Integrated Threat Management For Dummies(综合威胁管理)
by Peter Gregory

1 当前的威胁场景

威胁发展

年龄大一点的安全专家会记得那个防火墙和反病毒软件就可以阻挡大多数攻击的时代。现在出现了越来越多的威胁和攻击，每年有成年上万的新的恶意软件变种，现在可能每小时就有上千个。本节介绍讲敏感数据和系统置于危险中的威胁。

变异的恶意软件

一般来说，以基于签名的反病毒软件作为主要防御方式的时代已经过去了。而依赖签名来是识别和阻止病毒、蠕虫、木马的反病毒软件对于今天的经过变异的恶意软件来说是没有用的。现在的恶意软件已经变成了一种武器：能够在感染的主机上进行自我变异。带来的后果就是每个受感染的主机都被恶意软件的不同部分攻击。恶意软件厂商为这类恶意软件创建了进行识别的签名以后，当应用到终端时，该签名已经过时了，因为受感染主机上是另外一个独特的备份（即用于识别的签名不同）。

内部威胁

当安全专家讨论内部威胁时，他们讨论的实际上是整个潜在的有害活动。许多人会以为这只包括一些恶意的职员，但是内部威胁远不止这些。如今内部威胁的概念包括：

• 无意的错误。职员无意间点击了他们不应该点击的东西（垃圾邮件），发送邮件给不应该收到的接受者。
• 判断失误。职员重用密码、存储隐私信息到个人云，在浏览器上安装工具插件等。
• 缺乏培训。职员收到了存储敏感信息的新办法，但是他们可能不理解如何去具体的应用。有时这会让隐私数据和系统处于危险中。
• 恶意职员。一些职员可能觉得资金要被解雇了，他们就会下载所有的客户数据和获奖项目源代码，开发人员还可能会植入时间炸弹来在将来的某个时间破坏重要数据。

恶意威胁很难阻止，主要是因为信息系统只做告诉做的事情，而不会考虑公司的政策和用于的意图。所有好的计划都可以被误用或者滥用来达到某些恶意意图。

逐渐消失的网络边界

曾有一段时间，用户可以通过防火墙来保护内部网络。随着互联网的发展，用户和商业伙伴可以访问内部和外部系统，职员的笔记本电脑从世界各地连接到公司网络，企业也将重要数据存储到云上。目前，网络边界上许多的漏洞，然而防御的方案并不综合。

云迁徙

许多企业已经不在购买硬件来在自己的数据中心安装商业应用了。企业正在逐渐迁徙到云端，他们从IBM Softlayer，Amazon Web Services，Microsoft Azure这样的IaaS租了基于云的应用和操作系统。迁徙到云上给企业带来了巨大的经济效应，但是很少有企业考虑这种迁徙带来的威胁和风险。企业组织假定云提供商为他们的云服务提供了更多的安全措施，而与云服务商的合同给了客户很少的权力和可见性。

在工作中使用自己的设备
Apple这样的公司满足了我们对更好的终端设备的需求，比如MacBook Air笔记本、iPads和iPhones等。人们会带着这样的设备去公司并连接到企业内部网络。大多数的IT是不能阻止他们的，尤其是当高管说我们要把我的iPad连接到内部网络时。这样的话，IT就市区了对企业终端和重要数据的控制权。你以为这就到此为止了吗？每天都会有免费或者廉价的云应用出现在市场上，然后会迅速出现在下周的采购报告中。就这样，企业完成市区了对重要数据的控制权和可见性，因为职员和部门将数据迁徙到云上是不需要IT、法务和安全部门的许可的，甚至不需要告知。

新的技术发展让非IT的职员在不告知IT部门的情况下，做任何想做的事情。这可能在一些方面对企业是有好处的，而带来的潜在风险也是很多。许多的商务人士在工作中选择使用自己的设备，并使用云服务，但是他们那个没有考虑到这样做带来的潜在威胁。

APT

Advanced Persistent Threats (APTs)已经是一种高级持续性攻击，特定的组织和个人可以用来攻击其他单元达到窃取用户数据、破坏数据或者信息系统的目的。APT包含许多的攻击工具和技术，攻击者用这些工具和技术来收集关于攻击目标的情报，然后系统地按步骤达到工具目的。在APT攻击中，威胁者创建了之前未见过的恶意软件。利用一些之前没有发现的漏洞并创建恶意软件来利用这些0day漏洞。

数据泄露

U.S. 医疗保险提供商

2015年初，一个大的US医疗保险商报告说8千万市民的个人信息可能被窃了。窃取这些数据的方法并没有公开，但是应该是通过钓鱼攻击或水坑攻击发起的一个简单的恶意软件攻击开始的。

