|
網(wǎng)絡(luò)行為分析:對(duì)付舊敵人的新思路
(計(jì)算機(jī)世界報(bào) 2008年02月04日第05期 50)
2008-02-03 22:09:45
一種新出現(xiàn)的安全武器——網(wǎng)絡(luò)行為分析(Network Behavior Analysis�����,NBA)工具���,宣稱能阻止零日威脅�,可監(jiān)控網(wǎng)絡(luò)流量����,一旦發(fā)現(xiàn)網(wǎng)上的異?�;蛘呖梢尚袨?,會(huì)發(fā)出實(shí)時(shí)警報(bào)����,甚至?xí)钄嘞鄳?yīng)的行為。一些專家聲稱��,部署網(wǎng)絡(luò)行為分析工具后��,甚至可以替代入侵檢測(cè)(IDS)產(chǎn)品����。
這是怎樣的一種安全工具?它的工作原理是什么�����?它真的能取代IDS嗎���?本期特組織了一組討論NBA的專題����。
■ 本報(bào)記者 胡鐫芮 沈建
為什么需要
網(wǎng)絡(luò)行為分析
近年來,全球許多大公司都將“法規(guī)遵從”列入了自己的工作議程中�,其原因在于:全球的立法機(jī)關(guān)和政府部門為了應(yīng)對(duì)網(wǎng)絡(luò)世界日益增多的各種安全威脅,都在不斷與時(shí)俱進(jìn)�����,相應(yīng)出臺(tái)了許多新的法規(guī)��,比如美國(guó)出臺(tái)了《支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)》����、《薩班斯-奧克斯利法案》和《健康保險(xiǎn)可攜性及責(zé)任性法案》等標(biāo)準(zhǔn)��,中國(guó)政府出臺(tái)了信息安全等級(jí)保護(hù)條例����、信息系統(tǒng)災(zāi)難恢復(fù)指南標(biāo)準(zhǔn),等等��。這些標(biāo)準(zhǔn)與法規(guī)要求企業(yè)必須懂得數(shù)據(jù)如何得到安全的處理��。企業(yè)不僅要保護(hù)網(wǎng)絡(luò)安全����、信息安全�,還要通過全面的報(bào)告機(jī)制來證明自己的網(wǎng)絡(luò)是安全的�。
這些新標(biāo)準(zhǔn)的出臺(tái),證明各國(guó)政府對(duì)信息安全的重視與積極應(yīng)對(duì)的態(tài)度�����,但遺憾的是�,這些標(biāo)準(zhǔn)中并沒有建議企業(yè)應(yīng)該采取哪些具體的技術(shù)措施來幫助維護(hù)數(shù)據(jù)安全,這導(dǎo)致了各種安全技術(shù)的流行�����。
防火墻�����、反病毒軟件�、內(nèi)容過濾器和驗(yàn)證系統(tǒng)等常規(guī)的安全工具逐漸被越來越多的用戶接受,成為許多公司安全武器庫(kù)當(dāng)中的必要部分�����。但是隨著網(wǎng)絡(luò)變得日益復(fù)雜起來��,這些工具越來越不能迅速識(shí)別及挫敗越來越狡猾的威脅。因此�,最近出現(xiàn)的一個(gè)新的技術(shù)手段——網(wǎng)絡(luò)行為分析(NBA)工具逐漸開始流行,正是因?yàn)樗Y(jié)合了基于網(wǎng)絡(luò)流的異常檢測(cè)和網(wǎng)絡(luò)性能監(jiān)控�����,可用來管理網(wǎng)絡(luò)及安全�。它不同于傳統(tǒng)流量識(shí)別系統(tǒng)的地方在于: 它能檢查流量的行為,而不是檢查流量是什么模樣�����。
傳統(tǒng)安全措施
尚存不足
在PC和互聯(lián)網(wǎng)得到廣泛使用之前���,公司網(wǎng)絡(luò)通常使用專有的協(xié)議和專用硬件來進(jìn)行內(nèi)外網(wǎng)隔離。針對(duì)這種通過“黑盒子”方式提供安全的模式��,黑客和病毒編寫者為了攻擊系統(tǒng)�,不得不了解每個(gè)攻擊目標(biāo)存在的各種安全漏洞。因此�,黑客對(duì)目標(biāo)的攻擊往往僅局限于單獨(dú)的系統(tǒng),很難發(fā)動(dòng)大規(guī)模的攻擊����。而如今,我們生活在PC主導(dǎo)企業(yè)、互聯(lián)網(wǎng)是公司業(yè)務(wù)必要組成部分的大環(huán)境下����,這種技術(shù)的一致性在創(chuàng)造了便利的同時(shí),也為黑客����、病毒編寫者及信息世界的其他不法分子提供了可乘之機(jī)。
一些安全應(yīng)用軟件(如反病毒軟件)往往依靠特征引擎(signature engine)來識(shí)別威脅����。特征引擎將產(chǎn)生的數(shù)據(jù)與病毒庫(kù)中已有病毒特征進(jìn)行對(duì)比。如果特征引擎發(fā)現(xiàn)兩者匹配����,那么它就會(huì)發(fā)出報(bào)警,或者采取某種措施來緩解威脅�����?;谔卣鞯耐{識(shí)別對(duì)付已知威脅非常有效,但在識(shí)別未知威脅方面效果有限����,這就暴露了特征引擎模式存在的巨大缺陷��。變通辦法是不斷更新病毒特征庫(kù)�。但是在新威脅出現(xiàn)�����,反病毒軟件廠商努力開發(fā)出合適的特征代碼時(shí)�,已經(jīng)存在明顯的時(shí)差了:不管停機(jī)還是被全面感染,用戶的網(wǎng)絡(luò)都可能面臨慘重?fù)p失��。而且許多病毒和蠕蟲很容易偽裝和變種����,這樣反病毒引擎在下一次特征更新之前很難發(fā)現(xiàn)它們���。
