正所謂“日防夜防����,家賊難防”���,大數(shù)據(jù)時代對于企業(yè)平臺而言�,內(nèi)部數(shù)據(jù)與信息的管理難度不斷提升����,同時其所面臨的內(nèi)部數(shù)據(jù)泄露問題卻日益凸顯。在內(nèi)部數(shù)據(jù)庫不斷升級的過程中����,信息被泄露的風(fēng)險也就越大����,越需要更先進(jìn)的技術(shù)作為保障�����,確保信息的安全��。
根據(jù)Verizon發(fā)布的《2017年數(shù)據(jù)泄露調(diào)查報告》顯示����,絕大多數(shù)內(nèi)部人員和特權(quán)濫用的違規(guī)行為幾個月甚至幾年都未被發(fā)現(xiàn)(圖1)。更糟糕的是���,黑客們通過各種技術(shù)操作方式����,越來越容易獲取訪問權(quán)限并偽裝成內(nèi)部人員�。2017年4月�,暗網(wǎng)中出現(xiàn)了史上最大的賬號信息合集,共包含14億條明文賬號信息�。這些有效的未加密用戶名和密碼信息搜集自很多個數(shù)據(jù)庫源頭��,包括Netflix��、MySpace���、Badoo、LinkedIn等等����。即使是菜鳥黑客,也能夠通過這些已經(jīng)被泄露的敏感信息中�,輕易的找到攻擊點(diǎn)。
圖1:內(nèi)部人員和特權(quán)濫用造成的泄露發(fā)現(xiàn)時間軸�����,n=77(來源:2017年Verizon報告)
在此背景下��,Imperva Defense Center通過深度的實驗��,對內(nèi)部人員滲透數(shù)據(jù)庫的方式方法���,以及數(shù)據(jù)庫信息內(nèi)部泄露的可能進(jìn)行了全方位的探索�,總結(jié)出了一系列的可疑數(shù)據(jù)庫訪問命令和訪問模式的偵測方法�。該實驗研究成果����,已經(jīng)被應(yīng)用于Imperva CounterBreach的最新版本中��。這些新型探測技術(shù)���,借助行為建模方法可以大大縮短發(fā)現(xiàn)可疑的內(nèi)部數(shù)據(jù)泄露風(fēng)險的時間���。
換位思考,防患未然
作為入侵者���,攻擊者在竊取數(shù)據(jù)庫信息之時�����,除了會偽裝身份�,扮成內(nèi)部數(shù)據(jù)檢索人員之外��,還會試圖掩蓋數(shù)據(jù)竊取每個階段的痕跡�����。根據(jù)Imperva Defense Center研究發(fā)現(xiàn)���,攻擊者的常用方法包括以下三種:
1.使用帶有摘要內(nèi)容的動態(tài)SQL查詢語句
2.向數(shù)據(jù)庫注入惡意代碼
3.使用專用的Shell同數(shù)據(jù)庫進(jìn)行通信
充分掌握以上攻擊者具體攻擊方式是威脅偵測的關(guān)鍵�����。Imperva Defense Center通過對滲透攻擊工具進(jìn)行逆向工程�����,掌握了攻擊者攻擊的各種攻擊方法�,并將該結(jié)果和專家知識相結(jié)合�,列出了諸多會造成攻擊行為的命令,以及攻擊者對數(shù)據(jù)庫訪問的行為特征�。在掌握這些信息后,Imperva還在許多已有客戶的數(shù)據(jù)庫系統(tǒng)上進(jìn)行驗證��,觀察這些命令和行為特征是否經(jīng)常會出現(xiàn)在日常數(shù)據(jù)庫的訪問中�����。
鎖定對數(shù)據(jù)庫的可疑訪問
根據(jù)Imperva Defense Center研究發(fā)現(xiàn)��,可以將內(nèi)部數(shù)據(jù)泄露的可疑操作命令和訪問規(guī)律分為兩組:第一組是正常行為中從未用到過的命令和訪問規(guī)律�。執(zhí)行這種命令就代表著非常可能就是攻擊行為;第二組是正常行為中不太會使用的命令,但是需要注意的是����,一些交互用戶或應(yīng)用在某些場合下還是有一定可能會使用這些命令,這些命令并不一定一定就是攻擊行為�����。為了消除虛假警報��,研究中心進(jìn)行了統(tǒng)計學(xué)方式的推斷����,發(fā)現(xiàn)正常用戶在使用第二組中的某些特定命令時,通常是重復(fù)的而且方式非��?深A(yù)測�。(圖2)