U.S. 零售商

该公司的数据泄露导致超过1亿客户的信用卡数据被窃，这些客户都在2013年底在商店用信用卡进行过支付。窃取明文信用卡号的恶意软件被植入到收款终端中。企业有检测恶意软件的安全工具，但是安全操作人员没能影响和移除该恶意软件。与其他零售商数据泄露一样，入侵者通过供应商的登录证书进入到网络中。

U.S. 医疗提供商

Kentucky的一家医院发布过一份声明说，医院的服务器感染了勒索软件。在系统恢复上线前，医疗电子记录无法访问。

计算机和网络安全提供商

虽然是一家安全提供商，但这家公司在2011年被黑。目标是这家公司的双因素认证产品，所以入侵者能够尝试用产品自带的远程访问认证来入侵公司的网络。攻击是从发送给人力资源部的含有恶意软件的钓鱼邮件开始的，有人打开了邮件中的恶意附件，然后攻击就发生了。

2 防御复杂攻击

攻击预防

攻击预防是手动的，但是预防并不是可选的。愿意在信息系统上进行投资来支持商业过程的企业，必须同时在培训员工和获取工具上进行投资，来帮助保护他们的系统。

攻击预防的原则

因为存在不同的攻击方法，所以会有不同的方法来预防这些攻击的发生。在了解攻击和预防技术技术之前，我们首先要理解攻击预防的原则。

如果深入思考这些原则，你可能会得到和大多数安全专家同样的结论：网络斗争是不公平的，表中的原则几乎不可能实现。很明显，在这场斗争中，攻击者是有优势的，当防御者处于道德高地时，攻击者处于战略优势。

攻击防御实践

当你觉得自己处于劣势的时候，你可以做一些努力：

• 漏洞管理：必要的商业实践含有许多识别漏洞、使用漏洞数据反馈、对系统打补丁的活动。这对减少漏洞利用有一定的帮助，也能让攻击者访问目标系统变难。
• 补丁管理：这包括获取可用补丁信息和通过简历的变化管理过程来优化和应用漏洞补丁。
• 系统硬化：这是紧缩系统和组件配置的实践，移除非必要的模块和工具，移除非必要的用户账户。这些技术记录在系统和组件硬化标准中，应该包含在应用到企业的新笔记本、服务器、网络设备的主镜像中。
• 权限减小：减少管理和普通用户的权限到工作级。这可以限制攻击者接管账户后的能力范围。
• 供给面减少：通过从环境中移除对功能没有重要影响的组件和系统来预防攻击。这可以减少潜在攻击目标的数量，也减少了攻击者入侵企业的入口点。
• 安全意识培训：这是对终端用户进行抵抗社会工程学攻击的实践，比如强密码、遵循安全策略和步骤、限制对敏感和重要信息的使用和传播这样的安全实践。

网络入侵防御

网络入侵防御是使用工具和技术来帮助检测和拦截基于网络的攻击的安全实践。因为网络是攻击者进行侦查、发起攻击、窃取敏感数据的方式，所以使用一些检测和拦截基于网络的攻击活动的方法是很有必要的。
预防网络入侵的基本攻击是IPS也叫做NIPS。IPS和NIPS有所不同，IPS是基于主机的入侵防御系统（HIPS），而NIPS是基于网络的入侵防御系统。文中的IPS既可以指代NIPS也可以指代HIPS。

IPS连接内外网，检查进入和外出的网络流量，并与预设的规则进行比较，来决定接受、还是拦截数据包。图2-1是企业中IPS的描述。当包被拦截后，IPS就创建一条日志记录。许多IPS都有监控或者检测模式，在这种模式下不对包进行拦截，只对一些可疑的包进行警告或记录日志。

终端恶意软件保护

黑客在攻击中会使用一些技术来避免被检测到。使用这些避免被检测到的技术，黑客不仅可以入侵企业还可以在几个月内不被检测到。在网络中建立落脚点是很琐碎的，经常使用一些经过测试效果较好的恶意工具来在目标终端上建立落脚点。

为了应对该威胁，许多厂商已经从基于静态签名的检测机制转移到下一代基于行为的的检测机制，更多的关注攻击者活动的模式，而不是和攻击者相关的某个事件、文件和IP。这一定程度上提高了检测的速率，但是检测只是应对这种攻击的第一步。如果检测机制不能提供完整的图景，就会导致一种安全的错觉，这是及其危险的。

