在本文中,帮助网络安全分析师了解网络安全架构的组成部分,从如何使用端点信息来增强网络情况感知开始。端点收集了大量有价值的情况感知信息,但这些信息往往没有得到充分利用。
如果你不知道资产正在进行的活动,你就无法检测到危害。网络安全分析师可以在两个地方之一查看这些活动,或者有时两者都有——直接在设备和进出设备的通信中(即在网络上)。威胁检测的第一步是了解设备上可以看到什么活动,以及如何检测设备以提供这种可见性。
端点的价值
端点不仅仅是一个在角落里闲置的黑匣子。端点通常是一个有权参与预定义活动的计算平台,如处理能力、访问资源或与其他端点通信。所有这些端点的存在都是为了为组织提供价值,但为了确保这一价值,需要验证其行为是否符合组织的预期。有效的态势感知通过定位超出其权限范围的端点来实施策略,并为运营商提供可疑和良性端点行为的整体图景。这种意识支持决策,并帮助组织降低风险。
操作系统通过生成日志并将其存储在本地或发送到中央日志存储库来监控本地端点。许多组织通过额外的监控来补充日志记录,并在端点安装客户端,以检查静态、内存或正在传输的数据。这些客户端可以测试数据中的恶意代码,或确保数据处于已知状态。您还可以观察在活动内存中运行的过程,并验证是否以适当的特权级别运行,并参与预期的行为。一些客户进一步限制被认为不合适或威胁性的行为,如访问禁止内容或不安全使用系统呼叫。这些额外监控功能的可见性是有成本的。监控过程占用内存和处理器周期。一些端点态势感知工具作为应用程序和操作系统之间的垫片,尽管这些垫片可能会在正常操作中引入延迟和带宽限制。
在某些配置中,许多解决方案生成大量的日志数据,通常通过网络发送到中央收集器。归档这些日志所需的存储量可能会迅速增加,特别是从数千或数万个端点收集,网络带宽会增加大量的网络成本,使低带宽连接饱和,网络层面可以实现端点可见性,允许情况感知收集完全忽略端点提供的重复数据,或用于另一个数据集的信息来确认数据集的观察结果。
对端点态势感知的常见反对意见
三件事往往阻止企业充分利用其端点作为网络态势感知工具。
首先,最明显的是,大多数企业都有许多终点:传统的工作站和服务器;移动设备,如手机、平板电脑和笔记本电脑;以及医疗和科学设备、销售点系统、条形码扫描仪,甚至灯泡等互联网上的非传统设备。似乎不可能配置它们来使情况感知相关信息可用于分析的复杂性。幸运的是,大多数组织现在都有强大的程序来定义企业中所有机器应该如何配置的基线策略和成熟的工具来实施这些策略。还要考虑到,即使是不完美的终点可见性也为网络安全防御者提供了重要的价值。虽然它看起来令人生畏,但实现终点可见性的技术问题可能比想象的要容易得多。
有效端点监测的另一个常见障碍是哲学上的。许多防御者对端点数据感到不舒服,因为控制端点的攻击者可能能够篡改它。这种担忧是一种合理的风险,但有一些方法可以管理它。管理篡改端点的可能性的最有效方法之一是配置应用程序日志记录以将日志消息导出到中央服务器。对于企业服务器,在所有日志消息创建后立即导出它们可能是合适的,但对于其他端点(例如工作站)来说通常是不切实际的,因为工作站数量更多,并且可能并不总是与企业有良好的连接。在这种情况下,要管理网络使用情况,应考虑在创建某些关键消息后立即导出日志,然后则需要定期导出优先级较低的消息(例如,每四个小时或当端点连接回企业网络时)。最后,请记住,即使是被泄露的日志也具有态势感知价值,因为它们可以揭示攻击者希望隐藏的内容,战术、技术和程序。
在许多企业中,终端监控的最大障碍不是技术,而是组织。终端管理通常独立于网络管理,可进一步细分为工作站、服务器、云和内部部署管理。真正全面的网络情况感知需要组织各部门的合作。建立这些桥梁可能是一种投资,但回报不仅是终端的可见性,而且是一种更全面的网络安全监控和响应方法。
分阶段的方法:从你所在的地方开始
正如我们所说,大多数组织都有大量的终端需要管理和监控,但不需要监控所有的终端。我们可能希望从监控关键的本地服务器基础设施开始,然后把我们学到的东西带到基于云的服务器上,并与工作站支持一起开发检测本地、云和移动终端的策略- 用户环境。增量收入将带来增量价值和重要经验教训。
分析什么数据
当计划在网络情况感知中使用端点数据时,需要回答一些基本问题,如
- 组织关心哪些数据?
