正所謂“日防夜防,家賊難防”,大數據時代對于企業平臺而言,內部數據與信息的管理難度不斷提升,同時其所面臨的內部數據泄露問題卻日益凸顯。在內部數據庫不斷升級的過程中,信息被泄露的風險也就越大,越需要更先進的技術作為保障,確保信息的安全。
根據Verizon發布的《 2017 年數據泄露調查報告》顯示,絕大多數內部人員和特權濫用的違規行為幾個月甚至幾年都未被發現(圖1)。更糟糕的是,黑客們通過各種技術操作方式,越來越容易獲取訪問權限并偽裝成內部人員。 2017 年 4 月,暗網中出現了史上最大的賬號信息合集,共包含 14 億條明文賬號信息。這些有效的未加密用戶名和密碼信息搜集自很多個數據庫源頭,包括Netflix、MySpace、Badoo、linkedIn等等。即使是菜鳥黑客,也能夠通過這些已經被泄露的敏感信息中,輕易的找到攻擊點。
圖1:內部人員和特權濫用造成的泄露發現時間軸,n=77(來源: 2017 年Verizon報告)
在此背景下,Imperva Defense Center通過深度的實驗,對內部人員滲透數據庫的方式方法,以及數據庫信息內部泄露的可能進行了全方位的探索,總結出了一系列的可疑數據庫訪問命令和訪問模式的偵測方法。該實驗研究成果,已經被應用于Imperva CounterBreach的最新版本中。這些新型探測技術,借助行為建模方法可以大大縮短發現可疑的內部數據泄露風險的時間。
換位思考,防患未然
作為入侵者,攻擊者在竊取數據庫信息之時,除了會偽裝身份,扮成內部數據檢索人員之外,還會試圖掩蓋數據竊取每個階段的痕跡。根據Imperva Defense Center研究發現,攻擊者的常用方法包括以下三種:
1.使用帶有摘要內容的動態SQL查詢語句
2.向數據庫注入惡意代碼
3.使用專用的Shell同數據庫進行通信
充分掌握以上攻擊者具體攻擊方式是威脅偵測的關鍵。Imperva Defense Center通過對滲透攻擊工具進行逆向工程,掌握了攻擊者攻擊的各種攻擊方法,并將該結果和專家知識相結合,列出了諸多會造成攻擊行為的命令,以及攻擊者對數據庫訪問的行為特征。在掌握這些信息后,Imperva還在許多已有客戶的數據庫系統上進行驗證,觀察這些命令和行為特征是否經常會出現在日常數據庫的訪問中。
鎖定對數據庫的可疑訪問
根據Imperva Defense Center研究發現,可以將內部數據泄露的可疑操作命令和訪問規律分為兩組:第一組是正常行為中從未用到過的命令和訪問規律。執行這種命令就代表著非常可能就是攻擊行為;第二組是正常行為中不太會使用的命令,但是需要注意的是,一些交互用戶或應用在某些場合下還是有一定可能會使用這些命令,這些命令并不一定一定就是攻擊行為。為了消除虛假警報,研究中心進行了統計學方式的推斷,發現正常用戶在使用第二組中的某些特定命令時,通常是重復的而且方式非常可預測。(圖2)
圖2:不同用戶的可疑指令查詢數
雙模型——內外兼修
根據上面的發現,我們推薦應該同時采用負面和正面行為模型,這兩個模型來進一步的可疑行為的判斷。很多情況下,這兩種方法都能有效探測潛在的內部攻擊者,而且可以起到相互補充的作用。
負面行為建模探測的目標,是偵測根本就不應該存在的可疑行為。相對而言,正面行為模型則用來偵測絕大部分用戶中不太會進行的可疑行為。上述的兩組可疑命令,就可透過這兩種行為模型進行歸類。
正面行為建模與負面建模不同,記錄的是日常行為。它記錄每一個用戶行為、具有相似特征或用戶組的行為(即對等組)以及整個組織的行為。模型的行為特征包括對數據的訪問規律、用戶通常在組織內訪問的儲存數據、訪問時間、取回的數據量以及很多其他特征。對每一個用戶或組行為模型建成后,就可探測異于相關模型的可疑行為。這種模型可應用于第二組命令和訪問規律。
在一些簡單的場景中,我們可以僅僅使用負面行為模型(即純負面行為模型)就偵測出使用第一組命令的攻擊事件。但是在更復雜情況中,例如第二種情況(攻擊者的行為混淆與正常訪問之中),那就需要使用兩種模型結合的方法(即組合的正面與負面兩種模型)。負面行為模型使用了相關領域的專家知識,而正面行為模型使用了機器學習算法,可以最大程度降低誤報。
探測實際攻擊:案例分析
在Imperva CounterBreach的最新版本應用中,就有如下一則實際的探測案例,發現了客戶數據庫中,有同一名用戶使用了兩條可疑命令,造成了內部數據的泄露。而通過Imperva CounterBreach的應用,不僅搜索到了可疑命令,而且還解除了其背后的風險。
如圖 3 所示,可以發現兩條可疑命令在整個組織內的使用情況。第一條命令(圖表中以藍色顯示)組織中以前從未使用過。使用純負面行為模型探測到,攻擊當天該命令被執行了 51 次,所以非常可疑。第二條命令(圖表中以橙色顯示)曾經有多個用戶使用過,但是不太經常使用。在這一階段,尚無法對這一組命令下任何結論。
圖3:兩條可疑命令在整個組織內的使用情況
面對這種復雜的情況,通過進一步在第二組命令上使用正面模型,更加證實了這條命令的可疑性很高。對該用戶檔案進行的分析顯示,這名用戶在 44 天前,從未進行過這一罕見而又危險的操作,但是數據泄露的這一天執行過 3 次類似指令,由此可見,這一行為的確有問題。(圖4)
圖4:用戶分析工具捕捉到的罕見可疑命令
安全防范很重要
大數據時代,數據泄露事件每一天都在增加,尤其在內部數據泄露方面,發現內部人員與特權濫用導致的泄露,需要花上幾個月甚至幾年時間才能查出。在此背景下,要更快探測出這類威脅,并在數據遭到竊取之前加以阻止。面臨著困難和挑戰,更要迎難而上。Imperva CounterBreach針對黑客與數據竊取者的操作方式和竊取方法,不斷完善技術體系,準確探測攻擊行為,同時最大限度降低誤報。憑借著領域內專家知識的負面行為模型,以及機器學習算法的正面行為模型,Imperva時刻保持領先一籌,為客戶做好安全防范。
免責聲明:本文為廠商推廣稿件,企業發布本文的目的在于推廣其產品或服務,站長之家發布此文僅為傳遞信息,不代表站長之家贊同其觀點,不對對內容真實性負責,僅供用戶參考之用,不構成任何投資、使用等行為的建議。請讀者使用之前核實真實性,以及可能存在的風險,任何后果均由讀者自行承擔。