欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

安全防护场景与安全报警的:“点、线、面”

来源:本站整理 作者:佚名 时间:2018-09-04 TAG: 我要投稿

0×01 防护场景与防御
在最近业内同行的交流过程中,发现企业内部除了业务不同,都有类似的安全防护场景,使用的防护系统也趋于统一化,商业产品可能来源于同一厂商,开源产品使用的是相同的技术。一个威胁事件发生在时间轴的先后顺序来看,在威胁行为的不同场景阶段,一般要使用不同基础防御系统防护。我们把攻击阶段简单的分类:渗透、入侵、破坏、墨迹、逃逸。在不同的阶段使用不同的防护产品与其对位。

渗透阶段:在渗透阶段最常见的嗅探动作就是扫描,而扫描如果不看payload内容,也可通过观察访问频次与时间的关系,判断异常扫描行为是否存在。比如:WAF系统可以识别拦截这些扫描行为。
入侵阶段:攻击者可能通过取得shell或是其它途径获取系统权限,IDS/IPS可以通过监听读取系统所在环境中的流量分析异常,当攻击的payload命中策略,当外链通信与威胁库匹配时,可以发现定位威胁。
破坏阶段:当攻击者潜伏到系统中,不做敏感动作,不产生威胁流量访问,就可以很好的隐藏自己。一旦有严重的威胁指令行为,或是机器的状态民动,HIDS就可按预定策略发现破坏行为,并报警。
灭迹阶段:很多恶意脚本都是自删除的,攻击者是想不流下蛛丝马迹,对安全资产监控的手段越多,留下攻击者痕迹的数据越详实,日志中心、数据代理、探针的部署,可以尽可能的发现威胁攻击的脉络,管理威胁响应的状态并跟踪处理结果。
逃逸阶段:攻击行为结束,攻击者想撤离后。就算没有第一时间实现发现攻击,我们也可以通过分析攻击者在各个阶段留下的痕迹,溯源攻击路径,评估损失,SIM系统可尽早的发现威胁,将危害防患于未然。
针对流量读取、行为记录、数据聚合、智能统计,都是在记录正常行为数据同时,过滤出异常行为的存在。防护策略定义,也是对异常行为的一种定义。抛开事件发生的阶段与对应防护系统设定具体不谈。安全运维人员,最需要关注和分析的就是安全威胁预警情报,而对大量的安全资产,这个预警情报相对个人的处理能力来说几乎是海量的,如果组织和抽象这些威胁信息,是安全运维人员不得不面对的问题,下面给出了一定的信息组织原则:安全威胁情报汇聚的“点、线、面”。
0×02 威胁点线面
之前说了,虽然各家公司的业务不同,但安全防护场景接近。我们把防护系统收集的情报,聚合出一副安全总括情报图,通过这个图来映射出公司资产环境的总体安全状态。各个系统的情报输出是多样化的,都是自成一体,非有机的数据孤岛,我们通过数据结构化,数据聚合,总体上,将威胁情报, 从抽象形式上分成三种形态:点、线、面。
点:高危威胁预警报警。
线:关联资产威胁情报。
面:头部威胁信息聚合图表。

上图,我们将威胁信息的点线面形式,汇聚到了一起,既可看到,“100、30、20”这种聚合的统计图表, 又可看到“源IP”到”目地IP”之间的威胁关联路径,同时突出的被威胁单元资产。情报预警越及时准确,响应的才能更更快,可以通过点线面的情报组织,感知威胁所处阶段。
0×03 面:图表与数据聚合
面:头部威胁信息聚合图表。在生产环境中,我们聚合了各种系统的数据,概况数据的含义,定义异常边界,“面”的威胁情报,展现了一个大颗粒的系统安全状态信息,把整千上万资产设备的数据,经过数据汇聚,形成一副安全鸟瞰图。 把威胁情报量化,图表化。用图表去概括一种常态的趋势变化,一旦出现异常数据裂变,可以清晰的看到异常数据与正常趋势的差异,对于大趋势的明显异常,这种可视化的方式可以直观的感受到。每天的威胁日报,各种统计图表就是这种面的威胁情报的展现。

0×04 线索与回溯与问题
线:关联资产威胁情报。攻击者对与资产互动留下的痕迹,形成了一条数据证据链路,按这条路径,可以观察出攻击者的具体行为步骤,发现那些资产沦陷。如果从服务之间的访问路径来定义分析异常,可预知某些资产之间,是不会发生交互关联的,一旦交互发生,就是异常行为的出现,典型的是正常的生产服务单元,不会无缘无故的去扫描同网段里的基它机器。我们可以在黑名单中,定义威胁路径,作为策略发现异常。可以回溯访问链路评估资产损失。图数据库就是一种对应的技术落地手段。

0×05 焦点聚焦与高危情报
点:高危威胁预警报警。“面”和“线”都是复数形式的报警情报,在实际的应急处理中,要直接定位到被攻击资产的所有者。在可见的视野范围内,谁是小偷掏包者,谁是包的主人, 在偷窃行为还没有造成损失之前,告警受害者。是精确定位威胁的关键点。找到攻击源和被攻击者,并且预先就定义出非常态的异常关联,定义的越苛刻细致,报警的误报率越低。给出应急关键数据:那个机器被谁攻击,攻击是什么,被攻击的机器所有者,这种最明确的预警断言。短息邮件,第一时间发给关键人员。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载