NSM防御模型-基本概念
信息安全领域
随着当今互联网的不断发展,数据的安全重视程度也在不断升温,可谓“数据驱动安全”。信息安全现在已经被划分为不多不同的焦点领域。在《DoD 8500.2》中对整个计算机网络的防御分为了几个域:
保护:该领域主要聚焦对系统的安全加固,以防止事故发生时的漏洞利用与入侵成功。涉及到的代表性内容包括:漏洞评估、风险评估、反恶意软件管理、用户安全意识培训和信息安全保障任务。
检测:该领域以检测为中心检测正在发生的或已经发生的入侵,核心包括网络安全监控、攻击意识和警告。
响应:该领域重点集中在入侵发生后的事件响应上。包括事件遏制、基于网络取证和基于主机的取证、恶意软件分析和事故报告。
维护:该领域涉及到网络防御、技术和流程人员的管理。包括外包、人员配备和培训、技术开发和实施、以及系统管理的支持。
NSM关键术语
而在接下来的一系列关于NSM的文章中,我将根据自己的学习心得做一些关于NSM方面的技术分享。由于NSM和网络安全是一个相对较新的学科,当然涉及到一些NSM的专业术语:
资产:资产是企业组织里的具有价值的东西。这里比较容易量化的资产包括电脑、服务器和网络设备。当然还有一些其他重要资产:数据、人员、流程、知识产权和声誉。“资产”也涉及到你的可信网络之外的,或者与之相邻的另一个网络,这里可能涉及到:资产、好人、目标和受害者等。
威胁:威胁是利用资产中漏洞的能力和意图的组合。威胁是相对的,有句话说,你没有被黑客攻击是因为你还没有产生被黑的价值。威胁可以分为两类:结构化的和非结构化的。
结构化的威胁使用正规战术和程序,并具有明确的目标。这通常包括黑客团体、政府情报机构和军队等等,它总是追求首选目标,针对某个特定原因或目标。非结构化的威胁往往由个人或者松散组织的小团体发起,这类威胁缺乏动机、技能、策略和经验。其追求的目标随机不确定。
漏洞:这里的漏洞单指软件、硬件和程序上的弱点,它有可能会为攻击者提供获得非授权访问网络资源的能力 。通常有代码编写不当、缓冲区溢出利用攻击、公共网络的开放接入点,或者不当的认证系统等等。当然更重要的,还有基于人的漏洞。
利用:利用是将一个漏洞进行攻击的方法。在软件利用场景中,可以是一段攻击代码,其中包含payload,使得攻击这可以在受害系统上执行某些操作。在Web场景中,涉及到的漏洞如SQL注入、XSS、文件上传等等。
风险:在NSM领域,对风险的定义是一种对漏洞进行利用的威胁的可能性的度量。但有时候由于无法对网络和数据资产进行有效的评估,对风险的量化也是会徒劳无功。
异常:异常是在系统或网络中可观察到的被认为是与众不同的事件。异常通过检测工具如入侵检测系统或者日志核实。通常的异常包括:软件的异常日志、系统崩溃、恶意数据包、不寻常的网络连接以及短时间内的数据传输等。
NSM的发展
说到NSM的发展,在很早的时候就有类似的网络安全防御技术,其发展大致有如下三个阶段:
* 1980 – “Computer Security Threat Monitoring and Surveillance” (James P. Anderson)
* 1990 – “A Network Security Monitor” (L. Todd Heberlein et al.)
* 2002 – “Network Security Monitoring” (Bamm Visscher & Richard Bejtlich)
– Defined NSM as “the collection, analysis and escalation of indications and warnings (I&W) to detect and respond to intrusions”
入侵检测
在上面提到的NSM术语中的“检测”通常被简单的描述为入侵检测。尽管NSM已经存在近十年,但在现在的NSM中入侵检测是其中一个重要的组件。
围绕入侵检测的旧模式建立起来的“检测”领域往往有几个的特点:
以漏洞为中心的:计算机网络攻击者入侵网络最常见的方式是通过软件漏洞。由于这种攻击方式如此简单,最早的入侵检测程序(IDS)便以此建立针对这些漏洞的漏洞利用payload检测。
基于收集爱好的:当数据收集实施时,由于没有重点,以及相应的收集策略和检测目标,“收集”往往会造成数据过多但却找不到入侵者踪迹。
基于签名的:一个软件的漏洞利用往往是一个静态的动作,这往往可以开发出一个IDS特征。因此,传统的入侵检测系统依赖于具备所有已知漏洞的知识以及特征开发的检测匹配。
完全自动化分析尝试的:简化的以漏洞为中心的入侵检测模型有助于提升自身的可信度,即大多数IDS生成的警报均可以被信任。因此,这种模式通常只有少量分析人员参与,但是现代化的入侵检测系统将是以此为基础,来开发出基于机器学习的智能化检测分析模型。
当然上面的这几种检测机制也取得了一定的成功,但是随着现在不断壮大的复杂网络环境,传统的安全在当前环境下也便得失效。主要原因是这种以漏洞为中心的防御思路是失败的。
引用Bejtlich(http://taosecurity.blogspot.com/)的观点:当发生房子入侵盗窃后,警方会通过在其他房子周围加铁丝网,防止坏人对其他房子的破坏。这就是以漏洞为中心的防御思路。然而,犯罪分子将会很容易找到房子的其他漏洞并加以利用。
所以 ,传统的防御模型一直是被动的,永远落后于攻击。基于这种失败的教训,NSM模型将采用一种新的网络安全防御模型,由于本文有限,将在下篇文章中继续分析。