正所謂“日防夜防,家賊難防”,大數(shù)據(jù)時代對于企業(yè)平臺而言,內(nèi)部數(shù)據(jù)與信息的管理難度不斷提升,同時其所面臨的內(nèi)部數(shù)據(jù)泄露問題卻日益凸顯。在內(nèi)部數(shù)據(jù)庫不斷升級的過程中,信息被泄露的風(fēng)險也就越大,越需要更先進的技術(shù)作為保障,確保信息的安全。
根據(jù)Verizon發(fā)布的《2017年數(shù)據(jù)泄露調(diào)查報告》顯示,絕大多數(shù)內(nèi)部人員和特權(quán)濫用的違規(guī)行為幾個月甚至幾年都未被發(fā)現(xiàn)(圖1)。更糟糕的是,黑客們通過各種技術(shù)操作方式,越來越容易獲取訪問權(quán)限并偽裝成內(nèi)部人員。2017年4月,暗網(wǎng)中出現(xiàn)了史上最大的賬號信息合集,共包含14億條明文賬號信息。這些有效的未加密用戶名和密碼信息搜集自很多個數(shù)據(jù)庫源頭,包括Netflix、MySpace、Badoo、LinkedIn等等。即使是菜鳥黑客,也能夠通過這些已經(jīng)被泄露的敏感信息中,輕易的找到攻擊點。
圖1:內(nèi)部人員和特權(quán)濫用造成的泄露發(fā)現(xiàn)時間軸,n=77(來源:2017年Verizon報告)
在此背景下,Imperva Defense Center通過深度的實驗,對內(nèi)部人員滲透數(shù)據(jù)庫的方式方法,以及數(shù)據(jù)庫信息內(nèi)部泄露的可能進行了全方位的探索,總結(jié)出了一系列的可疑數(shù)據(jù)庫訪問命令和訪問模式的偵測方法。該實驗研究成果,已經(jīng)被應(yīng)用于Imperva CounterBreach的最新版本中。這些新型探測技術(shù),借助行為建模方法可以大大縮短發(fā)現(xiàn)可疑的內(nèi)部數(shù)據(jù)泄露風(fēng)險的時間。
換位思考,防患未然
作為入侵者,攻擊者在竊取數(shù)據(jù)庫信息之時,除了會偽裝身份,扮成內(nèi)部數(shù)據(jù)檢索人員之外,還會試圖掩蓋數(shù)據(jù)竊取每個階段的痕跡。根據(jù)Imperva Defense Center研究發(fā)現(xiàn),攻擊者的常用方法包括以下三種:
1.使用帶有摘要內(nèi)容的動態(tài)SQL查詢語句
2.向數(shù)據(jù)庫注入惡意代碼
3.使用專用的Shell同數(shù)據(jù)庫進行通信
充分掌握以上攻擊者具體攻擊方式是威脅偵測的關(guān)鍵。Imperva Defense Center通過對滲透攻擊工具進行逆向工程,掌握了攻擊者攻擊的各種攻擊方法,并將該結(jié)果和專家知識相結(jié)合,列出了諸多會造成攻擊行為的命令,以及攻擊者對數(shù)據(jù)庫訪問的行為特征。在掌握這些信息后,Imperva還在許多已有客戶的數(shù)據(jù)庫系統(tǒng)上進行驗證,觀察這些命令和行為特征是否經(jīng)常會出現(xiàn)在日常數(shù)據(jù)庫的訪問中。
鎖定對數(shù)據(jù)庫的可疑訪問
根據(jù)Imperva Defense Center研究發(fā)現(xiàn),可以將內(nèi)部數(shù)據(jù)泄露的可疑操作命令和訪問規(guī)律分為兩組:第一組是正常行為中從未用到過的命令和訪問規(guī)律。執(zhí)行這種命令就代表著非?赡芫褪枪粜袨;第二組是正常行為中不太會使用的命令,但是需要注意的是,一些交互用戶或應(yīng)用在某些場合下還是有一定可能會使用這些命令,這些命令并不一定一定就是攻擊行為。為了消除虛假警報,研究中心進行了統(tǒng)計學(xué)方式的推斷,發(fā)現(xiàn)正常用戶在使用第二組中的某些特定命令時,通常是重復(fù)的而且方式非?深A(yù)測。(圖2)
圖2:不同用戶的可疑指令查詢數(shù)
雙模型——內(nèi)外兼修
根據(jù)上面的發(fā)現(xiàn),我們推薦應(yīng)該同時采用負面和正面行為模型,這兩個模型來進一步的可疑行為的判斷。很多情況下,這兩種方法都能有效探測潛在的內(nèi)部攻擊者,而且可以起到相互補充的作用。
負面行為建模探測的目標,是偵測根本就不應(yīng)該存在的可疑行為。相對而言,正面行為模型則用來偵測絕大部分用戶中不太會進行的可疑行為。上述的兩組可疑命令,就可透過這兩種行為模型進行歸類。
