蔡一郎的部落格

Yilang's Blogger

資安資訊視覺化

Published by Yi-Lang Tsai under , , on 下午11:58
其實從不是資安人員的角度來看資安資料的分析,不論是單純的網路流量,或是惡意程式的分析等,這些資訊如果以傳統的方式來呈現,一大堆的報表或是統計數據,其實對於非資安領域的人而言,都是不容易理解的資訊,也就失去這些統計數據所代表的意義,因此許多與資安有關的視覺化資訊平台就孕育而生,利用直覺的視覺化方式,將巨量資料背後所隱藏的資訊,利用圖像化與視覺化的處理技巧,除了讓資安領域的研究人員可以快速的掌握目前網路的安全趨勢之外,也可以讓大多數的人知道目前網路上的威脅來源,以那些國家或是那些特定的網路攻擊為主,對於資訊安全的防禦而言,可以由攻擊的手法的掌握,進而發展出可以因應的對策。

  • Google - Digital Attack Map
Google是目前全球最大的網路服務、雲端服務的供應商,而且擁有自主建置的國際海纜,每天以億計算的使用者會使用Google所提供的服務,在資訊安全的視覺化平台,就以偵測DDoS攻擊為主軸所設計出來的「Digital Attack Map」為代表,與Arbor Networks的網路流量分析架構,對於全球目前遭受到的DDoS攻擊威脅進行分析,提供針對不同的攻擊目標的當下的攻擊流量資料,也可以針對歷史事件進行重新播放,以協助我們瞭解當時事件發生的過程,以及攻擊流量上的變化,對於想要以Netflow資訊進行攻擊威脅分析的應用而言,算是相當成熟的分析平台。


  • F-Secure - Virusmap
國內許多人對於 F-Secure 較為陌生,不過如果談起小米機竊取用戶資料回傳的事件,就應該可以想起當時揭露此事也協助進行相關分析的就是 F-Secure ,針對目前網路上的威脅資訊,F-Secure 提供目前惡意程式在網路上被偵測出來的統計數據為主,我們可以看不同的國家目前遭到惡意程式感染的情況,也可以知道目前有那一隻惡意程式最為活躍,透過這些資訊,我們就能夠掌握這些惡意程式針對的系統或是應用軟體的弱點為何,如果手邊的設備有存在這些問題時,就不得不加以留意了,有可能會成為下一個惡意程式攻擊下的受害者。


  • FireEye - Cyber Threat Map
FireEye 主要以發展偵測進階滲透威脅(APT)攻擊為主,透過所部署的設備,能夠協助企業發掘來自網際網路的針對性攻擊,或是來自內容的異常網路行為,對於想要進一步分析企業內部資訊安全現況的需求而言,剛好是相當不錯的解決方案,透過設備所掌握的資訊,我們可以在 Cyber Threat Map 上能夠看到這些攻擊的來源,以及遭受攻擊的目標為何,利用簡單的資訊我們就可能掌握目前的網路安全威脅來源,另外在統計的數據呈現上,除了傳統以攻擊來源、受害者以及地理資訊的呈現方式之外,最特別的就是提供了產業遭受攻擊的統計,我們可以透過產業類別的統計,知道目前那些產業遭受到的攻擊威脅最多,不過觀察了一陣子下來,學術類別的統計數據,往往長期佔據了第一名的位置,這個應該跟學術研究的環境在網路安全政策的管理上較為寬鬆有關吧。


  • Norse - IPViking Live
如果要選擇資訊視覺化效果較佳的前三名,肯定由 Norse 所建置的 IPViking Live 資訊平台最為炫麗,提供攻擊來源以及遭受攻擊的國家統計之外,也利用不同顏色的動畫,呈現攻擊發起端與受害者兩端的關係,由攻擊的即時資訊我們不難發現許多的攻擊行為已逐漸具備快速發起與巨量攻擊兩個主要的特性,看似資訊技術的進步,對於資訊安全的防禦而言,卻是一道難題,如何在效能與防禦機制的有效上達到平衡,這個就是平時維運上的關鍵,大多數的時候我們都可以看到中國與美國之間都有大量的攻擊行為發生,不論攻擊的來源與目的地,在右下角都有針對這些攻擊行為進行的分類,可以掌握攻擊這些目標主要的對象是那一些網站伺服器或是應用軟體,在防禦機制的設計上就可以因應這些攻擊的手法進行處理。