3 检测基础设施中的威胁

理解威胁检测的原则

如果有人尝试去入侵你的环境，需要注意一个或更多的系统或网络组件。他们注意的东西可能刚开始不是威胁，但这可能是入侵的信号。下面是的威胁检测的重要和时效性原则，对每个企业来说都是必须的：

• 尽可能收集所有的安全数据。应该记录发生在存储、处理、传播敏感数据的每个系统和设备上的重要信息。高级攻击可以关闭日志、编辑日志、甚至删除日志，因此收集日志信息就不够的，还应该收集网络流这样不能被擦去的数据。
• 存储安全事件数据到统一的数据库。有所有设备的登录日志当然很好，可是当这些数据散布在整个企业的不同服务器上，当你想要查看时，就会比较麻烦。甚至日志数据有时候会被忽略掉。
• 保护日志数据。收集日志数据的目的是因为攻击系统的人会想要擦掉他入侵的记录，因此这会让中央登录系统变成第二个攻击目标。日志存储的设备和系统必须要正确的配置，这样即使管理人员也不能修改、删除或者增加日志记录。
• 生成有意义事件的告警消息。最小的系统每天也能生成M单位的日志数据，大一点的系统每天可以生成上G的日志。这么大量的日志数据，人们很难从中寻找到威胁。集中化的系统需要知道如何生成告警消息并发送给相应处理安全事件的工作人员。
• 遵循响应步骤。对于每种可能生成的告警，工作人员都需要知道他们应该采取什么样的行动。响应流程应该是书面性的，而且应该进行检查和实践。
• 记录对于威胁告警的响应。当告警产生以后，对于该告警消息产生的响应应该进行记录。这包括采取的措施、时间、以及执行的人。
• 检查重要事件。重要事件需要进行复查，讨论事件的原因，和应对这种事件的所应该采取的变化，以及响应的有效性。
• 威胁检测并不只是技术问题，同时需要有正确的商业过程和步骤，对员工进行教育让他们知道如何使用工具和做响应的决定。

威胁情报定义

企业威胁情报的定义是：

上下文相关、基于证据的知识、融入到平台和工具中，能很快和正确的解决个人、企业所面临的威胁的生态系统或标准化的资产。

如果企业想要接近实时地对安全事件进行回应，那么企业就需要威胁情报。但是想要威胁情报作为一种有价值的商业过程并不简单：安全产业并没有在威胁情报的最优管理上达成共识。

威胁情报的源分为以下三类：

• 目标情报。这包括威胁单元和他们所用的技术，以及C&C基础设施的信息，也可能包含目标行业和伤害着的信息。
• 恶意软件情报。包括已知恶意软件和技术、目标漏洞、被逆向的恶意软件的信息。
• 名声情报。已知的恶意IP地址、域名和URL的信息。

威胁可见性

威胁数据的内部来源

你发现安全事件的主要来源可能是日志数据收集。企业的集中化的日志收集和事件检测应该包含以下的日志源：

• 防火墙
• 路由器和交换机
• IPS
• 网络流系统
• Web过滤器
• Data loss prevention 数据丢失预防系统
• 邮件服务器和垃圾邮件过滤器
• 服务器、数据库管理系统和应用
• 终端
• 物理安全系统
• 环境控制系统
• 代理
• 无线AP
• 漏洞扫描工具

网络上存储、处理、传递敏感数据的设备都应该记录日志到集中的日志管理系统中。

威胁数据的外部来源

企业要在边界外寻找威胁情报数据来使他们能对潜在威胁进行响应。这包括威胁数据的技术源和策略源。首先看一下技术源：

• 厂商安全建议。成熟的硬件和软件厂商会公布公司产品的安全建议来向客户发出威胁和解决方案的告警消息。
• 开源安全建议。一些安全研究团队和公司会公布一些威胁信息。这些建议的发布时间会比厂商的建议更早一些。
• 法律实施和新闻媒体。美国国土安全部这样的法律实施组织会向公众和可信方发布建议。
• 商业解决方案。IBM Xforce也会威胁情报提供源。

处理威胁数据

之前说过要把分散在不同位置的日志数据集中在一起，但这不只是存储GB/PB级的日志数据。还需要对这些数据进行实时分析，及时识别威胁，让工作人员可以及时响应和阻止威胁。QRadar就是这样的安全信息和事件管理平台，集日志收集、管理、异常检测、取证、漏洞管理为一体。

图3 QRadar主界面

异常检测

一个检测威胁的有效方法是能够在系统和网络中检测异常，这是通过长期观察系统行为和网络流量进行的，这也是一个基线。当系统或网络中出现没有出现过的任何事（异常），就会产生告警，工作人员随后采取行动和调查。
异常检测有三个主要的组件：

