HW 思考系列:检测只是开始,调查才能结案(下)——实战时代兰云科技的网络安全观
HW 思考系列:检测只是开始,调查才能结案(上)——实战时代兰云科技的网络安全观
五年的HW行动,将网络安全从“合规”时代,带入“实战化”时代。面对这一变化,安全理念应如何进化,安全产品应如何进阶?
网络安全实战时代,检测只是开始,调查才能结案!如何调查?如何结案?如何让你的办案能力超越福尔摩斯?且听我给你慢慢道来。
四、有案必破,天下无贼
有了监察体系,使得复杂案件的破获有了可能,但到底应该如何开展调查,实现结案,将“可能”转变成“必然”呢?让我们再次回望现实社会,社会治安领域,“办案”流程可分为四步:报案、立案、破案、判案。
报案:是指发现案件的线索,线索可以是受害者提供,也可以是目击者提供,甚至可以是基于怀疑而提供。比如,朝阳大妈发现形迹可疑的人即可报案,不一定需要看到案件的发生。
立案:警方基于线索,结合既有经验,案件的重要性等综合因素,将大量的案件线索做一个筛选,将相对重要的,符合立案要求的案件予以立案。一旦立案,无论案件大小,时间跨度多长,案件都会有全面、详细的记录和进展通报,直至侦破,结案。
破案:对于立案后的案件,以初始线索为起点,警方不断开展拓线工作,搜寻能确定案件性质和责任的所必需的各种证据和相关人员,直至形成完整的证据链。破案是一个不断推理、验证,直至案件相关证据链构建齐全的过程。
判案:各方围绕证据链进行辩论和确认,也可按需补充相关证据,完善证据链,直至所有结论没有疑问,法官依据法律法规对案件进行判决。
“雪亮工程”等,改善的是“破案”环节。将原本存在巨大不确定性的,大海捞针般的寻找蛛丝马迹,寻找目击证人,转变成了简单、明确的监控录像调阅,活动轨迹查看,最终落脚点确定的过程;将原来复杂的推理验证工作,变成简单的图像对比工作;将原来需要几天,几个月,甚至几年的工作量,缩减到几个小时到几天;将原来需要唇枪舌剑,激烈PK的证据链构建和确认过程,变成简单,轻松的录像回看。
对照社会治安领域的“办案”流程,不难发现,现有网络安全体系存在巨大缺陷:第一,缺失关键环节,也即“破案”环节(报案-检测;立案-关联分析,过滤;破案-无;判案-处置)。在社会案件中,已报案信息,未经破案过程,直接判案,是不可想象的,而网络安全领域却一直在这么做,甚至仍希望继续这么做;第二,混淆不同阶段的职责。以报案信息,做判案依据,将破案环节的责任强加给报案环节。这也是造成很多平时看起来“无所不包,无所不能”的网络安全平台,一到实战就成了“举步维艰”,甚至“一无所能”的摆设的根因所在;第三,将报案环节的误报率,漏报率,作为衡量办案能力的指标。破案能力(破案率)和破案效率才应是衡量整体安全能力的核心指标。
结合网络安全自身的特点,我们合并“报案”和“立案”两个环节,调整为“发现”,“破案”环节调整为“调查”,“判案”环节调整为“处置”。
经此调整后,每个阶段的角色和职责一目了然,又适合网络安全场景。以“破案”为中心,建设基础防控能力、全面监测能力、高效调查能力,以及联动处置能力,为实现高效破案提供支撑和保障。基础防控能力通过防火墙、WAF、杀毒软件等常规的安全产品构建;全面监测能力通过全流量监测与分析、终端监测、应用审计、大数据、人工智能等产品或技术构建;高效调查能力通过关联分析、可视化、交互式分析、大数据、人工智能等技术构建;联动处置能力通过同第三方安全产品联动,将威胁进行阻断或者隔离,消除威胁或阻止其扩散。一旦发现可疑线索或安全事件,安全人员基于收集到的全面且必要的安全相关数据,利用可视化、交互式分析、机器学习等技术,高效的展开调查、取证,再通过防控机制进行响应、处置。
兰云科技认为:网络安全实战时代,我们应摈弃以误报率,漏报率为核心衡量指标的安全理念,践行以“破案”为中心,以破案能力和破案效率为核心衡量指标的新型安全理念,建设以发现、调查、处置为主线的实战化网络安全体系。
兰云科技的定位是:为网络安全人员提供强有力的系列工具—兰眼“调查者”,提升他们的破案能力和破案效率。使网络安全领域,**
五、实践检验
“实践是检验真理的唯一标准”,以“破案”为中心的方案是否能真正解决困扰网络安全多年的顽疾,需要通过实战进行检验。让我们回顾一次真实的事件:
2018年的某天下午上班后,一些员工反馈,公司网速突然变得很慢,网页经常打开失败,非常影响工作效率,希望公司尽快排查,解决!于是安排人员利用“兰眼”进行调查。
既然是上网流量有异常,那么我们就调取办公区的出口流量信息。
在13:30~13:35时段内,流量有大幅的波动。我们推测流量的大幅波动应该是某台/些主机流量异常造成的,因此调取这一时段内流量的主机占比信息。
经验证,有一台主机(192.168.6.174)在该时段内的流量出现异常,明显高于其他主机。进一步推测,应该是某个应用出现了异常,导致流量激增,于是调取该主机的应用流量占比情况信息。
经验证,SMTP协议的流量占192.168.6.174主机该时段流量的绝大部分。于是,我们进一步分析邮件应用具体发生了哪些行为。
从图中可以看出,在该时段内该主机不到1秒钟就会发1封邮件,这显然不是正常的由人产生的邮件发送行为,很可能是恶意软件的自动化邮件发送行为。我们可以再调查一下该主机都和哪些邮件服务器通信。
可以看到,该主机通信的邮件服务器IP,多以98开头,经确认这些IP都属于美国的IP,这再次说明该主机的自动邮件发送行为存在问题。我们基本能确定该主机是中了带邮件自动发送行为的恶意软件。由于是当天才突然开始的流量异常,因此,我们可以重点调查该主机在产生异常流量之前,是否下载过软件/文件,或者在安全产品中触发过过告警。
调阅“兰眼”中同该主机相关的告警,发现该主机在13:24下载的一个软件,触发了告警,从威胁的详细描述信息看,确定是恶意文件。后经安全人员对该恶意文件进一步分析确认,该文件是一款开发辅助工具软件,被人植入恶意模块后,上传至第三方下载平台,而某员工从该第三方下载平台下载了该软件使用。至此,我们完成了对整个事件的调查和取证,形成了完整的证据链,可以进行全面的影响评估和精准的应对处置。
回顾该案例可以发现,整个“破案”过程有以下几个特点:
1、可从任何疑点开始调查:该案例的可疑线索来自于员工投诉,而不是威胁告警;
2、安全技能要求不高:整个过程,只有最后一步需要一定的安全知识。各个步骤都是可视化的,一目了然,而且下一步应该分析什么,也都是自然而然的浮现出来;
3、调查效率高:在一个产品中,通过简单的几个步骤就完成了整个事件的调查。
将网络犯罪回归到犯罪率,破案率的本质上来,构建以“破案”为中心网络安全体系,完全可以高效的解决困扰网络安全领域已久的顽疾。
网络安全实战时代,检测只是开始,调查才能结案!拥有“调查者”,人人都能成为福尔摩斯!
