“如何在政企环境中主动发现入侵迹象?” 老外把这个叫做“威胁狩猎”,这也是政企主动防御的核心问题。根据笔者在国内政企多年的安全实践,总结为以下六个步骤(仅供参考):
编号 | 内容描述 |
步骤1: | 建立对业务系统和网络正常运行的基线。 |
步骤2: | 使用威胁情报来识别与特定威胁或威胁参与者相关的已知入侵指标 (IOC)。 |
步骤3: | 监控日志、网络流量和端点遥测数据,寻找与基线行为的异常或偏差。 |
步骤4: | 利用自动化工具(例如SOC 平台)来标记潜在的入侵指标。 |
步骤5: | 定期进行威胁狩猎操作,以根据威胁情报、历史事件或已知的攻击模式主动搜索和发现入侵迹象。 |
步骤6: | 对于发现的入侵迹象进行深入调查,以判断它们是否构成了安全事件。如果确实发生了安全事件,就启动相应的应急响应流程。 |
假设某金融行业银行用户根据上述步骤进行威胁狩猎的解读:
背景:
某大型国有银行,存储着海量用户金融数据,其核心业务系统一旦遭到入侵,将造成巨大的经济损失和社会恐慌。
目标:通过主动搜索入侵迹象,将防御阵线前移,将威胁扼杀在萌芽状态,保障银行系统和用户数据的安全。
步骤解析:
步骤 1:建立对业务系统和网络正常运行的基线。
将基线建立作为主动防御的战略基石,全面掌握网络环境的“常态”,才能识别“异动”,如同绘制网络世界的“地图”,才能发现异常的“地形”。成立专门的网络安全团队,由经验丰富的专家牵头,负责基线建立和维护工作。 明确责任分工,制定标准操作流程 (SOP)。多维度数据采集,包括系统日志、网络流量、用户行为、应用性能等,就像多角度观察网络世界,收集信息。利用安全信息和事件管理 (SOC) 平台、网络行为分析 (NTA/NDR) 工具等,分析采集的数据,建立网络环境的“行为画像”。制定基线更新机制,例如定期更新、根据系统变更更新等,确保“地图”的准确性和时效性。
假设:银行网络安全团队收集核心业务系统的用户登录日志,分析正常工作时间、登录用户角色、登录频率等信息,建立用户登录行为基线。 例如,发现运维人员通常在工作日早上 8 点至下午 6 点登录系统,并且平均每小时登录次数不超过 5 次。
步骤 2:使用威胁情报来识别与特定威胁或威胁参与者相关的已知入侵指标 (IOC)
将威胁情报作为主动防御的“千里眼”,及时掌握最新的攻击趋势、攻击者画像,提升防御的针对性。订阅专业的威胁情报服务,加入金融行业信息共享平台,与其他银行和安全机构进行信息交换,就像建立情报共享机制,扩大视野。分析威胁情报,提取与自身相关的 IOC,例如针对金融行业的攻击手法、恶意软件样本、攻击者使用的工具等。使用威胁情报平台 (TIP) 管理和分析 IOC 数据,并与安全信息和事件管理 (SIEM) 平台、入侵防御系统 (IPS) 等安全工具集成,实现自动化告警和拦截。制定威胁情报评估和应用流程,定期更新 IOC 数据库,并根据威胁情报调整安全策略。
假设:银行网络安全团队从威胁情报中发现,近期针对金融行业的攻击者常用一种名为 “FinSpy” 的恶意软件,该软件可以窃取用户的银行账户信息。 团队提取了该软件的哈希值和其他相关 IOC,并将其添加到安全系统中,以便及时检测和阻止该恶意软件的入侵。
步骤 3:监控日志、网络流量和端点遥测数据,以发现异常或与基线的偏差。
实时监控网络环境的“动态”,发现任何偏离“常态”的行为,就像时刻关注“地图”上的异常变化,例如地震、洪水等。建立 7*24 小时的安全监控中心 (SOC),由专业人员负责监控系统和网络活动,并及时处理告警信息。收集全面的监控数据,包括系统日志、网络流量、用户行为、应用性能等,并将其集中到 SIEM 平台进行分析。使用 SIEM 平台的规则引擎和机器学习算法,对监控数据进行实时分析,识别异常行为,并生成告警信息。制定告警处理流程,明确不同级别告警的处理流程和响应时间,并定期评估告警规则的有效性。
