大数据+情景化——WebRAY内网安全治理之道

大数据时代的来临，企业不仅要学习如何挖掘数据价值，还要竭尽所能的进行安全整合，以免遭到更强有力的攻击，降低风险。近日，在参加“OWASP 2015中国应用安全论坛——业务安全之大数据分析”会议上，WebRAY创始人权小文先生表示：“任何事物都有存在的两面性，大数据也是如此，虽然黑客盯准了它，但大数据一样可以用来反击。基于大数据分析的内网异常检测技术，已经为有效发现和阻断内网攻击的做好了准备。”

【WebRAY创始人权小文】

APT防范思路“掉头”内网

企业内网承载大量的核心资产和机密数据，虽然用户采用了层层叠加的网络安全防护产品，SOC、监控中心、网管系统、流量分析系统等处处把关，但出现在内网的攻击和泄露事件并未减少。究其缘由，这与内网安全数年来不能改变的传统防护技术有关，更与内网入侵事件所处的场景化有关。

那么，何为“传统”、何为“情景”呢?权小文做出了如下解答：

他指出，“内网防护现状是离散的、非体系化的防护方法，而大量的安全事件或者是内部员工的恶意、无意造成，或者是长期的潜伏或离职意向前的突发行为。因此，要想在内网发现不法人员盗取数据的‘行走轨迹’，就要借助防御APT攻击的思路，针对内网定制化的情景，通过获取样本，建立正常行为模型，然后分析内部网络流量或终端服务器上的行为，做到情景感知，这将是有别于传统防御方案的新起点、后续监测和分析的触发点。”

据了解，APT攻击防范的难点在于，黑客采用了高度定制的代码，有时很可能只适用“一次”，随之潜伏下来，由于没有已知的特征，所以这些攻击很难被传统对检测手段发现。而静态检测无法检测到深度攻击行为，但动态检测由于存在大量的环境组合，无法穷举，所以不应该使用任何一种单独的方法对目标进行检测，这就需要把所有信息关联起来分析。而针对内网环境，WebRAY所倡导的方法，是把有效对付APT攻击的成功经验、关联分析等技术部署在企业内网情景中，而这必然离不开大数据技术作为“支点”。

大数据带来“情景”分析新机遇

内网安全的重要性不言而喻，那么，用户部署安全攻击防护产品、终端病毒的防范、对服务器加固、网络隔离、部署身份认证和安全审计系统，这系列动作的目的又是什么呢?不外乎形成一个有效的流程：预警→监控 →溯源→安全事件责任认定。但是，现实与梦想总有差距。

权小文表示，大数据技术应用带来了内网检测预警新形态和新机遇。他说，“由于传统的、基于SOL存储的安全信息无法整合分析，只能对可以定义的数据进行存储，对于不能定义的数据丢弃，在数据的完整性层面势单力薄。而大数据系统采用NoSQL的非结构化存储，这种技术突破了之前SOC等系统采用的SQL存储的模式，可以保存所有数据，保证了数据的完整性。”

作为大数据分析平台，采集与存储阶段都要尽可能保证数据完整性，而WebRAY方案从路由器旁路采集数据流量、服务器状态、安全设备的日志和相关信息，同时采用漏洞扫描器，主动去扫描检测数据，构建大数据分析的因子，提高了判别的准确性。另外，大数据分析也让WebRAY在业内提出了先进的5W1H分析方法，并以此为主线，满足了用户内网安全流程的建设目标，实现了内控管理的情景感知。

5W1H分析系统中的情景感知因素有Who、When、Where、What、Why、How，通过这些因素可有构建出“主体”到“客体”的访问行为情景。主体是人或应用，客体是应用或数据。而情境分析首先关注审计客体和审计动作，即以What和How为主要关联对象，发现任何一个存在的异常现象。这些常见的异常情景包括：登录异常行为(异常时间、异常IP、多IP登录、频繁登录失败等)、业务违规行为(恶意业务订购、业务只查询不办理、高频业务访问、业务绕行等)、共享账号(一个账号短时间换IP，一个IP登了多个账号等)。另外，5W1H分析方法在网络事件中的应用，还可以解决证据的准确性、完整性等问题就，并且通过合并、改变、简化、取消等操作解决证据存储瓶颈。

内网安全“五步曲”

为了应对“新常态”下的安全风险，有效保障业务安全，OWASP 2015中国应用安全论坛重点围绕“如何利用大数据分析来保障业务安全”进行多角度深层次的讨论。而WebRAY所倡导的“大数据+情景化”的内控安全方法更是得到了参会嘉宾的高度认可，与此同时，权小文还建议企业在内控安全管理中，可以采用以下5个具体步骤进行实践，从而实现大数据分析的内网异常检测：

第1阶段中的主动采集、扫描、探测网络威胁，以及监控、识别获取证据等，对应着登录异常行为;第2阶段中的数据关联、分析、归一化，对应源IP伪造、DDoS攻击识别等流量异常行为;第3阶段中的深度分析，用于形成完整的回溯流程、确定单独事件的5W1H元素，形成混合模式的5W1H链条、以及针对Who链条的信誉体系库;第4阶段的计算与专家库介入是在前面3个阶段后开始，此时已经能够重现完整事件过程，而专家的介入，是为了校对事件追溯过程，通过内置的事件分析模版，进行责任匹配等;第5阶段是定责，这包括了初步认定结果、展示相关问题及其证据链、更新WHO信誉库。

最后，权小文表示：“用户需要重点注意的是在第2阶段，需要事先定义好安全情景，其完整的功能包括数据关联分析、归并、形成Key-Value形态的范式，NOSQL存储，便于检索等，其目的在于解决重复登录系统、异地登陆、绕行登录等异常信息。而这个阶段也是发挥‘大数据+情景化’的关键所在，是大数据内网安全达到情景化、可视化、感知化，责任化的优势所在。”