安全公司新星Aorato推出“行为防火墙”

近日，安全公司新星Aorato新获1000万投资，推出基于行为的目录服务应用防火墙DAF（behavior-based Directory Services Application Firewall）。通俗说就是针对微软AD服务（Active Directory services）的行为监控防火墙。Aorato是一间以色列/纽约的网络安全公司，上周从Accel、Mickey Boodaei、Rakesh Loonkar、 Innovation Endeavors和Glilot Capital Partners处获得1000千万投资。号称可以防护诸如Night Dragon发起的APT攻击，避免RSA和Bit9公司最近的信息泄露。

应用背景：

AD服务可能有约95%的企业组织都有使用。而Aorato的这个服务似乎就是针对微软的一个基于平台的解决方案。据介绍它甚至可以监控到使用员工认证信息的可疑行为，包括多次猜测的尝试。其实Aorato尝试去解决的这个AD安全问题在业界都已经有过一些血淋淋的教训了。比方说，APT攻击里面，夜龙行动Night Dragon，Bit9和RSA遭入侵事件里面，攻击者都窃取了合法员工的认证信息。又比方说，Conficker蠕虫病毒，就以窃取用户认证信息而闻名，而这个认证信息正是被Conficker蠕虫病毒试图通过猜解获取存储在AD里的员工密码信息。甚至“斯诺登曾经报告过用同事的密码去访问到敏感的文件”。而Aorato的CEO Idan Plotnik说，对于这种情况，他们也有办法可以防御。他说“即使用户的活动看上去是合法的，但是同样一个帐号实际上在场景背后会显示出可疑或者不正常的行为”。

原理：

CEO Idan Plotnik甚至以传统和非传统的保安举了个例子：

传统保安，会阻止不规矩的人进入俱乐部（或者对已经进入了的不规矩份子进行清除）。他通常的是根据一个预先设置好的
检查单来进行，例如对方的年龄，衣着规范程度，是否带了违禁武器等等。虽然这个检查单可以阻止一些不规矩的人进去俱
乐部，但是另一个很明显的问题是实际上一些无辜的个人也有可能被排除在外，例如那天高富帅为了泡灰姑娘，穿衣服不上
档次，没达到着装标准。第二个问题是这种类型的筛选检查单无法清除那些实际上有意闯入俱乐部的人。

PS：此处小编理解，为什么这么强调逮到“无辜”呢，也许是因为在AD环境里面，各种登录行为太频繁了，通过单项特征很容易有误判的情况。

非传统的保安，则会考察那些进入俱乐部的人的行为，当然包括那些已经进入了俱乐部的人。非传统保安会环顾四周，注意观察人们如何如其他人交流。看看他们是不是会骚扰到其他人，他们是不是已经在将要骚扰的边缘了。非传统保安还会花精力考察那些在俱乐部心脏地带——吧台的人，看看他们的交流行为是怎样的。是否有人已经失去控制了，或者他的举动已经超出保安可预期承受的范围了。

其实，Aorato的方法就是聚焦在微软AD服务的活动中，观察AD服务器与活动的网络主体（如用户、设备——包括移动终端）之间活动情况。这个技术利用网络流量中可识别的交互行为，创建一个“组织安全图”（Organizational Security Graph[TM] (OSG)），OSG是一个基于时间所观察出的关系而形成的模型。Aorato通过监控AD网络流量，对比实际活动与OSG模型中的异常，而这些异常可能就代表着攻击行为或者安全策略遭到违反了。（例如，明文/弱密码，违反AD协议，删除/禁用用户/计算机活动等等），DAF在可疑的活动中做出警告，并把它插入到攻击的时间线上（Attack TimelineTM），为专业的安全人员提供必要的解析，从而识别出该异常行为在攻击链中所处的位置，有效使安全人员发现看似无害的个体事件中识别出风险。其部署及实现原理大致如下：

1. 通过端口镜像方式部署，复制所有AD相关的网络流量到DAF中
2. DAF自动持续不断的学习各个个体行为
3. DAF建立OSG，并持续更新和维护个体的侧写特征。
4. DAF检测出可疑的活动，并分配到攻击timeline中

CEO Idan Plotnik表示，这种类型的行为检测（检测因素会持续的改变）是威胁检测和在线安全的其中一个新趋势。它有效防止给非恶意行为标记为恶意的，而且它可以实时的检测威胁，特别是威胁往往也在不断变化。目前，Aorato以虚拟化的和以应用的形式提供服务。已经有三个大客户正在使用该服务，分别是Trusteer, NICE Systems和Matrix。