基于4A系統(tǒng)的風險自適應體系的研究

◆岑 嵐

(中國移動通信集團安徽有限公司 安徽 230000)

1 引言

本方案主要針對WEB應用系統(tǒng)登錄時提供高級的認證方式，作為一個獨立的服務進行調(diào)用。通過從IP地址、設備指紋、地理位置和位移速度、用戶行為分析等因素進行風險分析，是一種強大的分層思想，經(jīng)過每一層的防護，將攻擊者攔截的機會就越大，并基于上下文的感知，能夠全方位評估風險等級。同時可以與多因素認證結(jié)合使用，達到緩解風險保證級別，進一步加強認證保障。

2 目標

認證智能引擎（AIE）采用基于風險認證（RBA）的思想，利用機器學習方法對登錄行為進行挖掘，并從多個層次進行防護驗證，在不增加用戶中斷的情況下進行認證，從而提升用戶的體驗和攔截攻擊者。

3 自適應認證

現(xiàn)在的安全威脅復雜多變，傳統(tǒng)安全防御模式已經(jīng)捉襟見肘。如果安全防御系統(tǒng)能夠根據(jù)安全威脅情況，自動進行防御程度的調(diào)節(jié)，將極大緩解安全威脅所帶來的防御壓力。風險自適應系統(tǒng)就會根據(jù)風險情況不同，進行不同程度的安全驗證。

3.1 攻擊方式培訓

攻擊者通過社交工程和惡意軟件（如釣魚郵件）的組合方式侵入到組織。一旦惡意軟件被部署，或者通過最薄弱的環(huán)節(jié)獲取對企業(yè)網(wǎng)絡的訪問權(quán)限后，攻擊者就建立了一個初始立足點，并試圖獲得具有訪問級別較高權(quán)限的合法憑證或者創(chuàng)建新的憑證，然后就可以橫向移動，并在組織內(nèi)執(zhí)行偵察，最后獲得想要的數(shù)據(jù)。

3.2 多因素身份驗證

而在事件響應期間最常使用的是多因素身份驗證，以保護關鍵數(shù)據(jù)和基礎設施。當攻擊者使用合法憑據(jù)通過VPN登錄時，通過要求安全令牌或指紋、密碼、多因素身份驗證等方式，可以阻止攻擊者盜取或創(chuàng)建的合法憑據(jù)，從而限制了他們在組織內(nèi)橫向移動的能力。

3.3 自適應認證

自適應認證是收集關于用戶及其環(huán)境的其他屬性，并在基于風險策略的上下文中評估這些屬性的過程。自適應認證的目標是通過要求用戶進一步證明他們的身份，來為敏感資源的訪問提供適當?shù)娘L險緩解保證級別。這通常通過逐步認證來實現(xiàn)，可以使用不同類型的驗證器來實現(xiàn)此目的。

雖然自適應認證某一項技術(shù)可以規(guī)避攻擊，但是如果將幾個或全部技術(shù)集合起來使用，將是一個強大的解決方案。這樣，自適應認證就是一種分層的概念，經(jīng)過每一層的防護，那樣將攻擊者攔截的機會就越大。其實，自適應認證既可以作為多因素認證的替代，也可以作為多因素認證的補充。比如當自適應認證檢測到用戶登錄存在一定程度的風險時，才需要多因素身份驗證，從而減輕了用戶的負擔。使用多個預授權(quán)風險因子，從而決定用戶如何進行身份驗證，包括如下：

（1）拒絕訪問；

（2）允許，不需要多因素身份認證；

（3）需要一個多因素身份認證步驟；

（4）強制密碼重置；

（5）引導到一個安全區(qū)域。

4 功能實現(xiàn)

4.1 技術(shù)實現(xiàn)

下面介紹自適應認證的幾種技術(shù)的細節(jié)實現(xiàn)：

（1）設備

對設備的識別通常是一個多階段的過程：在首次進行身份驗證時，需要用戶注冊一個設備終端，在后續(xù)的認證中，就會根據(jù)存儲的配置文件驗證終端。

（2）位置

自適應認證可以將用戶當前的地理位置，一個有實際意義的物理位置，然后與該用戶已知地理位置的黑白名單進行比較，并根據(jù)結(jié)果進行相應的操作。

（3）IP地址

可以創(chuàng)建黑白IP地址名單列表，從已知良好IP地址范圍認證的用戶將擁有較少的認證中斷，而從已知黑名單的 IP認證嘗試將被拒絕或需要通過另外的認證步驟。匿名網(wǎng)絡或匿名代理（如 Tor）都是在隱藏可識別用戶的信息，大多數(shù)組織都應該阻止這些網(wǎng)絡的訪問嘗試。

