威脅情報(bào)搜集實(shí)現(xiàn)防患于未然

路沙

縱觀2018年的全球數(shù)據(jù)泄密事件著實(shí)讓人有些不忍卒睹。無論是大型網(wǎng)絡(luò)服務(wù)公司、龐大的跨國金融機(jī)構(gòu)，還是航線遍及世界的航空公司以及國家層級的政府機(jī)構(gòu)，盡管已經(jīng)部署了下一代防火墻（NGFW）、入侵防御系統(tǒng)（IPS）、web應(yīng)用防火墻（WAF）、防毒墻及Anti-APT等層層堆棧的安全設(shè)備，但仍然無法避免敏感資料的外泄。

正所謂“知己知彼、百戰(zhàn)不殆”，既然憑借被動的審查機(jī)制不足以防范黑客的侵入，便有專家提出新觀念，不妨設(shè)法在風(fēng)險(xiǎn)尚在醞釀時(shí)就予以攔阻，其中要義就在于“威脅情報(bào)攔截”，相當(dāng)于在各地構(gòu)筑眾多的高空衛(wèi)星、地面雷達(dá)，借以架設(shè)密集的信息通報(bào)網(wǎng)。如此一來，一旦出現(xiàn)安全威脅隱患，便可以將之扼殺在襁褓當(dāng)中，從而大幅提升防護(hù)功效。

基于此，NETSCOUT Arbor推出了“Arbor Edge Defense”（以下簡稱“AED”）全新解決方案，可作為獨(dú)立的威脅攔截設(shè)備TIG，承載百萬、千萬甚至上億等級的入侵指標(biāo)（Indicators of Compromise;IOC），與企業(yè)既有的安全設(shè)備并肩作戰(zhàn)，做到制敵于先。

多項(xiàng)因素牽絆?讓安全防御大打折扣

平心而論，不少企業(yè)有心防御，積極部署多項(xiàng)安全設(shè)備，意圖構(gòu)筑強(qiáng)大的防御體系，卻往往無法發(fā)揮預(yù)期成效。

對此，在NETSCOUT Arbor大中華區(qū)總經(jīng)理金大剛看來，一是太多的惡意行為皆可通過企業(yè)的層層檢查機(jī)制。如果被突破的關(guān)卡都僅是依據(jù)現(xiàn)有特征碼或指紋庫做查核比對，這很容易理解，因?yàn)閿橙丝赡苓\(yùn)用未知的零日攻擊手法，所以無從辨識。但問題在于不少企業(yè)都已部署Anti-APT（例如沙盒技術(shù)），其用意就在于查找出未知惡意軟件并轉(zhuǎn)換為已知特征碼，然而即使這樣最終效果依舊令人失望。

二是現(xiàn)今已有高達(dá)70%以上的網(wǎng)絡(luò)流量都采用加密方式傳遞，為了防范潛藏其中的網(wǎng)絡(luò)威脅，安全設(shè)備就必須加強(qiáng)并提升對于網(wǎng)絡(luò)流量可視化展現(xiàn)的能力，例如增加SSL加解密設(shè)備。這種做法，一方面需要部署憑證，另一方面需要考慮現(xiàn)有的環(huán)境與設(shè)備是否能夠配合，對于建設(shè)成本與管理復(fù)雜度要求較高，中小企業(yè)或?qū)W校無力負(fù)擔(dān)，從而不得不做出相應(yīng)的妥協(xié)，到最后只能任由加密流量肆意通過、不做檢查，導(dǎo)致內(nèi)網(wǎng)環(huán)境愈來愈“臟”。

三是從企業(yè)的角度來講，為了解決復(fù)雜的安全問題，自然需要眾多的方案，但就實(shí)際執(zhí)行面來看，仍存在諸多盲點(diǎn)。安全設(shè)備的建設(shè)目的都是為了防御并產(chǎn)生告警，但是為了強(qiáng)化防御造成安全設(shè)備日漸增多的同時(shí)，相對的告警事件也持續(xù)增加。

同時(shí)，不論NGFW、IPS、WAF防毒系統(tǒng)或Anti-APT，皆各自為政，即使廠商提出完整的解決方案企業(yè)也會擔(dān)心如果威脅穿透同一品牌系統(tǒng)的防御，連帶所有產(chǎn)品都可能無法偵測到威脅攻擊，因此大多數(shù)大型企業(yè)都會建設(shè)跨品牌的防御架構(gòu)，期望增強(qiáng)自身的防御能力。但彼此信息并不互通，眾多的安全設(shè)備又產(chǎn)生巨量的事件紀(jì)錄，讓企業(yè)安全管理人員很難根據(jù)片段信息完整地串聯(lián)與梳理出攻擊者的軌跡脈絡(luò)。

載不動大量IOC?難以落實(shí)威脅攔截

有感于威脅情報(bào)搜集與分享的重要性與日俱增，世界各國紛紛加強(qiáng)推動ISAC（Information Sharing and Analysis Center）組織，針對國家層級（N-ISAC）及其下屬領(lǐng)域的政府（G-ISAC）、金融服務(wù)（FS-ISAC）、水資源（W-ISAC）、油電燃?xì)猓∣NG-ISAC）等眾多領(lǐng)域，分頭成立一個(gè)個(gè)ISAC機(jī)制，希望借此成功打造威脅情報(bào)平臺（TIP）。

今天，安全行業(yè)所提倡的ISAC，某種程度上類似烽火臺概念。不論是企業(yè)、政府機(jī)構(gòu)或教育機(jī)構(gòu)，如果只想著如何在要塞地帶設(shè)置一道又一道檢查哨，靠自己的兵力與檢驗(yàn)設(shè)施來找出安全威脅，終究可能百密一疏。

