正所謂“日防夜防,家賊難防”,大數(shù)據(jù)時(shí)代對于企業(yè)平臺而言,內(nèi)部數(shù)據(jù)與信息的管理難度不斷提升,同時(shí)其所面臨的內(nèi)部數(shù)據(jù)泄露問題卻日益凸顯。在內(nèi)部數(shù)據(jù)庫不斷升級的過程中,信息被泄露的風(fēng)險(xiǎn)也就越大,越需要更先進(jìn)的技術(shù)作為保障,確保信息的安全。
根據(jù)Verizon發(fā)布的《2017年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示,絕大多數(shù)內(nèi)部人員和特權(quán)濫用的違規(guī)行為幾個(gè)月甚至幾年都未被發(fā)現(xiàn)(圖1)。更糟糕的是,黑客們通過各種技術(shù)操作方式,越來越容易獲取訪問權(quán)限并偽裝成內(nèi)部人員。2017年4月,暗網(wǎng)中出現(xiàn)了史上最大的賬號信息合集,共包含14億條明文賬號信息。這些有效的未加密用戶名和密碼信息搜集自很多個(gè)數(shù)據(jù)庫源頭,包括Netflix、MySpace、Badoo、LinkedIn等等。即使是菜鳥黑客,也能夠通過這些已經(jīng)被泄露的敏感信息中,輕易的找到攻擊點(diǎn)。
圖1:內(nèi)部人員和特權(quán)濫用造成的泄露發(fā)現(xiàn)時(shí)間軸,n=77(來源:2017年Verizon報(bào)告)
在此背景下,Imperva Defense Center通過深度的實(shí)驗(yàn),對內(nèi)部人員滲透數(shù)據(jù)庫的方式方法,以及數(shù)據(jù)庫信息內(nèi)部泄露的可能進(jìn)行了全方位的探索,總結(jié)出了一系列的可疑數(shù)據(jù)庫訪問命令和訪問模式的偵測方法。該實(shí)驗(yàn)研究成果,已經(jīng)被應(yīng)用于Imperva CounterBreach的最新版本中。這些新型探測技術(shù),借助行為建模方法可以大大縮短發(fā)現(xiàn)可疑的內(nèi)部數(shù)據(jù)泄露風(fēng)險(xiǎn)的時(shí)間。
換位思考,防患未然
作為入侵者,攻擊者在竊取數(shù)據(jù)庫信息之時(shí),除了會偽裝身份,扮成內(nèi)部數(shù)據(jù)檢索人員之外,還會試圖掩蓋數(shù)據(jù)竊取每個(gè)階段的痕跡。根據(jù)Imperva Defense Center研究發(fā)現(xiàn),攻擊者的常用方法包括以下三種:
1.使用帶有摘要內(nèi)容的動(dòng)態(tài)SQL查詢語句
2.向數(shù)據(jù)庫注入惡意代碼
3.使用專用的Shell同數(shù)據(jù)庫進(jìn)行通信
充分掌握以上攻擊者具體攻擊方式是威脅偵測的關(guān)鍵。Imperva Defense Center通過對滲透攻擊工具進(jìn)行逆向工程,掌握了攻擊者攻擊的各種攻擊方法,并將該結(jié)果和專家知識相結(jié)合,列出了諸多會造成攻擊行為的命令,以及攻擊者對數(shù)據(jù)庫訪問的行為特征。在掌握這些信息后,Imperva還在許多已有客戶的數(shù)據(jù)庫系統(tǒng)上進(jìn)行驗(yàn)證,觀察這些命令和行為特征是否經(jīng)常會出現(xiàn)在日常數(shù)據(jù)庫的訪問中。
鎖定對數(shù)據(jù)庫的可疑訪問
根據(jù)Imperva Defense Center研究發(fā)現(xiàn),可以將內(nèi)部數(shù)據(jù)泄露的可疑操作命令和訪問規(guī)律分為兩組:第一組是正常行為中從未用到過的命令和訪問規(guī)律。執(zhí)行這種命令就代表著非常可能就是攻擊行為;第二組是正常行為中不太會使用的命令,但是需要注意的是,一些交互用戶或應(yīng)用在某些場合下還是有一定可能會使用這些命令,這些命令并不一定一定就是攻擊行為。為了消除虛假警報(bào),研究中心進(jìn)行了統(tǒng)計(jì)學(xué)方式的推斷,發(fā)現(xiàn)正常用戶在使用第二組中的某些特定命令時(shí),通常是重復(fù)的而且方式非常可預(yù)測。(圖2)
圖2:不同用戶的可疑指令查詢數(shù)
雙模型——內(nèi)外兼修
根據(jù)上面的發(fā)現(xiàn),我們推薦應(yīng)該同時(shí)采用負(fù)面和正面行為模型,這兩個(gè)模型來進(jìn)一步的可疑行為的判斷。很多情況下,這兩種方法都能有效探測潛在的內(nèi)部攻擊者,而且可以起到相互補(bǔ)充的作用。