（4）賬戶

當攻擊者能訪問你的網(wǎng)絡，除了竊取現(xiàn)有的用戶憑證之外，通常還會創(chuàng)建新的用戶憑證。然而，攻擊者不能創(chuàng)建具有適當組成員關系和屬性的用戶。因此，將用戶當前信息與保存在目錄或用戶存儲中的相應信息進行比較，可以阻止攻擊者試圖使用他們創(chuàng)建的憑證。對具有特權(quán)或具有敏感訪問權(quán)限的賬戶，可以提高身份驗證和訪問的門檻。

（5）行為

這可以簡單將上下文和邏輯結(jié)合起來，例如，用戶從北京登錄，5分鐘后又試圖從南京登錄，這是不可能的，表明可能存在憑證濫用。行為也可能很復雜，需要機器學習和大數(shù)據(jù)分析。了解每個用戶的典型行為并能夠識別異常，這可以表明賬戶接管和攻擊者的行為。

（6）用戶和實體行為分析（UEBA）

UEBA用于監(jiān)視用戶行為，例如登錄，遠程訪問，網(wǎng)絡連接等，模擬正常行為，然后檢測可能指示正在進行攻擊的異常情況。UEBA是一種能注意到用戶正常行為的網(wǎng)絡安全過程。反過來，當這些正常模式出現(xiàn)偏差時，就會檢測到任何異常行為或?qū)嵗EBA是一種功能強大的工具，允許安全團隊從他們自己的數(shù)據(jù)中學習，并主動監(jiān)控組織內(nèi)部的異常行為，從而實現(xiàn)更具風險的自適應安全方法。

4.2 系統(tǒng)架構(gòu)

為了保證分析引擎能夠適用不同產(chǎn)品、不同的部署環(huán)境的需求，可以從不同的數(shù)據(jù)源抽取數(shù)據(jù)，支持從文件、數(shù)據(jù)庫、hadoop HDFS、Solr等方式加載配置信息。然后選取特征值，并進行相應的特征值處理，使其適應機器學習的數(shù)據(jù)方式，再通過機器學習算法對用戶行為模式進行挖掘。

4.3 服務調(diào)用

（1）單點登錄調(diào)用

這種方式主要用于調(diào)用方對自適應評分接口的調(diào)用量較少，并發(fā)量不多的情況。一個應用方只需調(diào)用一個微服務提供方。

（2）單點登錄調(diào)用

這種方式主要用于調(diào)用方對自適應評分接口的調(diào)用較頻繁，并發(fā)量較大的情況。為了能夠及時響應請求，將風險等級結(jié)果返回給調(diào)用方。將風險評分部署多個微服務，緩解服務器壓力。

4.4 用戶畫像

為了能夠直觀反映出用戶的信息，讓安全分析人員了解自適應認證的結(jié)果，所以要提供每個登錄用戶的畫像標簽，以便在核對用戶威脅時，提供參考依據(jù)，如下。

4.5 上下文規(guī)則配置

為了方便對用戶歷史登錄過程的認證結(jié)果進行查看，故提供一個可以查詢的界面。主要會從設備自適應認證分析會從多個上下文的方向進行評估，有些評判規(guī)則可能不適應某些現(xiàn)場。所以提供一個可以讓管理員配置上下文規(guī)則的界面。自適應分析平臺就會根據(jù)用戶選擇的配置，來進行評分。

主要涉及以下幾個方向：

（1）設備指紋特征：設備MAC地址、操作系統(tǒng)、CPU信息、屏幕分辨率、設備使用的語言、瀏覽器的配置。

（2）地理位置特征：地理位移速度、地理位置、地理圍欄、IP信譽。

（3）身份治理特征：目錄查找、訪問權(quán)限。

5 結(jié)語

企業(yè)組織不能依靠預防性方法來阻止攻擊者，但是可以在攻擊者周圍加強網(wǎng)絡。本方案提供的自適應認證是一種功能強大的分層方法，可以限制攻擊者在組織內(nèi)橫向移動和使用盜取和創(chuàng)建的任何憑證來竊取有價值的知識產(chǎn)權(quán)、財務數(shù)據(jù)或其他敏感信息。自適應認證可以根據(jù)組織的風險承受能力進行定制，使其能夠平衡安全性并獲得更好的用戶體驗。