圖2:不同用戶的可疑指令查詢數(shù)
雙模型——內(nèi)外兼修
根據(jù)上面的發(fā)現(xiàn),我們推薦應(yīng)該同時采用負(fù)面和正面行為模型�����,這兩個模型來進(jìn)一步的可疑行為的判斷��。很多情況下�����,這兩種方法都能有效探測潛在的內(nèi)部攻擊者��,而且可以起到相互補(bǔ)充的作用�。
負(fù)面行為建模探測的目標(biāo),是偵測根本就不應(yīng)該存在的可疑行為���。相對而言�,正面行為模型則用來偵測絕大部分用戶中不太會進(jìn)行的可疑行為�����。上述的兩組可疑命令�����,就可透過這兩種行為模型進(jìn)行歸類�。
正面行為建模與負(fù)面建模不同,記錄的是日常行為���。它記錄每一個用戶行為���、具有相似特征或用戶組的行為(即對等組)以及整個組織的行為。模型的行為特征包括對數(shù)據(jù)的訪問規(guī)律、用戶通常在組織內(nèi)訪問的儲存數(shù)據(jù)�、訪問時間、取回的數(shù)據(jù)量以及很多其他特征�����。對每一個用戶或組行為模型建成后�����,就可探測異于相關(guān)模型的可疑行為����。這種模型可應(yīng)用于第二組命令和訪問規(guī)律。
在一些簡單的場景中���,我們可以僅僅使用負(fù)面行為模型(即純負(fù)面行為模型)就偵測出使用第一組命令的攻擊事件�。但是在更復(fù)雜情況中��,例如第二種情況(攻擊者的行為混淆與正常訪問之中)����,那就需要使用兩種模型結(jié)合的方法(即組合的正面與負(fù)面兩種模型)。負(fù)面行為模型使用了相關(guān)領(lǐng)域的專家知識���,而正面行為模型使用了機(jī)器學(xué)習(xí)算法����,可以最大程度降低誤報。
探測實際攻擊:案例分析
在Imperva CounterBreach的最新版本應(yīng)用中��,就有如下一則實際的探測案例��,發(fā)現(xiàn)了客戶數(shù)據(jù)庫中�,有同一名用戶使用了兩條可疑命令����,造成了內(nèi)部數(shù)據(jù)的泄露。而通過Imperva CounterBreach的應(yīng)用��,不僅搜索到了可疑命令����,而且還解除了其背后的風(fēng)險。
如圖3所示�,可以發(fā)現(xiàn)兩條可疑命令在整個組織內(nèi)的使用情況。第一條命令(圖表中以藍(lán)色顯示)組織中以前從未使用過��。使用純負(fù)面行為模型探測到�,攻擊當(dāng)天該命令被執(zhí)行了51次�����,所以非���?梢伞5诙䲢l命令(圖表中以橙色顯示)曾經(jīng)有多個用戶使用過��,但是不太經(jīng)常使用���。在這一階段��,尚無法對這一組命令下任何結(jié)論�����。
圖3:兩條可疑命令在整個組織內(nèi)的使用情況
面對這種復(fù)雜的情況�,通過進(jìn)一步在第二組命令上使用正面模型����,更加證實了這條命令的可疑性很高。對該用戶檔案進(jìn)行的分析顯示�,這名用戶在44天前,從未進(jìn)行過這一罕見而又危險的操作�����,但是數(shù)據(jù)泄露的這一天執(zhí)行過3次類似指令,由此可見����,這一行為的確有問題。(圖4)
圖4:用戶分析工具捕捉到的罕見可疑命令
安全防范很重要
大數(shù)據(jù)時代�,數(shù)據(jù)泄露事件每一天都在增加,尤其在內(nèi)部數(shù)據(jù)泄露方面�,發(fā)現(xiàn)內(nèi)部人員與特權(quán)濫用導(dǎo)致的泄露�,需要花上幾個月甚至幾年時間才能查出。在此背景下����,要更快探測出這類威脅,并在數(shù)據(jù)遭到竊取之前加以阻止�。面臨著困難和挑戰(zhàn),更要迎難而上�����。Imperva CounterBreach針對黑客與數(shù)據(jù)竊取者的操作方式和竊取方法�,不斷完善技術(shù)體系,準(zhǔn)確探測攻擊行為�����,同時最大限度降低誤報。憑借著領(lǐng)域內(nèi)專家知識的負(fù)面行為模型���,以及機(jī)器學(xué)習(xí)算法的正面行為模型�����,Imperva時刻保持領(lǐng)先一籌�,為客戶做好安全防范����。
京公網(wǎng)安備 11010502041587號