• 用户、应用和数据剖析
• 阀值
• 季节性

异常可以通过自动化的规则和特定的查找规则发现。基本点是通过用户行为的明显变化、应用的连接数、数据量等来识别。

4 威胁响应

响应安全事件

响应步骤

1、检测
在这一阶段意识到安全事件的存在，这可能来源于SIEM（security information and event management）平台或者外部厂商发布的警告或通知。
2、分析
通过研究事件的线索来证明它的合理性，还要看是否和一些预兆信息相关。分析师可能需要做进一步测试、收集额外的信息来建立一个更加完整的事件画面。
3、优先级
在事件分析的过程中，专业技术人员会迅速理解事件对组织继续处理能力的影响，也就是对重要信息的机密性和完整性的影响。对事件评定优先级可以帮助管理人员理解随后的步骤中需要使用的资源。
4、通知
事件响应需要通过在组织中通知合理的人员。组织需要通知外部的第三方，比如客户、商业伙伴、管理者、法律执行者和公众等。决定通知的范围掌握在高管手中。
5、遏制和取证
事件响应者和可能参与的其他工作人员开始采取措施来停止该事件，包括短期的改变来停止该事件。同时，需要进行取证工作的证据采集。
6、恢复
事件响应者移除恶意软件、重建系统、备份恢复、系统补丁分发、采取响应的措施防止同样的事件再次发生。
7、事件回看
事后回看的目的是检查事件检测开始的步骤和事件响应。这帮助找出事件检测和响应的不同方面，改善系统、工具、过程和员工培训的机会。目的是为了防止再次发生和改善响应。

培训

这种事件并不会经常在大多数组织中发生，所以事件响应者可能不熟悉这些过程。为了让事件响应者更熟悉响应的过程，需要进行下面的过程：
培训：有经验的应急响应专家（老师）进行过程的培训。
实践：模拟真实的事件，让培训的经验更加真实、记得也更加深刻。
建议的培训周期是每年一次。

自动修复

IBM BigFix这样的工具可以可以对高级威胁和漏洞在分钟级上进行响应。与IBM Resilient工具配合使用，可以帮助减小数据泄露和攻击带来的伤害。

寻求外援

尽管是最好的规划、最好的安全响应步骤、工具和培训，企业需要外部对于安全事件提供帮助，比如敏感信息和知识产权的窃取。IBM X-Force应急响应和情报服务中心就是这样的外部帮助，可以为公司提供安全应急响应，帮助其管理安全事件、执行取证、修复漏洞、改善安全策略、步骤和操作。

持续改善

与IT、安全和应急响应相关的所有东西，企业都应该采取持续改善的方法。对安全应急响应来说，就是：

• 至少每年检查一次过程文档，寻找可以改善的地方。
• 检查现有的工具和工具所具备的能力，来寻找加快应急检测、响应和修复的机会。
• 检查事件来寻找改善响应过程的机会，通过改变系统和过程来帮助减少事件发生的可能性和带来的响应。
• 必须在实践中对步骤进行实践，来确保有效性。
• 改善有许多的形式，包括技术先进性、步骤文件中额外的细节、工业标准的更新、更好的应急响应和取证工具、更多更好的员工培训。

网络取证

除非入侵者走入办公室或数据中心去偷电脑或电子媒体，一般来说，攻击者会使用企业的网络来进行监控、攻击目标系统和窃取数据。因为入侵者会使用企业的网络来窃取企业的数据，所有有一个工具来让网络取证更加高效是更很重要的。这就需要网络取证工具执行数据收集工作，尤其是对网络流量进行取证。

监控

每个企业都会有需要遵守的法律、规章和标准。一些是企业必须监控的，包括：

• 遵循情况。法律和工业标准强制执行对数据保存、传输等过程的安全需求。
• 反恶意软件状态和恶意软件感染。记录所有恶意软件尝试感染系统、改变行为的行为，还有终端和服务器上反恶意软件软件的健康状态。
• 防火墙规则的例外。通过配置防火墙来记录外部和内部违法安全策略发送流量的尝试。一些事件表明即将到来和正在进行的安全事件需要及时的响应。
• IPS告警。IPS的告警消息大多是网络侦查的暗示，这是尝试入侵组织或入侵已经发生的标志。
• 无效尝试特权账户的登录。内部或外部的人会尝试登录网络设备、服务器、终端和应用上的特权帐号来窃取信息或破坏操作。
• 对系统和设备非授权的改变。内部和外部的人员可能会对系统和设备进行非授权的改变。对内部人员来说，对内部人员来说，有时候是由于粗心，有时候就是恶意的。
• 应用和应用配置的非授权修改。攻击者可能会尝试对应用和配置进行非授权的修改，有时候是因为管理不善的原因，但是有时是将组织的钱和敏感数据进行分割的方案的一部分。
• 尝试绕过认证机制。入侵者有很多不同的技巧来欺骗系统和设备让他们在不提供登录凭证的情况下登录。
• 尝试改变或限制活动日志。如果入侵者能够通过改变活动能够日志的方式擦除他的记录，那就会让事件检测和取证变得更难。
• 尝试访问数据中心等敏感区域。进入敏感区域窃取组件、备份媒体、笔记本、服务器。
• 管理不善等会造成很多的安全隐患，所以大多数的组织需要执行监控来检测这些活动。