- 组织将如何使其用于分析?
- 组织将来如何改变主意?
端点有大量数据。在后续讨论网络情况感知分析时,将讨论如何识别重要数据。目前,以下数据可能是最重要的数据(大致按此顺序):
- 无法在其他任何地方获得的数据
- 与其他数据相关的数据
- 证实你已经拥有的数据
显然,我们对端点优势最感兴趣。我们可以看到我们在其他任何地方都看不到的东西。因此,首先考虑只在端点上使用事件的数据(和元数据)是有意义的。示例包括尝试创建过程或防止端点防火墙的网络连接的信息。虽然这些数据非常有用,但当它们可以与其他来源集成时,它们将变得非常有用。因此,第二个最重要的端点数据是将端点数据与其他数据集相关的信息。例如,网络连接检查可以发现网络连接包含恶意软件,端点数据可以找到主机上打开的过程。通过进程列表和进程打开的网络连接(包括连接时间戳和目标信息),可以确定哪个进程下载恶意软件。
最后,虽然收集重复网络数据的端点数据似乎是浪费能源,但有时在两个不同的有利位置获得信息支持的推断可能是有价值的。这一推断有助于分析师对他们的结论建立信心,并排除任何传感器(或排除)可能产生误报。
在哪里分析端点数据?
这些数据存储在哪里是一个相关的问题。
- 在端点
- 在中心位置
- 介于两者之间的东西
通常,将数据从端点移动到中央收集器可以更容易地将数据与来自其他观察域和数据集的信息集成在一起。然而,端点是一个嘈杂的数据源,因此可能需要大量的工程工作才能将所有内容发送回中心。
一种方法是分析端点本身。这种方法有两个主要缺点。首先,我们现在正在对机器上的数据进行分析。根据定义,我们正在评估妥协的可能性,因此我们必须相应地调整我们对结果的信心。第二个考虑因素是没有安全分析来影响可用性。端点的存在是为了企业的业务。安全分析不应对可用性产生负面影响。
还有数据保留的问题。同样,在终点存储大量历史数据会影响最终用户的服务可用性;如果你想保留一段时间,你可能必须备份并转移它。
端点上的分析和存储以及将其全部移动到中心位置之间的一个可能折衷方案是建立一个接近(从网络角度)收集数据的中间收集点。由于收集和分析数据是其存在的主要目的和价值,这些中间节点可以进行某些类型的分析,并且可以存储数据更长的时间。端点数据架构的一种特别有效的方法是使用这些收集点进行管理分析,以确定哪些数据可以丢弃,哪些数据值得保留。
当讨论网络情况感知项目时,当决定集中收集数据时,大多数项目考虑的因素与网络数据相同,这些问题将在未来得到更深入的讨论。现在,只有几个方面与端点数据特别相关:
- 将数据发送到中心位置的策略将取决于端点的网络连接,与端点的连接高度可变。他们会有多少带宽?他们什么时候会有它?传输中的数据是否需要采取额外措施来保护?由于所有这些考虑因素都会影响最佳策略,而且端点之间存在很大差异,可能需要处理端点数据的新近度或维度。
- 网络检查数据收集通常优化少量相当大容量的数据流。终端数据收集优化了大量相对较低容量的数据流。最适合一个人的架构可能不适合另一个人。然而,中间收集器提供帮助的另一种方法是简化这个问题,因为收集器的聚合终端数据看起来更像网络监控器的数据流,更适合相同的工程方法。
- 端点为企业工作,回程端点数据不应过度干扰可用性。记住,安全的存在只是为了使任务更有可能成功。
- 接下来,它将转向网络态势感知项目,讨论网络可见性,为什么除了端点可见性,以及何时在网络级别实施端点可见性可能非常有价值。
- 网络检查数据收集通常优化少量相当大容量的数据流。终端数据收集优化了大量相对较低容量的数据流。最适合一个人的架构可能不适合另一个人。然而,中间收集器提供帮助的另一种方法是简化这个问题,因为收集器的聚合终端数据看起来更像网络监控器的数据流,更适合相同的工程方法。
- 端点为企业工作,回程端点数据不应过度干扰可用性。记住,安全的存在只是为了使任务更有可能成功。
接下来,它将转向网络态势感知项目,讨论网络可见性,为什么除了端点可见性,以及何时在网络级别实施端点可见性可能非常有价值。