安全公司新星Aorato推出“行为防火墙”

近日,安全公司新星Aorato新获1000万投资,推出基于行为的目录服务应用防火墙DAF(behavior-based Directory Services Application Firewall)。通俗说就是针对微软AD服务(Active Directory services)的行为监控防火墙。Aorato是一间以色列/纽约的网络安全公司,上周从Accel、Mickey Boodaei、Rakesh Loonkar、 Innovation Endeavors和Glilot Capital Partners处获得1000千万投资。号称可以防护诸如Night Dragon发起的APT攻击,避免RSA和Bit9公司最近的信息泄露。

应用背景:

AD服务可能有约95%的企业组织都有使用。而Aorato的这个服务似乎就是针对微软的一个基于平台的解决方案。据介绍它甚至可以监控到使用员工认证信息的可疑行为,包括多次猜测的尝试。其实Aorato尝试去解决的这个AD安全问题在业界都已经有过一些血淋淋的教训了。比方说,APT攻击里面,夜龙行动Night Dragon,Bit9和RSA遭入侵事件里面,攻击者都窃取了合法员工的认证信息。又比方说,Conficker蠕虫病毒,就以窃取用户认证信息而闻名,而这个认证信息正是被Conficker蠕虫病毒试图通过猜解获取存储在AD里的员工密码信息。甚至“斯诺登曾经报告过用同事的密码去访问到敏感的文件”。而Aorato的CEO Idan Plotnik说,对于这种情况,他们也有办法可以防御。他说“即使用户的活动看上去是合法的,但是同样一个帐号实际上在场景背后会显示出可疑或者不正常的行为”。

原理:

CEO Idan Plotnik甚至以传统和非传统的保安举了个例子:

传统保安,会阻止不规矩的人进入俱乐部(或者对已经进入了的不规矩份子进行清除)。他通常的是根据一个预先设置好的
检查单来进行,例如对方的年龄,衣着规范程度,是否带了违禁武器等等。虽然这个检查单可以阻止一些不规矩的人进去俱
乐部,但是另一个很明显的问题是实际上一些无辜的个人也有可能被排除在外,例如那天高富帅为了泡灰姑娘,穿衣服不上
档次,没达到着装标准。第二个问题是这种类型的筛选检查单无法清除那些实际上有意闯入俱乐部的人。

PS:此处小编理解,为什么这么强调逮到“无辜”呢,也许是因为在AD环境里面,各种登录行为太频繁了,通过单项特征很容易有误判的情况。

非传统的保安,则会考察那些进入俱乐部的人的行为,当然包括那些已经进入了俱乐部的人。非传统保安会环顾四周,注意观察人们如何如其他人交流。看看他们是不是会骚扰到其他人,他们是不是已经在将要骚扰的边缘了。非传统保安还会花精力考察那些在俱乐部心脏地带——吧台的人,看看他们的交流行为是怎样的。是否有人已经失去控制了,或者他的举动已经超出保安可预期承受的范围了。

其实,Aorato的方法就是聚焦在微软AD服务的活动中,观察AD服务器与活动的网络主体(如用户、设备——包括移动终端)之间活动情况。这个技术利用网络流量中可识别的交互行为,创建一个“组织安全图”(Organizational Security Graph[TM] (OSG)),OSG是一个基于时间所观察出的关系而形成的模型。Aorato通过监控AD网络流量,对比实际活动与OSG模型中的异常,而这些异常可能就代表着攻击行为或者安全策略遭到违反了。(例如,明文/弱密码,违反AD协议,删除/禁用用户/计算机活动等等),DAF在可疑的活动中做出警告,并把它插入到攻击的时间线上(Attack TimelineTM),为专业的安全人员提供必要的解析,从而识别出该异常行为在攻击链中所处的位置,有效使安全人员发现看似无害的个体事件中识别出风险。其部署及实现原理大致如下:

  1. 通过端口镜像方式部署,复制所有AD相关的网络流量到DAF中
  2. DAF自动持续不断的学习各个个体行为
  3. DAF建立OSG,并持续更新和维护个体的侧写特征。
  4. DAF检测出可疑的活动,并分配到攻击timeline中

CEO Idan Plotnik表示,这种类型的行为检测(检测因素会持续的改变)是威胁检测和在线安全的其中一个新趋势。它有效防止给非恶意行为标记为恶意的,而且它可以实时的检测威胁,特别是威胁往往也在不断变化。目前,Aorato以虚拟化的和以应用的形式提供服务。已经有三个大客户正在使用该服务,分别是Trusteer, NICE Systems和Matrix。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2014-01-26

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏区块链

安全告警:挖矿病毒通过各大搜索引擎传播

【IT168 资讯】如果有一天你的电脑沦为不法分子的工具你会作何感想?对于他们来讲你的电脑只是替他们“工作“的”肉鸡“。事实上,这种事确实是一直存在着的。近期,...

2596
来自专栏FreeBuf

MongoDB数据库遭大规模勒索攻击,被劫持26000多台服务器

MongoDB数据库叕被攻击了。就在上周末,三个黑客团伙劫持了MongoDB逾26000多台服务器,其中规模最大的一组超过22000台。 ? “MongoDB启...

4159
来自专栏FreeBuf

Android病毒CopyCat已经感染全球1400万台设备,幕后推手又是中国广告公司?

新发现的恶意程序已经感染了超过1400万Android设备,在短短两个月内已经获取了150万美元的收入。 这款恶意软件名为CopyCat,它能够对感染的设备进行...

3444
来自专栏安恒信息

直击Black Hat USA 2015(二)

  每年的BlackHat都会爆出很多令人惊叹的黑客技术,这也是BlackHat吸引整个业界关注的一大原因,今年注定也不例外。一整天的课程和展览令小安收获颇深,...

3317
来自专栏企鹅号快讯

Skygofree:卡巴斯基称其为史上功能最强大的Android间谍软件

“用指尖改变世界” ? 被称为Skygofree的Android间谍软件是专为有针对性的监控而设计的,据俄罗斯网络安全公司卡巴斯基实验室发布的一份报告描述,在过...

2116
来自专栏机器人网

如何给纸质信件也加个密码?

在这个重视加密通信与安全电子邮件服务的时代,芬兰科技研究院(VTT)的研究人员们日前展示一种以密码保护的传统纸质信封,能在指定收件人取得邮件或由其他人代收邮件...

29310
来自专栏FreeBuf

浅谈情报信息收集方式

情报收集是情报机构获取可靠、高价值信息资源的一种重要方式。本文介绍情报信息收集的主要分类,重点介绍国外情报机构常用的第四方收集是什么及其细节描述。 据卡巴斯基资...

23310
来自专栏程序员宝库

5G标准来了!中国预计投资1.5万亿;黑客宣布无条件删除A站泄露数据库;美图开源DPoS算法;CMake 3.11.4发布

第一阶段全功能完整版 5G 标准正式出台,带来“全功能”的 5G 网络能力。这一标准是 5G 发展的重要里程碑,下一步将投入商用阶段。

1794
来自专栏程序员互动联盟

中国的黑客究竟有多张狂?

这是我反病毒工作生涯中头一回遇到这样的事,给我留下了深刻的印象。我在研究一种病毒时竟然和制作这个病毒的黑客进行了聊天。没错,聊天。事情发生在Threat反病毒小...

3775
来自专栏极乐技术社区

公众号可群发小程序卡片 | 微信 2.4 版本带来「企业微信名片夹」小程序

轻松一刻 ? 漫画来自于西乔《神秘的程序员们》 01 小程序新能力灰度测试,微信公众号可直接群发小程序卡片。 近日用户反映,有公众号已经可以直接群发小程序卡片了...

76710

扫码关注云+社区