負(fù)面行為建模探測的目標(biāo),是偵測根本就不應(yīng)該存在的可疑行為。相對而言,正面行為模型則用來偵測絕大部分用戶中不太會進(jìn)行的可疑行為。上述的兩組可疑命令,就可透過這兩種行為模型進(jìn)行歸類。
正面行為建模與負(fù)面建模不同,記錄的是日常行為。它記錄每一個(gè)用戶行為、具有相似特征或用戶組的行為(即對等組)以及整個(gè)組織的行為。模型的行為特征包括對數(shù)據(jù)的訪問規(guī)律、用戶通常在組織內(nèi)訪問的儲存數(shù)據(jù)、訪問時(shí)間、取回的數(shù)據(jù)量以及很多其他特征。對每一個(gè)用戶或組行為模型建成后,就可探測異于相關(guān)模型的可疑行為。這種模型可應(yīng)用于第二組命令和訪問規(guī)律。
在一些簡單的場景中,我們可以僅僅使用負(fù)面行為模型(即純負(fù)面行為模型)就偵測出使用第一組命令的攻擊事件。但是在更復(fù)雜情況中,例如第二種情況(攻擊者的行為混淆與正常訪問之中),那就需要使用兩種模型結(jié)合的方法(即組合的正面與負(fù)面兩種模型)。負(fù)面行為模型使用了相關(guān)領(lǐng)域的專家知識,而正面行為模型使用了機(jī)器學(xué)習(xí)算法,可以最大程度降低誤報(bào)。
探測實(shí)際攻擊:案例分析
在Imperva CounterBreach的最新版本應(yīng)用中,就有如下一則實(shí)際的探測案例,發(fā)現(xiàn)了客戶數(shù)據(jù)庫中,有同一名用戶使用了兩條可疑命令,造成了內(nèi)部數(shù)據(jù)的泄露。而通過Imperva CounterBreach的應(yīng)用,不僅搜索到了可疑命令,而且還解除了其背后的風(fēng)險(xiǎn)。
如圖3所示,可以發(fā)現(xiàn)兩條可疑命令在整個(gè)組織內(nèi)的使用情況。第一條命令(圖表中以藍(lán)色顯示)組織中以前從未使用過。使用純負(fù)面行為模型探測到,攻擊當(dāng)天該命令被執(zhí)行了51次,所以非常可疑。第二條命令(圖表中以橙色顯示)曾經(jīng)有多個(gè)用戶使用過,但是不太經(jīng)常使用。在這一階段,尚無法對這一組命令下任何結(jié)論。
圖3:兩條可疑命令在整個(gè)組織內(nèi)的使用情況
面對這種復(fù)雜的情況,通過進(jìn)一步在第二組命令上使用正面模型,更加證實(shí)了這條命令的可疑性很高。對該用戶檔案進(jìn)行的分析顯示,這名用戶在44天前,從未進(jìn)行過這一罕見而又危險(xiǎn)的操作,但是數(shù)據(jù)泄露的這一天執(zhí)行過3次類似指令,由此可見,這一行為的確有問題。(圖4)
圖4:用戶分析工具捕捉到的罕見可疑命令
安全防范很重要
大數(shù)據(jù)時(shí)代,數(shù)據(jù)泄露事件每一天都在增加,尤其在內(nèi)部數(shù)據(jù)泄露方面,發(fā)現(xiàn)內(nèi)部人員與特權(quán)濫用導(dǎo)致的泄露,需要花上幾個(gè)月甚至幾年時(shí)間才能查出。在此背景下,要更快探測出這類威脅,并在數(shù)據(jù)遭到竊取之前加以阻止。面臨著困難和挑戰(zhàn),更要迎難而上。Imperva CounterBreach針對黑客與數(shù)據(jù)竊取者的操作方式和竊取方法,不斷完善技術(shù)體系,準(zhǔn)確探測攻擊行為,同時(shí)最大限度降低誤報(bào)。憑借著領(lǐng)域內(nèi)專家知識的負(fù)面行為模型,以及機(jī)器學(xué)習(xí)算法的正面行為模型,Imperva時(shí)刻保持領(lǐng)先一籌,為客戶做好安全防范。
推薦閱讀
鈦古電器意識到,電磁烹飪不只是代表先進(jìn)生產(chǎn)力,還彰顯著烹飪之美、生活之美。甄選進(jìn)口NEG面板,對跑車級油墨進(jìn)行上百次調(diào)色,鈦古以優(yōu)雅的設(shè)計(jì)語言,打造出具有非凡品位視覺的電磁爐產(chǎn)品。>>>詳細(xì)閱讀
本文標(biāo)題:捕捉自盜威脅:使用行為建模技術(shù)偵測可疑命令,發(fā)現(xiàn)訪問規(guī)律
地址:http://www.geekbao.cn/a/05/305634.html
網(wǎng)友點(diǎn)評
精彩導(dǎo)讀
科技快報(bào)
品牌展示