安全防护场景与安全报警的:“点、线、面”

百家 作者:手机电脑黑客 2018-09-22 15:49:51

     听说世界上只有百分之3的人关注Jayson,很幸运你是其中一位

0×01 防护场景与防御

在最近业内同行的交流过程中,发现企业内部除了业务不同,都有类似的安全防护场景,使用的防护系统也趋于统一化,商业产品可能来源于同一厂商,开源产品使用的是相同的技术。一个威胁事件发生在时间轴的先后顺序来看,在威胁行为的不同场景阶段,一般要使用不同基础防御系统防护。我们把攻击阶段简单的分类:渗透、入侵、破坏、灭迹、逃逸。在不同的阶段使用不同的防护产品与其对位。

渗透阶段:在渗透阶段最常见的嗅探动作就是扫描,而扫描如果不看payload内容,也可通过观察访问频次与时间的关系,判断异常扫描行为是否存在。比如:WAF系统可以识别拦截这些扫描行为。

入侵阶段:攻击者可能通过取得shell或是其它途径获取系统权限,IDS/IPS可以通过监听读取系统所在环境中的流量分析异常,当攻击的payload命中策略,当外链通信与威胁库匹配时,可以发现定位威胁。

破坏阶段:当攻击者潜伏到系统中,不做敏感动作,不产生威胁流量访问,就可以很好的隐藏自己。一旦有严重的威胁指令行为,或是机器的状态民动,HIDS就可按预定策略发现破坏行为,并报警。

灭迹阶段:很多恶意脚本都是自删除的,攻击者是想不流下蛛丝马迹,对安全资产监控的手段越多,留下攻击者痕迹的数据越详实,日志中心、数据代理、探针的部署,可以尽可能的发现威胁攻击的脉络,管理威胁响应的状态并跟踪处理结果。

逃逸阶段:攻击行为结束,攻击者想撤离后。就算没有第一时间实现发现攻击,我们也可以通过分析攻击者在各个阶段留下的痕迹,溯源攻击路径,评估损失,SIM系统可尽早的发现威胁,将危害防患于未然。

针对流量读取、行为记录、数据聚合、智能统计,都是在记录正常行为数据同时,过滤出异常行为的存在。防护策略定义,也是对异常行为的一种定义。抛开事件发生的阶段与对应防护系统设定具体不谈。安全运维人员,最需要关注和分析的就是安全威胁预警情报,而对大量的安全资产,这个预警情报相对个人的处理能力来说几乎是海量的,如果组织和抽象这些威胁信息,是安全运维人员不得不面对的问题,下面给出了一定的信息组织原则:安全威胁情报汇聚的“点、线、面”。

0×02 威胁点线面

之前说了,虽然各家公司的业务不同,但安全防护场景接近。我们把防护系统收集的情报,聚合出一副安全总括情报图,通过这个图来映射出公司资产环境的总体安全状态。各个系统的情报输出是多样化的,都是自成一体,非有机的数据孤岛,我们通过数据结构化,数据聚合,总体上,将威胁情报, 从抽象形式上分成三种形态:点、线、面。

点:高危威胁预警报警。

线:关联资产威胁情报。

面:头部威胁信息聚合图表。

上图,我们将威胁信息的点线面形式,汇聚到了一起,既可看到,“100、30、20”这种聚合的统计图表, 又可看到“源IP”到”目地IP”之间的威胁关联路径,同时突出的被威胁单元资产。情报预警越及时准确,响应的才能更更快,可以通过点线面的情报组织,感知威胁所处阶段。

0×03 面:图表与数据聚合

面:头部威胁信息聚合图表。在生产环境中,我们聚合了各种系统的数据,概况数据的含义,定义异常边界,“面”的威胁情报,展现了一个大颗粒的系统安全状态信息,把整千上万资产设备的数据,经过数据汇聚,形成一副安全鸟瞰图。 把威胁情报量化,图表化。用图表去概括一种常态的趋势变化,一旦出现异常数据裂变,可以清晰的看到异常数据与正常趋势的差异,对于大趋势的明显异常,这种可视化的方式可以直观的感受到。每天的威胁日报,各种统计图表就是这种面的威胁情报的展现。

0×04 线索与回溯与问题

线:关联资产威胁情报。攻击者对与资产互动留下的痕迹,形成了一条数据证据链路,按这条路径,可以观察出攻击者的具体行为步骤,发现那些资产沦陷。如果从服务之间的访问路径来定义分析异常,可预知某些资产之间,是不会发生交互关联的,一旦交互发生,就是异常行为的出现,典型的是正常的生产服务单元,不会无缘无故的去扫描同网段里的基它机器。我们可以在黑名单中,定义威胁路径,作为策略发现异常。可以回溯访问链路评估资产损失。图数据库就是一种对应的技术落地手段。

0×05 焦点聚焦与高危情报

点:高危威胁预警报警。“面”和“线”都是复数形式的报警情报,在实际的应急处理中,要直接定位到被攻击资产的所有者。在可见的视野范围内,谁是小偷掏包者,谁是包的主人, 在偷窃行为还没有造成损失之前,告警受害者。是精确定位威胁的关键点。找到攻击源和被攻击者,并且预先就定义出非常态的异常关联,定义的越苛刻细致,报警的误报率越低。给出应急关键数据:那个机器被谁攻击,攻击是什么,被攻击的机器所有者,这种最明确的预警断言。短息邮件,第一时间发给关键人员。

0×06 集中报警与响应

0×07 威胁的集中与跟踪

安全资产越多,受到攻击的概率就越大,当有明确的报警,被以“点”的形式体现出来时,接下来面临的的问题是报警如何汇聚,并且跟踪状态。聚合的过程是威胁信息筛选的逆过程,我们将威胁的点信息,变成线性记录,再把记录汇聚成一张表,再给表中的记录加上新的状态标签, 这就像在沙子中淘金,在把金子熔成金块。通过点线面情报集中,有的有的放矢,才不会被淹没在海量的威胁告警中不着重点。

0×08 总结

在实际的安全运维工程,运用了各种安全子系统,如何面对和处理这些系统产生的告警信息,可以精确的定位威胁是一个课题,在不断实践中归纳出这些基本原则,无论是商业产品还是开源项目,对威胁信息的抽象与有效组织,才可以提高应急的响应速度。我们基于这些原则,把握运维人员在威胁事件处理中,与防护系统间的良性互动,不被信息淹没,相对高效的化风险于未然。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接