正所謂“日防夜防����,家賊難防”��,大數(shù)據(jù)時代對于企業(yè)平臺而言���,內(nèi)部數(shù)據(jù)與信息的管理難度不斷提升����,同時其所面臨的內(nèi)部數(shù)據(jù)泄露問題卻日益凸顯����。在內(nèi)部數(shù)據(jù)庫不斷升級的過程中,信息被泄露的風(fēng)險也就越大���,越需要更先進的技術(shù)作為保障��,確保信息的安全�����。
根據(jù)Verizon發(fā)布的《2017年數(shù)據(jù)泄露調(diào)查報告》顯示���,絕大多數(shù)內(nèi)部人員和特權(quán)濫用的違規(guī)行為幾個月甚至幾年都未被發(fā)現(xiàn)(圖1)��。更糟糕的是��,黑客們通過各種技術(shù)操作方式���,越來越容易獲取訪問權(quán)限并偽裝成內(nèi)部人員。2017年4月��,暗網(wǎng)中出現(xiàn)了史上最大的賬號信息合集�,共包含14億條明文賬號信息。這些有效的未加密用戶名和密碼信息搜集自很多個數(shù)據(jù)庫源頭�����,包括Netflix�����、MySpace����、Badoo、LinkedIn等等��。即使是菜鳥黑客��,也能夠通過這些已經(jīng)被泄露的敏感信息中����,輕易的找到攻擊點。
圖1:內(nèi)部人員和特權(quán)濫用造成的泄露發(fā)現(xiàn)時間軸�����,n=77(來源:2017年Verizon報告)
在此背景下���,Imperva Defense Center通過深度的實驗�����,對內(nèi)部人員滲透數(shù)據(jù)庫的方式方法���,以及數(shù)據(jù)庫信息內(nèi)部泄露的可能進行了全方位的探索�����,總結(jié)出了一系列的可疑數(shù)據(jù)庫訪問命令和訪問模式的偵測方法��。該實驗研究成果�����,已經(jīng)被應(yīng)用于Imperva CounterBreach的最新版本中��。這些新型探測技術(shù)�����,借助行為建模方法可以大大縮短發(fā)現(xiàn)可疑的內(nèi)部數(shù)據(jù)泄露風(fēng)險的時間��。
換位思考����,防患未然
作為入侵者�����,攻擊者在竊取數(shù)據(jù)庫信息之時�����,除了會偽裝身份,扮成內(nèi)部數(shù)據(jù)檢索人員之外�����,還會試圖掩蓋數(shù)據(jù)竊取每個階段的痕跡�。根據(jù)Imperva Defense Center研究發(fā)現(xiàn)�����,攻擊者的常用方法包括以下三種:
1.使用帶有摘要內(nèi)容的動態(tài)SQL查詢語句
2.向數(shù)據(jù)庫注入惡意代碼
3.使用專用的Shell同數(shù)據(jù)庫進行通信
充分掌握以上攻擊者具體攻擊方式是威脅偵測的關(guān)鍵���。Imperva Defense Center通過對滲透攻擊工具進行逆向工程�,掌握了攻擊者攻擊的各種攻擊方法�����,并將該結(jié)果和專家知識相結(jié)合���,列出了諸多會造成攻擊行為的命令��,以及攻擊者對數(shù)據(jù)庫訪問的行為特征�。在掌握這些信息后,Imperva還在許多已有客戶的數(shù)據(jù)庫系統(tǒng)上進行驗證�����,觀察這些命令和行為特征是否經(jīng)常會出現(xiàn)在日常數(shù)據(jù)庫的訪問中����。
鎖定對數(shù)據(jù)庫的可疑訪問
根據(jù)Imperva Defense Center研究發(fā)現(xiàn),可以將內(nèi)部數(shù)據(jù)泄露的可疑操作命令和訪問規(guī)律分為兩組:第一組是正常行為中從未用到過的命令和訪問規(guī)律���。執(zhí)行這種命令就代表著非��?赡芫褪枪粜袨;第二組是正常行為中不太會使用的命令�,但是需要注意的是��,一些交互用戶或應(yīng)用在某些場合下還是有一定可能會使用這些命令����,這些命令并不一定一定就是攻擊行為。為了消除虛假警報���,研究中心進行了統(tǒng)計學(xué)方式的推斷����,發(fā)現(xiàn)正常用戶在使用第二組中的某些特定命令時,通常是重復(fù)的而且方式非��?深A(yù)測�����。(圖2)
