志

可疑登录行为(时间)

在Windows安全日志中检测可疑登录行为(时间)

关联分析和行为分析

可疑登录行为(RDP-Bruteforce)

在Windows安全日志中检测可疑登录行为(RDP-Bruteforce)

关联分析和行为分析

可疑登录行为(RunAs)

在Windows安全日志中检测可疑登录行为(RunAs)

关联分析和行为分析

可疑帐户行为(时间)

在Windows安全日志中检测可疑帐户行为(时间)

关联分析和行为分析

可疑事件(终端)

在Windows安全日志中检测可疑事件(终端)

关联分析和行为分析

       有了这些分类细分功能点之后,对于数据比较齐全的环境,就可以进行相互验证和追溯,例如VPN登录行为和Windows主机登录日志在时序上进行相互验证。对IDS/IPS和其他安全设备的告警进行合并和验证,减少告警误报,发现高等级的告警。在赛博坦平台中,通过行为链分析技术进行验证和追溯可以作为一个重要实例分析方法,具体可以参见:见微知著,基于行为链的异常行为分析技术。

        分析完之后,展示的结果就是仪表板和报表,当然已经内置到平台中,只需要根据用户需求组合展示即可。同时赛博坦平台提供了还有强大的策略包管理功能,策略包将基础数据分类泛化规则,安全策略规则,查询分析策略,仪表板,报表等串联起来,成为一个整体,可以方便地导入和导出,策略包是传递和复制安全场景应用的利器,具体使用请参考:策略包在CDK套件中的应用。

  当然,这些只是赛博坦套件平台提供的分析手段的一部分,赛博坦平台不但提供了开发平台,还专门成立了赛博坦安全分析中心和智能分析实验室,可以为合作伙伴提供安全分析场景和应用,要想获取全部信息和进一步了解,请赶快联系赛博坦社区进行免费测试吧!


回帖
  • Ethan
    2018-06-28 14:53:19

    以策略化得方式推进安全分析平台的运行实践,使平台有了长足的生命力!  

    1 回复