红蓝双方近距离“肉搏”,实战攻防究竟鹿死谁手?
在通过钓鱼邮件等一系列手法占领一台计算机之后,攻击队入侵的脚步会进一步加快,包括收集域内信息,探查可能保存机密文件和敏感信息的主机位置,确定横向移动的目标,比如存储了所有计算机用户的账户密码信息的域控制主机。
此时,攻击者会通过C2(Command & Control,命令与控制)服务器,与在目标系统内植入的恶意软件频繁发生通信,并源源不断发送的攻击命令。
由于攻防的主战场主要集中在内网,因此红蓝双方往往要开展近距离“肉搏”,展开“控制权”的争夺战,其激烈程度要远超其他阶段。
1 误报、误报还是误报
曾几何时,内网的安全防护还不够重视,一封钓鱼邮件穿透内网之后,攻击者就可以在内网中如入无人之境,想入侵哪台服务器就入侵哪台。
2010年爆发的“震网事件”表明,就是物理断网也不是绝对安全。
所以在RSAC2016上,时任大会主席阿米特·约伦(Amit Yoran)在“沉睡者醒来”的主题演讲中指出,安全防御是个失败的战略,未来业界应该增加在安全检测技术上的投资。
这句话虽有失偏颇,但很大程度上强调了持续检测的重要性。
在接下来的几年里,以全流量分析为代表的检测技术取得了长足的进步,并迅速成为防守方的实战利器。
可即便如此,别以为防守队就稳了,他们面临的麻烦一点都不比攻击队少。在引入全新的安全设备之后,告警的数量可以说呈几何倍数增加。
问题的关键是,这些告警从来都不是百分之百有用。
众所周知,检测设备发现攻击行为,需要依靠预先设置的规则,但任何一条规则都很难做到尽善尽美,准确描述对应的攻击行为。
首先,基于相关性的规则通常无法描述足够数量的特征,而这些特征正决定检测准确率的核心要素。
其次,基于行为的规则主要关注异常,但对于任何一家企业来说,存在异常行为是再正常不过的事,所以追查每一个异常会浪费大量的时间和精力。
误报就是这么产生的。
举个例子。员工在登录办公系统时,将账号密码连续输错好几次是一件再正常不过的事情,但这个行为在检测设备那里就有可能被判定为异常,因为暴力破解攻击也会连续将密码连续输错。
显而易见,如果误报的事情不能得到很好的解决,防守队将被淹没在无止境的告警中无法自拔,从而忽略了真正的威胁。在告警数量剧增的攻防演习期间,这正是攻击队想要看到的。
即便机器学习/人工智能技术的应用,已经让这一情况有所改善。
天眼正是在这样的环境中,完成了从能用到好用、易用的自我进化。
作为因首发海莲花APT组织而走红的明星产品,奇安信天眼采用了入侵检测双向匹配技术,基于自主研发的QNA大数据人工智能威胁检测引擎,利用本地大数据平台对流量日志和终端日志进行存储和查询,结合威胁情报和攻击链分析对事件进行分析、研判和回溯,实现威胁的全面发现、攻击结果的精准判定,大大降低误报率和漏报率。
在此基础上,天眼还专门为实战攻防演习准备了三个绝招,助力防守客户少丢分、快提效、稳上分。
第一招是智能辅助研判,工程师“一键”就能够清晰查看产生同类告警的基本信息、判断条件、潜在威胁、处置建议等,无需分析人员参与,分析迅速、时效性高。
第二招是攻击源IP预警,只要有一个分支机构发现攻击行为,天眼便将攻击者IP进行全网通缉,迅速传递至各相关单位,并为危害程度定级;下次只要该攻击者再次出现,便会提醒客户提高警惕,同时客户还可以参照威胁的关注热度(危害定级程度),选择持续关注或者联动处置。
第三招是旁路阻断,能够在发现攻击行为后,第一时间将攻击源IP进行阻断,将事后阻断变成事中阻断,提前防御攻击队;配合天眼智能辅助研判、攻击源IP预警服务使用,大幅提升处置效率。
2 反向钓鱼,最为致命
现如今,天眼等全流量检测产品,已经成为了防守方的标配。
但有些走在时尚前沿的防守人员并不满足于此:凭什么我就得明牌告诉攻击队,我就在这儿等着他。
孙子曰“兵者,诡道也。”实则虚之,虚则实之,谁说只有攻击队才能用诱饵搞钓鱼那一套?