圖2:不同用戶的可疑指令查詢數(shù)
雙模型——內(nèi)外兼修
根據(jù)上面的發(fā)現(xiàn)����,我們推薦應(yīng)該同時采用負面和正面行為模型����,這兩個模型來進一步的可疑行為的判斷。很多情況下��,這兩種方法都能有效探測潛在的內(nèi)部攻擊者��,而且可以起到相互補充的作用����。
負面行為建模探測的目標,是偵測根本就不應(yīng)該存在的可疑行為�。相對而言,正面行為模型則用來偵測絕大部分用戶中不太會進行的可疑行為。上述的兩組可疑命令�����,就可透過這兩種行為模型進行歸類����。
正面行為建模與負面建模不同,記錄的是日常行為����。它記錄每一個用戶行為、具有相似特征或用戶組的行為(即對等組)以及整個組織的行為����。模型的行為特征包括對數(shù)據(jù)的訪問規(guī)律、用戶通常在組織內(nèi)訪問的儲存數(shù)據(jù)�����、訪問時間�、取回的數(shù)據(jù)量以及很多其他特征。對每一個用戶或組行為模型建成后���,就可探測異于相關(guān)模型的可疑行為�����。這種模型可應(yīng)用于第二組命令和訪問規(guī)律����。
在一些簡單的場景中,我們可以僅僅使用負面行為模型(即純負面行為模型)就偵測出使用第一組命令的攻擊事件����。但是在更復(fù)雜情況中,例如第二種情況(攻擊者的行為混淆與正常訪問之中)��,那就需要使用兩種模型結(jié)合的方法(即組合的正面與負面兩種模型)�。負面行為模型使用了相關(guān)領(lǐng)域的專家知識�,而正面行為模型使用了機器學(xué)習(xí)算法,可以最大程度降低誤報��。
探測實際攻擊:案例分析
在Imperva CounterBreach的最新版本應(yīng)用中�����,就有如下一則實際的探測案例���,發(fā)現(xiàn)了客戶數(shù)據(jù)庫中���,有同一名用戶使用了兩條可疑命令�,造成了內(nèi)部數(shù)據(jù)的泄露��。而通過Imperva CounterBreach的應(yīng)用�,不僅搜索到了可疑命令,而且還解除了其背后的風(fēng)險���。
如圖3所示����,可以發(fā)現(xiàn)兩條可疑命令在整個組織內(nèi)的使用情況�����。第一條命令(圖表中以藍色顯示)組織中以前從未使用過��。使用純負面行為模型探測到����,攻擊當天該命令被執(zhí)行了51次,所以非��?梢����。第二條命令(圖表中以橙色顯示)曾經(jīng)有多個用戶使用過��,但是不太經(jīng)常使用���。在這一階段,尚無法對這一組命令下任何結(jié)論�����。
圖3:兩條可疑命令在整個組織內(nèi)的使用情況
面對這種復(fù)雜的情況���,通過進一步在第二組命令上使用正面模型����,更加證實了這條命令的可疑性很高�。對該用戶檔案進行的分析顯示��,這名用戶在44天前����,從未進行過這一罕見而又危險的操作,但是數(shù)據(jù)泄露的這一天執(zhí)行過3次類似指令��,由此可見,這一行為的確有問題����。(圖4)
圖4:用戶分析工具捕捉到的罕見可疑命令
安全防范很重要
大數(shù)據(jù)時代,數(shù)據(jù)泄露事件每一天都在增加����,尤其在內(nèi)部數(shù)據(jù)泄露方面,發(fā)現(xiàn)內(nèi)部人員與特權(quán)濫用導(dǎo)致的泄露����,需要花上幾個月甚至幾年時間才能查出。在此背景下�,要更快探測出這類威脅,并在數(shù)據(jù)遭到竊取之前加以阻止��。面臨著困難和挑戰(zhàn)����,更要迎難而上。Imperva CounterBreach針對黑客與數(shù)據(jù)竊取者的操作方式和竊取方法��,不斷完善技術(shù)體系����,準確探測攻擊行為�����,同時最大限度降低誤報����。憑借著領(lǐng)域內(nèi)專家知識的負面行為模型��,以及機器學(xué)習(xí)算法的正面行為模型����,Imperva時刻保持領(lǐng)先一籌,為客戶做好安全防范�。
京公網(wǎng)安備 11010502041587號