如何快速把钱花在刀刃上把未来一周、一月、一季度可能遇到的安全威胁监测一边,提前将漏洞一一修复变成了最棘手也最抓心的问题。
在安全投资高度火热和漏洞管理的驱动下,安全的发展速度非常惊人。以金融、TMT行业为代表的企业在安全上投入的人力财力空前庞大。随着国际形势的日趋复杂,政府机构、国家重要单位也开始打起精神,为保障自身网络空间安全而奋战。
从风险管理、安全管理的角度来看,新技术、新形势的出现,必须伴有新的安全管理体系来控制新能力引入的同时带来的安全风险。但,甲方公司万不可盲目建立安全管理体系,否则,只能算是自我安慰,根本达不到预期的效果。
看见是一种能力。
2015年ISC大会周鸿伟
周老板是个了不起的售前,这句话感动了很多甲方公司的安全管理人员。
但是,有部分人理解的看见是各单位需要强有力的工具,去监控风险。一个像天眼的设备,一套APT引擎?这样的理解未免有些片面,伴随着APT新一轮的浪潮的到来,作为一个多年混在安全圈里的咨询顾问,我想分享以下自己对APT检测设备的看法。
无需部署APT检测能力的组织:
1.对于小型组织,确实没有购买APT检测设备的必要。如果担心数据被盗,服务被监控,那可以做隔离;
2.无核心信息系统的组织,也没有购买APT检测设备的必要。因为即使被攻击了也没什么;
3.无安全管理部门,或是安全成熟度很低的组织,也没有购买APT检测设备的必要,因为即便发现了风险,也无法彻底地处置风险;
4. 无软件开发团队无整改能力的(主要是软件外包公司),也没有购买APT检测设备的必要,因为发现漏洞,或是被入侵的现象发生后,自己的能力无法修复;
5.所有业务都在云端的用户,如果云平台自身没有APT检测能力,也不需要购买APT检测设备,因为,购买的商业化产品,无法和你部署在云端的设备耦合。
需要具有APT检测能力的组织:
1.IT成熟度高、具有高价值资产、核心业务实现数字化、安全有专人负责、安全团队能力强的团队,可以考虑APT检测设备,因为你们是APT攻击的目标;
2.对于国家重要基础设施、重要公共服务、重要信息系统,当然,针对这些,不论组织的成熟度如何或者是有无专业的安全团队,购买APT检测设备是必要的,因为APT的重点攻击目标就是你。
当然,并不是购买了APT检测产品就绝对安全了,漏洞如若不能及时修复的话,数据会逐渐流失。长期发展下去,公司也没有核心资产了。
因为真正的APT组织是讲出入平安的,他们要么是长期监控、获取数据,要么就是做业务破坏、进行威慑,让攻击的公司丧失核心竞争力。企业和公司需要建立更深层次的安全认知,需要看到一般人,或者是一般系统看不到的东西,有效规避风险。
问:为什么谈到APT就谈沙箱,靠谱吗?
答:沙箱固然重要,但是巧妇难为无米之炊。目前大部分APT使用的都是SSL加密流量(恶意JS),或者加密压缩包恶意文件。鉴于这样的情况,所有的APT攻击团队都在考虑投资与价值的回报。
目前很多APT抛弃了原先的0day、木马,取而代之的是恶意JS,恶意的JS伪装在大量JS中,以浑水摸鱼的形式接入内部网络,而沙箱只能静态检测,无法逐一的对JS进行沙箱操作,所以沙箱也不一定能捕捉APT攻击。
但,不可否认的是,有效的APT检测体系应该包括沙箱、行为检测(尤其是具备内网横向移动的渗透模型)能力。
问:购买APT检测平台时需要考虑哪些因素,是否和采购SOC类似呢?
答:很多年前我所在的公司在做一个SOC项目。项目期间,我对一个安全圈内资深专家 DueCare 在启动会上说过一句话印象非常深刻!
你们公司作为SOC项目的实施方,我对你们的要求是,找一个稳定的工程师,持续的跟踪这个项目,因为SOC就是一个工具,更重要的是一个人,帮助甲方逐步把业务可量化的策略,加以实施。
我认为APT检测平台也一样,只是一个工具,你需要考虑,提供商是不是有好工具(看案例、看架构、看容量、看安全背景),是不是有咨询团队,(因为这样的平台落地,是需要前期大量调研和发现评估的。)是不是具有应急响应团队,是不是具备渗透能力(非工具党),是不是有实验室,尤其是全球的实验室,因为这个和样本获取能力,都有一定关系。
问:是不是只要能对流量分析就可以分析APT攻击?
答:抛开如何做策略分析不讲,你能够在伴随DDoS攻击的情况下,把真正的黑客通过ICMP做数据回传的动作识别出来就需要一种能力;另外还需要很多,比如VPN行为关联,内网横向移动特征、加密流量处理、异常访问基线处理等等。
个人能力有限,本次仅分享以上几个问题,如有不对,请各位指正。