  • Kaspersky - Cyberthreat Real-Time Map
卡巴斯基(Kaspersky)主要以使用者端的防毒軟體為主,不過近年來也發展出其它的產品,能夠更全面的掌握網路的威脅,目前所推出的 Cyber Threat Real-Time Map 算是整合多個產品回饋資訊之後的展示畫面,我們可以只選擇其中有興趣的項目,當然也可以讓所有的資訊一起呈現,在 3D 的地球上將攻擊來源與受害者的關係串連起來,能夠知道不同的國家目前遭受的攻擊類型統計,透過數據的呈現,我們便不難瞭解當下的防禦重點,也可以適時的調整網路安全政策,這個視覺化的界面提供豐富的資訊,如果真的要從其中挑剔出問題,那就是過多的資訊有時候在解讀上較不同容易吧,建議如果看得眼花瞭亂時,可以先關閉一些較不重要的類型資訊,反而可以讓我們聚焦在有興趣的資訊上。


  • Anubis Networks - Cyberfeed
相對其它的視覺化平台,由 Anubis Networks 所建置的 Cyberfeed ,就顯得單調許多,不過卻是其中在地理資訊視覺化上最為精細的,可以知道到城市的資料,前十名還會以輪流呈現的方式,配合地球的旋轉直接將相關的資訊呈現出來,配合左方的統計資訊,我們可以知道有那些的網路威脅是最活躍的,其中不乏許多著名殭屍網路的名稱,因此我們透過這樣的平台,就能夠直覺的掌握不同國家的攻擊威脅類型,以及目前發動攻擊或是遭受攻擊的次數。


  • The Honeynet Project - HoneyMap
The Honeynet Project自從幾年前發展分散式的資料收集架構之後,研究人員就開始投入如何將資訊視覺化呈現的方式,HoneyMap 就是其中典型的代表之一,其中的資料來自 HPfeeds,目前在官方的平台上改以 hpfriends 的方式發佈,利用頻道的概念將其中所傳遞的資料接收下來進行後續的處理,由 Honeypot 所偵測到的攻擊來源資訊,我們可以快速的將 IP 位址轉換後的經緯度資料對應在地圖上來呈現,也可以提供即時呈現攻擊來源的資訊,如果看到紅色圈圈持久不滅,這時就得將這個攻擊的來源資訊納入後續事件追蹤的清單之一,有助於掌握可以影響資訊安全的攻擊來源。


  • OpneDNS Lab - Decent Attack Tracker
DNS對於網際網路的運作而言是相當舉足輕重的,許多的通訊協定或是網路行為都會配合 DNS 的查詢,將網域名稱轉換成對應的 IP 位址之後,再交由通訊協定進行處理,因此分析 DNS 的查詢紀錄,我們可以掌握使用者端的行為,如果所查詢的網域名稱已經被列惡意威脅來源名單(黑名單)時,例如:殭屍網路目前或是曾經使用過的網域名稱,這些就是相當重要的資訊,可以掌握企業內部的使用者是否有感染而惡意程式而不自知,操作的界面也相當的便易,可以直接輸入國家的名稱,就可以查詢出所有相關的資訊,當然也包括了攻擊的來源以及發動攻擊的目標。

  • Akamai - GNET
Akamai 是雲端服務導向的公司,以網路流量分析為主要的技術核心,我們可以由所提供的 GNET 界面,知道目前網攻擊次數統計、網路的流量以及連線數的多寡等資訊,攻擊次數以長條圖的方式直接標示在地理資訊上,放大之後也可以看到主要的攻擊來源城市等資訊,在視覺化的處理上頗佳。


  • NCHC - HoneyMap
個人所服務的國網中心資安團隊,也因應惡意程式知識庫以及大尺度的誘捕網路需要一視覺化的資訊呈現平台,團隊成員也發展了許多視覺化的平台,可以將某一段時間的資訊做重播的呈現,其中需要提供日誌的紀錄以及惡意程式的沙箱分析報告。

  • NCHC - Malware Topology
惡意程式與網域名稱彼此之間的關係,是許多資安研究人員希望知道的資訊,因此國網中心的資安團隊將統計分析後的結果,以及不同的惡意程式行為關聯之後,利用惡意程式拓撲圖的方式來呈現,可以快速的知道殭屍網路的大小規模,以及惡意程式的行為特性,利用的網域名稱等資訊,將有助於定義惡意程式影響範圍。


以上針對目前網路上幾個與資訊安全有關的視覺化平台進行介紹,也提供做為從事巨量資料研究上資訊處理方式上的參考。

【參考網站】
Google - Digital Attack Map: http://www.digitalattackmap.com/
Norse - IPViking Live:http://map.ipviking.com/
Kaspersky - Cyberthreat Real-Time Map:http://cybermap.kaspersky.com/
Anubis Networks - Cyberfeed:http://globe.cyberfeed.net/
The Honeynet Project - HoneyMap:http://map.honeynet.org/