[译] Uber 自定义电子邮件入侵检测系统 (IDS) 如何确保系统安全

稀土君
609 阅读7分钟
原文链接: www.jointforce.com
原文:ENGINEERING SECURITY THROUGH UBER’S CUSTOM EMAIL IDS
译者:杰微刊兼职翻译张迪

对任何企业的安全团队来说,钓鱼式攻击都是最大的和最困难的挑战之一。它是安全性最伟大的均衡器,我们所有人都必须与之打交道。执行良好的钓鱼式攻击可能会误导人们犯下简单的错误,并付出惨痛的代价。


对于一个企业来讲,要防范这些钓鱼式攻击活动就要部署商业入侵检测解决方案,分析沙盒中的有效负载,在那里它们可以在到达一个员工的收件箱之前被安全检查。当今市场上,这是大多数电子邮件的入侵检测系统(IDS)的核心竞争力。


在Uber,我们决定创建自己的邮件入侵检测系统(IDS)有如下几个理由:
1、在价格、可扩展性、性能方面推动经营效益;
2、通过练习完全控制产品特点和警报演习,以至于我们可以实时调整方法应对不断演变的威胁;
3、为调试入侵警报和Uber的一般邮件处理捕获高级洞察。

从做出建立基于云的网络托管环境的决定开始,运营效益驱使我们做出了许多设计选择。例如,亚马逊的AWS本机组件,包括SES、Lambda workers、S3 buckets、VPCs、几个EC2主机、一个Memcached集群和一个Elasticsearch集群。使用一个随需应变的平台会给我们提供灵活性,让我们无论何时何地都能使用入侵检测系统,因为不是时刻都运行,所以节约了加工成本。亚马逊SNS为我们提供了一个具有可扩展性的方法来管理队列。

我们的电子邮件入侵检测系统反映了Uber的微服架构。像我们的总体架构,入侵检测系统将每个电子邮件分裂成几块,并通过各种按需管道平行地分析这些碎片。我们还利用市场上现有的工具和服务,包括基于云的服务和各种内部分析服务。例如,我们使用EC2的自动化沙箱的整个集群,以及可选择的基于云的沙箱。这个架构的策略给了我们机会去探索新的安全服务,同时调试和开发新功能,并优化现有管道的性能。


UBER,IDS,系统安全,钓鱼式攻击,均衡器

UBER,IDS,系统安全,钓鱼式攻击,均衡器


快速、可靠

在Uber,对于速度和性能的解决是一直优先的。许多商业入侵检测系统的解决方案都提供了可比较的分析能力,但它们往往是黑盒子,所以我们很少有调试能洞察到它们的行动。我们建立了两个入侵检测系统版本,以确保在我们测试和开发新功能的时候电子邮件是可用的。这两个实例都运行带外,以不延误电子邮件的发送与分析时间。一个版本运行生产;另一种是用于测试。以这种方式,基于我们在野外看到的攻击和趋势,我们可以不断地为我们的入侵检测系统开发和集成新的功能和警报逻辑。我们的生产实例有能力在外部攻击登陆员工收件箱的一分钟内,报警和删除电子邮件。


相比于自己来开发一切细节,利用一个大型Web托管服务的现有能力会让我们发展的更快。ElastiCache(云缓存)本地Memcached服务的重复数据删会除某些特定的处理事件,从而提高了我们处理活动和大型自动化批量电子邮件的能力。其次,本地的Elasticsearch功能允许我们集合用于活动和影响分析的相同信号。这不仅可以帮助我们识别钓鱼式攻击活动,也能在我们得到警报之前减少处理信息所需要的时间。我们已经将流行GAM库调试到我们自己的库,绰号叫superGAM。当我们的电子邮件入侵检测系统标志出恶意电子邮件,我们的环境自动化平台会使用superGAM在员工阅读邮件之前自动删除邮件。此外,自动监测包括运行指标和警报指标,给我们提供了一个预警系统,以至于我们可以趁着错误还不大的时候,解决任何由邮件入侵检测系统检测到的错误。


未来的证明

对于我们创建的内部解决方案,我们有一个重要的期望,那就是规模和适应能力能够随着公司的成长和威胁的演变而变化。因此,我们的电子邮件入侵检测系统被设计成具有高度的可扩展性,适应未来的变化。例如,因为我们设计我们lambda函数的方式,我们可以轻松地连接或切换其他供应商的产品或内部服务。这是很重要的,有更多具有独特专长的人加入我们的团队,因为我们可以轻松地插入任何他们提供的工具或管道。


此外,我们的入侵检测系统的微服务架构是允许独立,并发分析的。这意味着我们团队的专门成员可以用他们特定领域的专业知识工作于入侵检测系统的各个组成部分。例如,受过逆向工程训练的人可以使用二进制分析工具,而其他人致力于威胁英特尔的组件,另一个人从事自然语言处理。此设置允许我们不断更新,并根据团队开发的其他微服务细化系统的每个部分。

成本效益
建立我们自己的解决方案,降低了我们一个商业解决方案价格的一小部分年度成本。一个基于云的存储服务,如AWS,我们可以密切监控成本,并根据我们的需要做出即时的调整。例如,我们在标签的基础上生成财务报告,以确定成本的具体组成部分。除了提高分析速度,上文提到过的重复数据删除的努力在降低加工成本之前起主要作用。
为了额外的威胁情报和电子邮件上下文检测,我们在运行我们入侵检测系统的同时,还运行几个英特尔供应商的解决方案。这些是我们为了组织的其他部分已经支付的服务,所以将它们连接到入侵检测系统,从现有的合同中提取更多的价值,给了我们额外的时间通知有关电子邮件的发件人IP地址、域名和目前正在使用的攻击活动。

可扩展性和超越
通过一个可扩展的平台,你可以不断探索和增加如团队开发的微服务一样的新功能,如自然语言处理分析,DOM的成分分析,甚至是一个URL分析引擎。例如,我们计划增加一个先进的静态分析的管道,这将需要强大的逆向工程能力。我们也在不断的完善我们的威胁情报来源和应用。有了这个设计,我们可以进一步发展规则文件的抽象概念,来将警报逻辑从基础设施中解耦,目的是随后可以共享规则或开源基础代码。无论哪种方式,该平台仍然是可定制的,并与团队一起成长,这使它成为我们安全响应团队的宝贵资源。

这篇文章的作者是丹博尔赫斯。他是Uber安全工程团队的事故响应工程师。


我们将继续扩展我们的安全工程团队。访问我们的职业页面上的安全工程开口。



欢迎移步解放号论坛,更多精彩活动等您参加~

------------好久不见的分隔线------------

avatar
文章
阅读
粉丝