傳統(tǒng)的安全產(chǎn)品歷來側(cè)重于保護(hù)網(wǎng)絡(luò)邊界�����,因此很多公司在網(wǎng)絡(luò)邊界上使用了防火墻����,但遺憾的是��,現(xiàn)實(shí)普遍的情況是,網(wǎng)絡(luò)的核心更不安全�。因此,包括賽門鐵克在內(nèi)的很多安全產(chǎn)品提供商提出了端點(diǎn)防護(hù)的建議�,端點(diǎn)安全似乎是堵住這種缺口的一種方法,但這種方法在大型網(wǎng)絡(luò)上很不方便���,因?yàn)橛脩敉性S多不同的應(yīng)用��,所以那些“一應(yīng)俱全式”的單一桌面配置方法很難實(shí)現(xiàn)�����。更司空見慣的情況是�����,我們需要配置多個(gè)桌面及配置多個(gè)用戶文件�����,所以公司需要很多端點(diǎn)安全策略�。
很多防火墻廠商在防火墻中添加了反病毒和基于特征的內(nèi)容過濾�,但其效果也僅限于網(wǎng)絡(luò)邊界。大部分公司并沒有采用內(nèi)部防火墻來保護(hù)自己內(nèi)部網(wǎng)或廣域網(wǎng)(WAN)等其他專用的基礎(chǔ)架構(gòu)��。即便使用了內(nèi)部防火墻,這些技術(shù)仍受到特征庫(kù)更新頻率和準(zhǔn)確性的局限�。
NBA彌補(bǔ)不足
而新出現(xiàn)的行為分析工具(NBA)則克服了這些傳統(tǒng)安全產(chǎn)品的不足。但它不是取代后者����,而是后者一個(gè)很好的補(bǔ)充。NBA技術(shù)可收集及分析網(wǎng)絡(luò)中的數(shù)據(jù)�,提供流量分析和網(wǎng)絡(luò)流報(bào)告。這是通過對(duì)流量信息運(yùn)用統(tǒng)計(jì)算法來實(shí)現(xiàn)的��。網(wǎng)絡(luò)探測(cè)程序歸類的流量異常情況常常被認(rèn)為是攻擊的前兆����。很容易從NetFlow或者sFlow數(shù)據(jù)流中識(shí)別主機(jī)或者端口偵測(cè)和掃描行為。比如�����,如果出現(xiàn)了一種未知蠕蟲�����,在它還沒有被傳統(tǒng)的入侵檢測(cè)/預(yù)防系統(tǒng)的特征識(shí)別出來之前��,NBA系統(tǒng)則能立即識(shí)別這種蠕蟲不同尋常的流量模式�����,這種行為模式往往會(huì)尋找網(wǎng)絡(luò)上可以被感染的鄰近主機(jī)��。NBA系統(tǒng)可以監(jiān)控這些行為����,并且向網(wǎng)絡(luò)管理員發(fā)出報(bào)警。
NBA最吸引人的一項(xiàng)功能在于����,它不再與網(wǎng)絡(luò)邊界聯(lián)系。一個(gè)NetFlow或者sFlow收集設(shè)備能同時(shí)監(jiān)控網(wǎng)絡(luò)上的多個(gè)內(nèi)部和邊界的節(jié)點(diǎn)��。另外�,NBA可與現(xiàn)有的身份管理解決方案融合在一起,把流量異常與相應(yīng)的用戶名稱聯(lián)系起來�����,從而全面了解這個(gè)用戶的網(wǎng)絡(luò)活動(dòng)���。幾種解決方案的無縫集合不但滿足了法規(guī)遵從的要求��,還能夠解析異常流量——一直到解析用戶名稱�����,而不是單單解析IP地址�����。這種機(jī)制還有可能實(shí)現(xiàn)雙向操作�,那樣還可以通過解析用戶名稱來識(shí)別IP地址,從而確定可疑用戶遭遇的攻擊面��。這無疑提高了故障排除能力���,并且加快了補(bǔ)救與安全相關(guān)的問題���。
NBA填補(bǔ)了防火墻和入侵檢測(cè)/預(yù)防系統(tǒng)(IDS/IPS)等靜態(tài)安全產(chǎn)品留下的空缺。防火墻只能執(zhí)行之前就存在的策略��;IDS/IPS只能根據(jù)已知特征來檢測(cè)及阻止攻擊��。NBA工具則可以不斷監(jiān)控及分析網(wǎng)絡(luò)流量����,查出某個(gè)零日攻擊��、已經(jīng)變成垃圾郵件發(fā)送工具的某臺(tái)客戶機(jī)、含有敏感信息并且試圖在凌晨3點(diǎn)連接到互聯(lián)網(wǎng)的某臺(tái)服務(wù)器等等��。
Gartner公司的調(diào)研副總裁Paul Proctor表示:“NBA關(guān)注的是異常行為�����,但不一定表明它們是好的行動(dòng)還是壞的行為����。這樣一來,NBA算得上是用戶網(wǎng)絡(luò)安全的最后一道防線��。我們預(yù)計(jì)����,隨著企業(yè)不斷尋求新技術(shù)來填補(bǔ)自己在全方位監(jiān)控方面的空缺,企業(yè)對(duì)NBA的需求會(huì)不斷增長(zhǎng)���,這種趨勢(shì)會(huì)一直持續(xù)到2010年�����。”
|
