基于4A系統(tǒng)的風(fēng)險自適應(yīng)體系的研究

◆岑 嵐

(中國移動通信集團(tuán)安徽有限公司 安徽 230000)

1 引言

本方案主要針對WEB應(yīng)用系統(tǒng)登錄時提供高級的認(rèn)證方式，作為一個獨(dú)立的服務(wù)進(jìn)行調(diào)用。通過從IP地址、設(shè)備指紋、地理位置和位移速度、用戶行為分析等因素進(jìn)行風(fēng)險分析，是一種強(qiáng)大的分層思想，經(jīng)過每一層的防護(hù)，將攻擊者攔截的機(jī)會就越大，并基于上下文的感知，能夠全方位評估風(fēng)險等級。同時可以與多因素認(rèn)證結(jié)合使用，達(dá)到緩解風(fēng)險保證級別，進(jìn)一步加強(qiáng)認(rèn)證保障。

2 目標(biāo)

認(rèn)證智能引擎（AIE）采用基于風(fēng)險認(rèn)證（RBA）的思想，利用機(jī)器學(xué)習(xí)方法對登錄行為進(jìn)行挖掘，并從多個層次進(jìn)行防護(hù)驗證，在不增加用戶中斷的情況下進(jìn)行認(rèn)證，從而提升用戶的體驗和攔截攻擊者。

3 自適應(yīng)認(rèn)證

現(xiàn)在的安全威脅復(fù)雜多變，傳統(tǒng)安全防御模式已經(jīng)捉襟見肘。如果安全防御系統(tǒng)能夠根據(jù)安全威脅情況，自動進(jìn)行防御程度的調(diào)節(jié)，將極大緩解安全威脅所帶來的防御壓力。風(fēng)險自適應(yīng)系統(tǒng)就會根據(jù)風(fēng)險情況不同，進(jìn)行不同程度的安全驗證。

3.1 攻擊方式培訓(xùn)

攻擊者通過社交工程和惡意軟件（如釣魚郵件）的組合方式侵入到組織。一旦惡意軟件被部署，或者通過最薄弱的環(huán)節(jié)獲取對企業(yè)網(wǎng)絡(luò)的訪問權(quán)限后，攻擊者就建立了一個初始立足點，并試圖獲得具有訪問級別較高權(quán)限的合法憑證或者創(chuàng)建新的憑證，然后就可以橫向移動，并在組織內(nèi)執(zhí)行偵察，最后獲得想要的數(shù)據(jù)。

3.2 多因素身份驗證

而在事件響應(yīng)期間最常使用的是多因素身份驗證，以保護(hù)關(guān)鍵數(shù)據(jù)和基礎(chǔ)設(shè)施。當(dāng)攻擊者使用合法憑據(jù)通過VPN登錄時，通過要求安全令牌或指紋、密碼、多因素身份驗證等方式，可以阻止攻擊者盜取或創(chuàng)建的合法憑據(jù)，從而限制了他們在組織內(nèi)橫向移動的能力。

3.3 自適應(yīng)認(rèn)證

自適應(yīng)認(rèn)證是收集關(guān)于用戶及其環(huán)境的其他屬性，并在基于風(fēng)險策略的上下文中評估這些屬性的過程。自適應(yīng)認(rèn)證的目標(biāo)是通過要求用戶進(jìn)一步證明他們的身份，來為敏感資源的訪問提供適當(dāng)?shù)娘L(fēng)險緩解保證級別。這通常通過逐步認(rèn)證來實現(xiàn)，可以使用不同類型的驗證器來實現(xiàn)此目的。

雖然自適應(yīng)認(rèn)證某一項技術(shù)可以規(guī)避攻擊，但是如果將幾個或全部技術(shù)集合起來使用，將是一個強(qiáng)大的解決方案。這樣，自適應(yīng)認(rèn)證就是一種分層的概念，經(jīng)過每一層的防護(hù)，那樣將攻擊者攔截的機(jī)會就越大。其實，自適應(yīng)認(rèn)證既可以作為多因素認(rèn)證的替代，也可以作為多因素認(rèn)證的補(bǔ)充。比如當(dāng)自適應(yīng)認(rèn)證檢測到用戶登錄存在一定程度的風(fēng)險時，才需要多因素身份驗證，從而減輕了用戶的負(fù)擔(dān)。使用多個預(yù)授權(quán)風(fēng)險因子，從而決定用戶如何進(jìn)行身份驗證，包括如下：

（1）拒絕訪問；

（2）允許，不需要多因素身份認(rèn)證；

（3）需要一個多因素身份認(rèn)證步驟；

（4）強(qiáng)制密碼重置；

（5）引導(dǎo)到一個安全區(qū)域。

4 功能實現(xiàn)

4.1 技術(shù)實現(xiàn)

下面介紹自適應(yīng)認(rèn)證的幾種技術(shù)的細(xì)節(jié)實現(xiàn)：

（1）設(shè)備

對設(shè)備的識別通常是一個多階段的過程：在首次進(jìn)行身份驗證時，需要用戶注冊一個設(shè)備終端，在后續(xù)的認(rèn)證中，就會根據(jù)存儲的配置文件驗證終端。

（2）位置

自適應(yīng)認(rèn)證可以將用戶當(dāng)前的地理位置，一個有實際意義的物理位置，然后與該用戶已知地理位置的黑白名單進(jìn)行比較，并根據(jù)結(jié)果進(jìn)行相應(yīng)的操作。