反觀一旦結(jié)合外界情報(bào)，用戶很容易就能知道安全特征身在何處、有什么樣的特征，從而快速精準(zhǔn)地給予迎頭痛擊。

金大剛指出，環(huán)顧全球的ISAC演進(jìn)趨勢，可歸納出一個(gè)成功的ISAC，必須蘊(yùn)含三個(gè)關(guān)鍵要素，即“實(shí)時(shí)”、“自動化”與“標(biāo)準(zhǔn)格式”。簡單來說，威脅情報(bào)必須借助自動化機(jī)制實(shí)時(shí)共享，并且為了避免情報(bào)的互通過程出現(xiàn)斷層，所以需要以標(biāo)準(zhǔn)格式為基礎(chǔ);比方說STIX、TAXII，前者定義信息描述的XML格式，后者定義信息分享的通訊協(xié)議，近年來已獲得國際安全行業(yè)的普遍采納，加以利用便可加速實(shí)現(xiàn)跨技術(shù)平臺信息的整合與交換。

隨著ISAC的發(fā)展，在學(xué)術(shù)界，已開始出現(xiàn)進(jìn)一步的“筑墻”推動計(jì)劃，此計(jì)劃評估學(xué)術(shù)網(wǎng)絡(luò)可以搜集到數(shù)萬筆IOC，內(nèi)含大量惡意的IP、URL、Domain。計(jì)劃認(rèn)為可望成為協(xié)助教育界與學(xué)術(shù)界實(shí)現(xiàn)情報(bào)攔截的有力素材，故而結(jié)合國產(chǎn)使用分析工具，發(fā)起筑墻計(jì)劃。

只可惜，測試過程并非一帆風(fēng)順。因?yàn)闊o論NGFW或其他安全設(shè)備，近年紛紛開始加入愈來愈多功能，而每一項(xiàng)功能，皆需固定占用一定程度的內(nèi)存與運(yùn)算資源。換言之，安全設(shè)備所剩余的內(nèi)存空間，不足以承載多達(dá)數(shù)萬筆的IOC，當(dāng)匯入數(shù)千筆，甚至上萬筆IOC時(shí)就已到達(dá)瓶頸。

憑借無狀態(tài)架構(gòu)技術(shù)?攔截能力將可大幅擴(kuò)充

基于此，安全行業(yè)開始醞釀的一個(gè)新的解決方案，正是TIG，由它作為一臺獨(dú)立的設(shè)備，專門負(fù)責(zé)承載不計(jì)其數(shù)的大量IOC，借以大幅減輕NGFW、IPS等安全設(shè)備的負(fù)荷。然而，雖然TIG能夠有效解決系統(tǒng)負(fù)載問題，但是礙于多數(shù)企業(yè)或機(jī)構(gòu)的安全架構(gòu)，已經(jīng)層層堆棧得太過復(fù)雜，實(shí)在無法承受再添加一個(gè)獨(dú)立型設(shè)備，除非TIG能夠被整合到某一類必要的安全設(shè)備當(dāng)中，并且能更簡易、更自動化地運(yùn)作，避免為安全管理團(tuán)隊(duì)制造新的負(fù)擔(dān)。

為此，NETSCOUT Arbor首先在行業(yè)內(nèi)推出了AED （Arbor Edge Defense）解決方案。眾所周知，NETSCOUT Arbor的DDoS攻擊防護(hù)設(shè)備“APS”，由于優(yōu)異的防護(hù)效果，已獲得許多機(jī)構(gòu)的青睞，而如今應(yīng)運(yùn)而生的AED，便是APS加上TIG的集合體。換言之，既有APS用戶只需通過簡易條件的升級程序，便可迅速應(yīng)用TIG功能。

一直以來，APS始終在Anti-DDoS業(yè)界引領(lǐng)風(fēng)騷，其間所倚仗的獨(dú)特優(yōu)勢：一是處在介于路由器與防火墻之間的特殊位置;二是掌握無狀態(tài)封包處理引擎技術(shù);三是擁有ATLAS全球威脅情報(bào)作為后盾。而如今的AED，自然也將承襲這些優(yōu)質(zhì)基因。

首先，由于AED在網(wǎng)絡(luò)邊緣的獨(dú)特位置，很適合作為進(jìn)階網(wǎng)絡(luò)威脅的第一道及最后一道防線，既能防止由外對內(nèi)的各種威脅，也可阻斷已被入侵的內(nèi)部主機(jī)對外通信。其次AED繼承APS無狀態(tài)表技術(shù)的基因，有能力協(xié)助NGFW或IPS等狀態(tài)設(shè)備減輕負(fù)荷，面對任何狀態(tài)耗盡攻擊都能有效完成阻擊任務(wù)。

更重要的是，NETSCOUT Arbor ATLAS現(xiàn)與全球400家電信運(yùn)營商建立合作，得以將大量搜集器廣布于許多電信骨干網(wǎng)絡(luò)，每日獲取140Tbps流量信息，并且利用如此龐大的可視化基礎(chǔ)，每日偵測到多達(dá)20萬個(gè)新增的DDoS攻擊與惡意活動，從而將相關(guān)攻擊策略發(fā)布到Arbor產(chǎn)品當(dāng)中。

相關(guān)鏈接

如今，威脅情報(bào)的搜集與分享日漸重要，而威脅情報(bào)是什么，可以引用Gartner做出的定義：“威脅情報(bào)是基于證據(jù)的知識，包括場景、機(jī)制、指標(biāo)、含義和可操作的建議。這些知識是關(guān)于現(xiàn)存的，或者是即將出現(xiàn)的針對資產(chǎn)的威脅或危險(xiǎn)的，可為主體響應(yīng)相關(guān)威脅或危險(xiǎn)提供決策信息。”