于是乎,以蜜罐为代表的欺骗防御类产品,成为了实战攻防演习备受追捧的对象。
蜜罐这个词,最早是被猎人使用的,猎人把罐子装上蜂蜜放在陷阱里,专门用来捕捉喜欢甜食的熊。说白了就是为攻击者布置的虚假目标。
蜜罐的主要目的有两个,第一是迟滞攻击者的入侵脚步,使其在虚假的目标中兜圈子;第二是捕获攻击行为的特征、样本等,为后续检测提供证据。最重要的是,蜜罐理论上是不会产生误报的,凡是踩中陷阱的行为都可以认为是入侵。
听起来很美好,有道是“顶级的猎人往往都是以猎物的姿态出现的”,但精明的攻击队却给了某些理想主义者当头好几棒。
首先是蜜罐的仿真程度不够。仿真是蜜罐的基础,没有这个基础,做的陷阱一眼看过去就是假的,自然没有攻击者会上当。
其次,陷阱做的足够真,但脱离了业务环境。在攻击者的眼中,你的蜜罐和业务系统之间是孤立的,在我来之前访问量都没几个,一看就是给我下的套,最多也就骗骗刚入行的小白,这就像沙漠中的海市蜃楼,稍有经验的旅行者都很难上当。
第三,蜜罐被攻击者作为入侵真实目标的跳板。攻击者在踩中蜜罐以后,很有可能利用蜜罐中故意设置的漏洞,横向渗透进真实的业务系统中。
为了解决上述三个问题,奇安信推出了攻击诱捕系统。
该系统快速构建出符合真实业务环境的“幻象”,具备极强的仿真能力和欺骗性,借助天眼的全流量分析能力,可将攻击流量主动牵引至蜜罐中并隔离起来,使攻击者相信已初步取得部分目标的控制权,并且不能横向渗透进正常系统中。
同时,系统还能够将各类“仿真诱饵”快速下发到网络的各个区域,尽可能多的覆盖攻击链的重点环节,对攻击行为进行无死角诱捕。
针对实战攻防演习,奇安信还特别推出了天眼MDR欺骗诱捕服务,将攻击诱捕系统与远程安全托管服务相结合,通过云端SaaS化服务,为客户提供外网资产欺骗、横向移动监测、溯源反制三种服务。其中:
- ①外网资产欺骗服务,通过模拟客户真实资产迷惑攻击队,提前收集信息;
- ②横向移动监测服务,捕获攻击者横向移动痕迹,对内网失陷及时预警;
- ③溯源反制服务,以高仿真环境,引诱攻击者自投罗网,并对攻击者进行追踪溯源,增加在攻防演习中加分的可能性。
3 管中窥豹,略见一斑
还有一样威胁检测的王牌产品不得不提。
就在RSAC重提检测战略的同一年(2016年),Gartner在其SIEM魔力象限报告中直言,攻击检测与响应成为了驱动SIEM市场蓬勃发展的主导驱动力。
SIEM中文全称是安全信息和事件管理,顾名思义,它的主要任务就是从海量的安全事件和日志中寻找出潜在的网络攻击。
不过,安全事件通常十分复杂。
尤其是在边界防御愈加严格的今天,想要在时间相对紧张的攻防演习期间成功夺取关键节点,某些机巧高超的攻击行为入侵节点会覆盖非常广。如果只对某一个点日志进行分析,很难描述清楚一次攻击行为到底是怎样的。
比如安全设备在网络中发现了以下三个事件:
第一,某台工作电脑发现被植入了远程控制木马;第二,官方网站后台数据库发现了未经授权的访问行为;第三,工作时间某服务器访问量异常。
这三个场景可能独立发生,也可能会同时发生,他们之间到底有没有关联呢?
要想回答这个问题,管中窥豹的做法决不可取。
如果能够把整个内网的日志进行关联分析,就能把所有的攻击片段组合起来,组成一个完整的全景拼图。
说起来容易。
随着海量数据的接入,传统的SIEM产品极易产生告警疲劳或者遭遇性能瓶颈,要想实现完整的关联分析就必须解决下面三个问题。
首先是能够接入全量数据,包括多源异构日志,如账户登录、数据库查询、修改、DNS解析记录等;资产信息,包括终端、服务器、Web应用、中间件等;内外部威胁情报以及其他相关内容,并支持对输出结果进行回注分析。
第二是实时计算和实时统计。事件的产生和日志的输入是无穷无尽的,只有计算速度够快才能保证实时输出结果,这就要求能够有强大的算力性能支持。
第三是快速建模。分析师能够根据实际业务场景和事件类型,快速搭建出个性化的安全分析模型。
此时,SIEM就需要一个实时的关联分析引擎。
作为搭载国内首款分布式关联分析引擎Sabre的奇安信NGSOC,能够通过威胁情报、机器学习、关联分析等多个维度进行威胁的检测,通过场景分析、实体分析、事件调查等威胁分析工具,结合安全运营工作实际场景,帮助提升安全事件研判和溯源的效率,及时进行响应处置。
其中Sabre提供了多源数据关联分析、灵活的威胁建模、丰富的上下文信息展示能力,大幅提升了NGSOC的多源异构数据关联分析能力和威胁检测准确度,在今年举行的2022北京冬奥会和冬残奥会期间,支撑起了对冬奥26个场馆、上千亿条日志的实时监控与安全分析,累计监测数亿次网络攻击,跟踪和研判上百起涉奥威胁事件。
在Sabre的加持下,窥一斑而见全豹才成为了可能。
在攻防双方之间一场激烈的较量之后,事情并没有结束。对于防守方而言,无论攻击者是否能在规定时间内达成最终的攻击目标,都需要完成攻击溯源和攻击者分析,至于如何做到这一步,请关注下一期!