（3）IP地址

可以創(chuàng)建黑白IP地址名單列表，從已知良好IP地址范圍認(rèn)證的用戶將擁有較少的認(rèn)證中斷，而從已知黑名單的 IP認(rèn)證嘗試將被拒絕或需要通過另外的認(rèn)證步驟。匿名網(wǎng)絡(luò)或匿名代理（如 Tor）都是在隱藏可識別用戶的信息，大多數(shù)組織都應(yīng)該阻止這些網(wǎng)絡(luò)的訪問嘗試。

（4）賬戶

當(dāng)攻擊者能訪問你的網(wǎng)絡(luò)，除了竊取現(xiàn)有的用戶憑證之外，通常還會創(chuàng)建新的用戶憑證。然而，攻擊者不能創(chuàng)建具有適當(dāng)組成員關(guān)系和屬性的用戶。因此，將用戶當(dāng)前信息與保存在目錄或用戶存儲中的相應(yīng)信息進(jìn)行比較，可以阻止攻擊者試圖使用他們創(chuàng)建的憑證。對具有特權(quán)或具有敏感訪問權(quán)限的賬戶，可以提高身份驗證和訪問的門檻。

（5）行為

這可以簡單將上下文和邏輯結(jié)合起來，例如，用戶從北京登錄，5分鐘后又試圖從南京登錄，這是不可能的，表明可能存在憑證濫用。行為也可能很復(fù)雜，需要機(jī)器學(xué)習(xí)和大數(shù)據(jù)分析。了解每個用戶的典型行為并能夠識別異常，這可以表明賬戶接管和攻擊者的行為。

（6）用戶和實體行為分析（UEBA）

UEBA用于監(jiān)視用戶行為，例如登錄，遠(yuǎn)程訪問，網(wǎng)絡(luò)連接等，模擬正常行為，然后檢測可能指示正在進(jìn)行攻擊的異常情況。UEBA是一種能注意到用戶正常行為的網(wǎng)絡(luò)安全過程。反過來，當(dāng)這些正常模式出現(xiàn)偏差時，就會檢測到任何異常行為或?qū)嵗EBA是一種功能強(qiáng)大的工具，允許安全團(tuán)隊從他們自己的數(shù)據(jù)中學(xué)習(xí)，并主動監(jiān)控組織內(nèi)部的異常行為，從而實現(xiàn)更具風(fēng)險的自適應(yīng)安全方法。

4.2 系統(tǒng)架構(gòu)

為了保證分析引擎能夠適用不同產(chǎn)品、不同的部署環(huán)境的需求，可以從不同的數(shù)據(jù)源抽取數(shù)據(jù)，支持從文件、數(shù)據(jù)庫、hadoop HDFS、Solr等方式加載配置信息。然后選取特征值，并進(jìn)行相應(yīng)的特征值處理，使其適應(yīng)機(jī)器學(xué)習(xí)的數(shù)據(jù)方式，再通過機(jī)器學(xué)習(xí)算法對用戶行為模式進(jìn)行挖掘。

4.3 服務(wù)調(diào)用

（1）單點登錄調(diào)用

這種方式主要用于調(diào)用方對自適應(yīng)評分接口的調(diào)用量較少，并發(fā)量不多的情況。一個應(yīng)用方只需調(diào)用一個微服務(wù)提供方。

（2）單點登錄調(diào)用

這種方式主要用于調(diào)用方對自適應(yīng)評分接口的調(diào)用較頻繁，并發(fā)量較大的情況。為了能夠及時響應(yīng)請求，將風(fēng)險等級結(jié)果返回給調(diào)用方。將風(fēng)險評分部署多個微服務(wù)，緩解服務(wù)器壓力。

4.4 用戶畫像

為了能夠直觀反映出用戶的信息，讓安全分析人員了解自適應(yīng)認(rèn)證的結(jié)果，所以要提供每個登錄用戶的畫像標(biāo)簽，以便在核對用戶威脅時，提供參考依據(jù)，如下。

4.5 上下文規(guī)則配置

為了方便對用戶歷史登錄過程的認(rèn)證結(jié)果進(jìn)行查看，故提供一個可以查詢的界面。主要會從設(shè)備自適應(yīng)認(rèn)證分析會從多個上下文的方向進(jìn)行評估，有些評判規(guī)則可能不適應(yīng)某些現(xiàn)場。所以提供一個可以讓管理員配置上下文規(guī)則的界面。自適應(yīng)分析平臺就會根據(jù)用戶選擇的配置，來進(jìn)行評分。

主要涉及以下幾個方向：

（1）設(shè)備指紋特征：設(shè)備MAC地址、操作系統(tǒng)、CPU信息、屏幕分辨率、設(shè)備使用的語言、瀏覽器的配置。

（2）地理位置特征：地理位移速度、地理位置、地理圍欄、IP信譽(yù)。

（3）身份治理特征：目錄查找、訪問權(quán)限。

5 結(jié)語

企業(yè)組織不能依靠預(yù)防性方法來阻止攻擊者，但是可以在攻擊者周圍加強(qiáng)網(wǎng)絡(luò)。本方案提供的自適應(yīng)認(rèn)證是一種功能強(qiáng)大的分層方法，可以限制攻擊者在組織內(nèi)橫向移動和使用盜取和創(chuàng)建的任何憑證來竊取有價值的知識產(chǎn)權(quán)、財務(wù)數(shù)據(jù)或其他敏感信息。自適應(yīng)認(rèn)證可以根據(jù)組織的風(fēng)險承受能力進(jìn)行定制，使其能夠平衡安全性并獲得更好的用戶體驗。