假设:银行网络安全团队通过SOC平台发现,凌晨 2 点有一个运维人员账户登录了核心业务系统,并且在短时间内进行了大量的数据库查询操作,这与该用户的登录行为基线明显不符,系统立即发出高危告警。
步骤 4:利用自动化工具(例如 SOC 平台或入侵检测系统)来标记潜在的入侵指标。
利用自动化工具提高安全监控和告警的效率,就像利用地震预警系统,快速识别潜在的地震活动。 为安全团队配备专业的安全分析师,并提供必要的培训,使其能够熟练使用SOC平台和NDR等工具。
根据步骤 2 中提取的 IOC,以及步骤 3 中发现的异常行为,配置 SOC 平台和入侵检测系统的告警规则,自动标记潜在的入侵指标。利用 SOC 平台的关联分析功能,将来自不同安全设备的告警信息进行关联,识别攻击链,并根据攻击的严重程度进行优先级排序。 定期评估告警规则的有效性,并根据新的攻击手段和防御策略进行调整,确保及时发现潜在的入侵指标。
假设:银行网络安全团队在 SOC 平台配置了针对 “FinSpy” 恶意软件的检测规则,一旦发现该软件的哈希值或其他 IOC,系统就会自动标记为高危事件,并通知安全分析师进行处理。
步骤 5:定期进行威胁狩猎操作,以根据威胁情报、过去的事件或已知的攻击模式主动发现和搜索入侵迹象。
将威胁狩猎作为主动防御的“侦察兵”,主动出击,寻找隐藏在网络环境中的攻击者,就像在战场上进行侦察,发现潜伏的敌人。组建专业的威胁狩猎团队,由经验丰富的安全专家组成,并配备必要的工具和资源,例如沙箱、取证工具等。根据威胁情报、过去的攻击事件和已知的攻击模式,制定威胁狩猎计划,明确狩猎目标、范围和方法。
使用高级威胁检测工具、数据分析工具、取证工具等,对网络环境进行深度分析,寻找攻击者的蛛丝马迹。将威胁狩猎纳入日常安全运营工作,定期进行狩猎行动,并记录狩猎过程和结果,不断改进狩猎策略。
假设:银行网络安全团队根据近期针对金融行业的攻击趋势,制定了一个威胁狩猎计划,重点关注利用 RDP 协议进行的攻击。 他们使用网络流量分析工具,对所有 RDP 连接进行监控,并结合用户行为分析,识别异常的 RDP 连接,例如连接时间异常、访问资源异常等,最终发现了一个攻击者利用 RDP 漏洞入侵了内部服务器。
步骤 6:调查任何已识别的入侵迹象,以确定它们是否代表安全事件,并在必要时启动事件响应流程。
建立有效的事件响应机制,就像制定应急预案,在发现入侵事件时能够快速响应,控制事态发展。 制定事件响应流程,明确每个环节的责任人和行动指南,并定期进行演练,提高团队的响应速度和效率。对所有标记的入侵指标进行调查,收集证据,分析攻击手法,评估攻击的影响范围。
使用取证工具、恶意代码分析工具等,对攻击事件进行深入分析,还原攻击过程,识别攻击者身份。根据调查结果,采取相应的措施,例如隔离受感染主机、修复漏洞、加强安全防御等,并及时向相关部门和监管机构报告事件情况。
假设:银行网络安全团队对凌晨 2 点的异常登录事件进行调查,发现攻击者使用了 stolen 的运维人员账户密码进行登录,并尝试窃取用户数据。 团队立即隔离了受感染主机,重置了该用户的密码,并加强了对该账户的监控。 同时,团队也向公安机关报案,并将事件情况报告给银监会。
总结
主动防御是一个持续改进的过程,需要不断学习新的攻击技术和防御手段,才能始终保持领先于攻击者,保障网络安全。