這很有用但也會(huì)產(chǎn)生大量“噪音”,更難以發(fā)現(xiàn)威脅。IBM研究人員Frederico Araujo和Teryl Taylor稱(chēng)在這種情況下尋找漏洞無(wú)異于“大海撈針”。
SysFlow減少了安全團(tuán)隊(duì)必須篩選的信息量。該工具包可以從給定的系統(tǒng)中收集操作數(shù)據(jù),并將這些數(shù)據(jù)壓縮到一個(gè)模型中,該模型可以顯示系統(tǒng)的高級(jí)別行為而不是單個(gè)事件(例如HTTP請(qǐng)求),而且還可以呈現(xiàn)這種本地化事件,但是SysFlow會(huì)將其與相關(guān)行為模式進(jìn)行關(guān)聯(lián),而不是為了詳細(xì)分析提供必要的上下文。
Araujo和Taylor在一篇博客文章中舉例了一種示漏洞場(chǎng)景,結(jié)果證明該工具包是非常方便的。他們假設(shè)黑客發(fā)現(xiàn)了企業(yè)網(wǎng)絡(luò)中存在漏洞的Node.js服務(wù)器,將惡意腳本下載到該服務(wù)器上,然后入侵了敏感的客戶(hù)數(shù)據(jù)庫(kù)。
兩位研究人員解釋說(shuō):“先進(jìn)的監(jiān)視工具只能捕獲斷開(kāi)連接的事件流,但SysFlow可以連接系統(tǒng)上每個(gè)攻擊步驟的實(shí)體。例如,突出顯示的SysFlow跟蹤情況可以精確地映射攻擊殺死鏈的每一步:劫持node.js進(jìn)程,然后與端口2345上的遠(yuǎn)程惡意軟件服務(wù)器進(jìn)行對(duì)話,以下載并執(zhí)行惡意腳本。”
SysFlow不僅可以幫助安全團(tuán)隊(duì)發(fā)現(xiàn)威脅,而且在這個(gè)過(guò)程中還能節(jié)省硬件資源。據(jù)IBM稱(chēng),與傳統(tǒng)工具相比,該工具包降低安全數(shù)據(jù)收集率是“數(shù)量級(jí)”的。
SysFlow具有內(nèi)置的規(guī)則引擎,可自定義自動(dòng)發(fā)現(xiàn)可疑事件。除了漏洞之外,該工具包還可以發(fā)現(xiàn)違反法規(guī)的情況,例如將財(cái)務(wù)記錄保存在不恰當(dāng)?shù)牡胤健.?dāng)需要進(jìn)行更高粒度的檢測(cè)時(shí),安全團(tuán)隊(duì)可以將他們的自定義威脅識(shí)別算法編程到SysFlow中。
IBM認(rèn)為,該平臺(tái)可與其他開(kāi)源工具一起使用。“SysFlow的開(kāi)放序列化格式和庫(kù),支持與開(kāi)放源代碼框架(例如Spark、scikit-learn)和自定義分析微服務(wù)的集成,”Araujo和Taylor在博客中這樣寫(xiě)道。
SysFlow能夠?qū)⒃枷到y(tǒng)數(shù)據(jù)轉(zhuǎn)換為高級(jí)別查看惡意行為情況,這個(gè)功能是其他解決方案也能提供的。目前有幾家安全保護(hù)廠商(包括最近剛剛獲得融資的初創(chuàng)公司Cyber??eason)都提供了商業(yè)化的調(diào)查工具,可以追蹤攻擊者攻擊企業(yè)網(wǎng)絡(luò)的路徑。但是,IBM以開(kāi)源的形式免費(fèi)提供SysFlow,這一點(diǎn)將讓SysFlow在安全工具生態(tài)系統(tǒng)中占據(jù)特殊的位置。
