持續監控與分析:黑客攻防的以不變應萬變

發布時間:2018-08-31 09:22:15

在這個數字化的時代,隨著云計算、大數據等新型互聯網技術的興起,幾乎所有企業都開始將自己眾多業務轉移到云上,利用云計算、大數據的力量來提升企業效益。然而任何事物都有兩面性,在促進業務快速發展的同時,隨之而來的黑客入侵也是越來越頻繁。



相信很多安全從業人員內心都有過這樣疑問:為什么安全做了這么多年,面對黑客時還是如此不堪一擊?為什么部署了那么多安全防護設備,直到防護陣地完全失陷仍然對攻擊一無所知?

用有限對抗無限,安全注定永遠落后一步

所有安全從業人員都希望自己能開啟上帝視角,能看清黑客攻擊,能應對0Day漏洞,能阻止APT攻擊等,但更多時候我們對黑客攻擊一無所知。
一直以來對威脅的檢測和攔截,都是基于對黑客行為的認知。過去,大家通過了解黑客的攻擊方法,去跟蹤他的入侵行為。這是典型的以有限對抗無限,用有限的認知,有限的時間,有限的資源,對抗無限的對手和無限的可能。這樣的安全防護,注定永遠落后一步。
在這里,筆者以三件安全IDS產品為例說明傳統安全“以有限對抗無限”先天性不足。
IDS,它是基于規則策略做安全防護,對收集來的報文,IDS系統提取相應的流量統計特征值,并利用內置的入侵知識庫,與這些流量特征進行智能分析比較匹配。根據預設的閥值,匹配耦合度較高的報文流量將被認為是進攻,入侵檢測系統將根據相應的配置進行報警或進行有限度的反擊。這是典型用有限規則去對抗無限攻擊、無限對手、無限可能,這也就不難理解IDS這樣入侵檢測產品,從一開始就注定落后一步。
設想一下,面對傳統IDS這樣安全防護,一旦外網防火墻被打穿,黑客只要攻破一點,那所有防御策略就形同虛設,黑客可以輕松達到自己的攻擊目的。即便你了解了攻擊者的所有攻擊模式,如果忽略了對自身環境和系統的研究了解,會對自己保護的目標不明確,難以檢測自己是否遭受攻擊,因此事倍功半。

以不變應萬變,才是安全防護應有姿態

世界任何事情,在哲學層面都是相通的,安全亦是如此。
“認識你自己”是銘刻在古希臘阿波羅神殿石柱上的著名箴言之一。據記載,有人問蘇格拉底:"世上何事最難?"答曰:認識你自己。他要求首先研究自身,通過審視自身來了解自然、認識自然、解釋自然。
正是基于這樣認知,筆者認為,認知黑客不如認知自己。每一個安全從業者都應該認真審視自己企業網絡資產,才能做到認知自己,由內而外的提升安全能力。
如果我們能從業務的運轉中,抽取生成內在的監控指標,并對指標進行持續地觀測和分析,那無論遇到什么攻擊,都會引起指標變化而被察覺。
該技術目前已經在部分國內安全廠商中得到很好驗證,其中不乏青藤等某一領域安全獨角獸。青藤云安全將Agent安裝在服務器上,根據客戶業務運行狀況設立數萬個監測指標,對文件進程、主機訪問、業務關系等建立多維度、多層次的縱深檢測體系,可以無間斷對入侵行為進行監控,實現實時的入侵檢測和快速響應,一旦發現異常情況,進行毫秒級報警。
應對未知威脅和高級威脅是安全防護最高境界
未知威脅永遠存在,網絡要么已經被攻陷,要么正在被攻陷的路上。要贏得這場魔道之爭,安全一定不能落后一步。在這里筆者以青藤新一代主機入侵檢測系統的一個真實案例來闡述青藤如何應對未知威脅和高級威脅。
整個安全事件處理過程如下:
① 某天快到下班點,青藤的安全駐場人員突然接到產品告警,發現反彈shell和webshell,于是迅速展開排查,確定失陷主機為公司一臺文檔服務器。
這里補充說明下,青藤新一代主機入侵檢測系統的“反彈shell”功能,可以通過對用戶進程行為進行實時監控,結合異常行為識別,可及時發現進程中非法 Shell 連接操作產生的反彈 Shell行為,能有效感知“0Day”漏洞等利用的行為痕跡,并提供反彈 Shell 的詳細進程樹。
② 憑借上述產品功能,青藤主機入侵檢測系統在該服務器被上傳webshell之后,發現反彈shell操作如下:
③ 安全人員使用安全日志、操作審計,檢查黑客操作的每一條命令,發現歷史記錄被黑客清空了,幸好有審計功能,默默的記錄下了黑客的每一條操作。
安全人員發現黑客先利用系統漏洞進行了提權后,安裝修改了一些文件,懷疑是安裝rootkit系統后門,之后安全人員使用青藤入侵檢測產品“系統后門”功能進行檢查,發現了多個系統后門和被篡改的關鍵位置文件。
④ 通過分析,發現黑客的入侵路徑來源為struts2漏洞入口,黑客上傳webshell后進行提權以及安裝后門操作。安全人員通過操作審計以及黑客的webshell特征,還原了黑客對主機進行的操作。
⑤ 最后,安全人員協助客戶開啟了端口蜜罐的功能,針對目前流行的MS17010漏洞開啟了445等端口的蜜罐,并將安全人員常用的掃描器的地址加入了白名單,通過大量的部署微蜜罐,來增大內網誘捕黑客的幾率。
通過上述分析,我們還原整個安全事件,發現此次事件屬于典型的APT入侵攻擊事件。首先黑客通過Windows后門進入內網潛伏下來,并在內網漫游找到有Web站點或有漏洞的主機并上傳webshell,繼而進一步通過webshell實現反彈連接,獲取目標主機的shell控制權為下一步攻擊做好準備。
上述整個攻擊過程可以說做得滴水不漏,環環相扣。面對這種高級別攻擊,傳統基于規則策略的安全檢測產品就形同虛設,黑客可以很輕松繞過。但是青藤新一代主機入侵檢測系統可以提供多錨點的檢測能力,能夠實時、準確地感知入侵事件,發現失陷主機,并提供對入侵事件的響應手段,為系統添加強大的實時監控和響應能力,幫助企業有效預測風險,精準感知威脅,提升響應效率,保障企業安全的最后一公里。
寫在最后:
入侵的攻擊手段千變萬化,但是攻擊成功后要做的事情卻是歸一化的。因此,安全防護需要將視角從了解黑客的攻擊方式,轉化成對內在指標的持續監控和分析,因為無論多么高級的黑客其攻擊行為都會觸發內部的指標異常變化,從而被迅速發現并處理。

文章來源:安全牛

gpk电子游戏奖池彩金规则