5 安全操作和响应

安全供应商生态

很多企业从不同的生产商处购买安全工具，却没有考虑这些安全工具如何协同的问题。即使企业在每种工具里选择了最好的，结果也可能是这些工具在解决有些问题上有重叠，而有的问题又不能解决。一个比较好的办法就是建立一个可以互相协作的安全工具的生态系统，这样可以让保护的需求得到满足。IBM Security就提供了这样的安全生态环境。

完整的威胁管理

IBM Security Operations and Response架构能够帮助企业应该大多数高级和潜在威胁。IBM X-Force Exchange是一个基于云的威胁情报分享平台，该平台的威胁情报每分钟更新一次。

战胜持续的复杂威胁需要三步策略，分别是：

• 预防。利用攻击来帮助预防攻击。这些工具包括基于网络的和基于终端的保护工具。
• 检测。因为不可能预防所有攻击，或许已经网络中已经有了恶意软件，所以检测是很关键的一步。检测到攻击之后，需要很快地进行响应。
• 响应。企业需要工具，也要知道如何迅速有效地进行响应。

SIEM安全信息和事件管理系统

预防、检测、和响应都需要对综合数据的访问。安全信息和事件管理（SIEM）系统是威胁管理环境的核心。SIEM需要从不同的系统和设备收集登录数据，然后执行实时分析和关系来对公司职员发出告警消息。

通信协议

对于系统间的电子传递的威胁信息，已经有了很多标准。这些标准让企业更加容易地将隔离的点产品融合到威胁管理系统中去。

6 综合威胁管理的十大技术

下面是十大有效响应威胁的技术。

Exposure Analysis漏洞分析

理解每个漏洞和威胁的含义和对企业带来的影响是非常有必要的，所以分析师需要确定每个漏洞和威胁的风险，推断出每个漏洞的事件场景。还需要理解可能的应急场景的种类，以及对企业的潜在影响。

Prioritize Risk风险评级

每个威胁都有发生的可能性，会对企业带来一定的影响。每个漏洞都有被利用的可能性，也有漏洞被利用的影响。每个事件也会对企业带来不同等级的影响。为了避免加重安全响应团队的负担，对每个威胁、漏洞和事件进行评级来决定需要运用多少资源。

Prevent预防

通过安全架构、员工培训、使用新的防火墙、反恶意软件等工具来进行安全事件的预防。

Detect检测

通过检测威胁来进行威胁防御。SIEM系统能够收集日志数据、网络流、配置信息、漏洞数据等，然后进行关联来确定某个安全事件是否发生了，并且对员工进行适当的告警。

Investigate调查

当安全事件发生后，安全分析师就需要通过分析来确定攻击是如何发生的，攻击在受感染的系统和设备上做了什么。

Respond响应

确定了安全事件的范围之后，员工就需要采取措施来进行响应，防止事件继续扩展并限制其对组织和客户的影响。

Contain遏制

移除恶意软件、恢复系统。可能还包括预防此类事件再次发生的措施。

Plan计划

企业需要为事件响应进行计划，这样个人和团队就会明确他们在事件发生后所处的角色和责任。企业就需要简历关于应急事件管理的角色和责任的策略，以及事件发生后应该采取的措施。企业需要确保事件的响应者有有限和快速应对事件的工具和能力，而且这些应急技术需要经常练习和实践。

Speed to Action迅速行动

攻击者也在改善他们的技术。他们改善了工具，可以让他们更快地、更容易地突破高级防御措施。这就需要企业来尽快采取行动。

Improve改善

威胁管理像一场竞赛，而对手有天然的优势。这就需要组织有持续改善的策略和实践，这样防御者也就有了应对攻击的最好措施。
企业至少每年需要检查一次应急响应文档，培训员工在应急管理技术和响应方面的能力，检查预防、检测和响应的能力。

来源：https://www-01.ibm.com/marketing/iwm/dre/signup?source=urx-14860&S_PKG=ov40013