正面行為建模與負面建模不同,記錄的是日常行為。它記錄每一個用戶行為、具有相似特征或用戶組的行為(即對等組)以及整個組織的行為。模型的行為特征包括對數(shù)據(jù)的訪問規(guī)律、用戶通常在組織內(nèi)訪問的儲存數(shù)據(jù)、訪問時間、取回的數(shù)據(jù)量以及很多其他特征。對每一個用戶或組行為模型建成后,就可探測異于相關(guān)模型的可疑行為。這種模型可應(yīng)用于第二組命令和訪問規(guī)律。
在一些簡單的場景中,我們可以僅僅使用負面行為模型(即純負面行為模型)就偵測出使用第一組命令的攻擊事件。但是在更復(fù)雜情況中,例如第二種情況(攻擊者的行為混淆與正常訪問之中),那就需要使用兩種模型結(jié)合的方法(即組合的正面與負面兩種模型)。負面行為模型使用了相關(guān)領(lǐng)域的專家知識,而正面行為模型使用了機器學(xué)習(xí)算法,可以最大程度降低誤報。
探測實際攻擊:案例分析
在Imperva CounterBreach的最新版本應(yīng)用中,就有如下一則實際的探測案例,發(fā)現(xiàn)了客戶數(shù)據(jù)庫中,有同一名用戶使用了兩條可疑命令,造成了內(nèi)部數(shù)據(jù)的泄露。而通過Imperva CounterBreach的應(yīng)用,不僅搜索到了可疑命令,而且還解除了其背后的風(fēng)險。
如圖3所示,可以發(fā)現(xiàn)兩條可疑命令在整個組織內(nèi)的使用情況。第一條命令(圖表中以藍色顯示)組織中以前從未使用過。使用純負面行為模型探測到,攻擊當天該命令被執(zhí)行了51次,所以非?梢。第二條命令(圖表中以橙色顯示)曾經(jīng)有多個用戶使用過,但是不太經(jīng)常使用。在這一階段,尚無法對這一組命令下任何結(jié)論。
圖3:兩條可疑命令在整個組織內(nèi)的使用情況
面對這種復(fù)雜的情況,通過進一步在第二組命令上使用正面模型,更加證實了這條命令的可疑性很高。對該用戶檔案進行的分析顯示,這名用戶在44天前,從未進行過這一罕見而又危險的操作,但是數(shù)據(jù)泄露的這一天執(zhí)行過3次類似指令,由此可見,這一行為的確有問題。(圖4)
圖4:用戶分析工具捕捉到的罕見可疑命令
安全防范很重要
大數(shù)據(jù)時代,數(shù)據(jù)泄露事件每一天都在增加,尤其在內(nèi)部數(shù)據(jù)泄露方面,發(fā)現(xiàn)內(nèi)部人員與特權(quán)濫用導(dǎo)致的泄露,需要花上幾個月甚至幾年時間才能查出。在此背景下,要更快探測出這類威脅,并在數(shù)據(jù)遭到竊取之前加以阻止。面臨著困難和挑戰(zhàn),更要迎難而上。Imperva CounterBreach針對黑客與數(shù)據(jù)竊取者的操作方式和竊取方法,不斷完善技術(shù)體系,準確探測攻擊行為,同時最大限度降低誤報。憑借著領(lǐng)域內(nèi)專家知識的負面行為模型,以及機器學(xué)習(xí)算法的正面行為模型,Imperva時刻保持領(lǐng)先一籌,為客戶做好安全防范。
文章內(nèi)容僅供閱讀,不構(gòu)成投資建議,請謹慎對待。投資者據(jù)此操作,風(fēng)險自擔(dān)。
近日,德國柏林國際電子消費品展覽會(IFA2024)隆重舉辦。憑借在核心技術(shù)、產(chǎn)品設(shè)計及應(yīng)用方面的創(chuàng)新變革,全球領(lǐng)先的智能終端企業(yè)TCL實業(yè)成功斬獲兩項“IFA全球產(chǎn)品設(shè)計創(chuàng)新大獎”金獎,有力證明了其在全球市場的強大影響力。
近日,中國家電及消費電子博覽會(AWE 2024)隆重開幕。全球領(lǐng)先的智能終端企業(yè)TCL實業(yè)攜多款創(chuàng)新技術(shù)和新品亮相,以敢為精神勇闖技術(shù)無人區(qū),斬獲四項AWE 2024艾普蘭大獎。
“以前都要去窗口辦,一套流程下來都要半個月了,現(xiàn)在方便多了!”打開“重慶公積金”微信小程序,按照提示流程提交相關(guān)材料,僅幾秒鐘,重慶市民曾某的賬戶就打進了21600元。
由世界人工智能大會組委會、上海市經(jīng)信委、徐匯區(qū)政府、臨港新片區(qū)管委會共同指導(dǎo),由上海市人工智能行業(yè)協(xié)會聯(lián)合上海人工智能實驗室、上海臨港經(jīng)濟發(fā)展(集團)有限公司、開放原子開源基金會主辦的“2024全球開發(fā)者先鋒大會”,將于2024年3月23日至24日舉辦。