發(fā)現(xiàn)內(nèi)網(wǎng)攻擊

隨著互聯(lián)網(wǎng)快速發(fā)展，網(wǎng)絡(luò)上各種攻擊事件層出不窮，尤其是近年來(lái)不斷曝光的世界500強(qiáng)、互聯(lián)網(wǎng)知名企業(yè)物理隔離的內(nèi)網(wǎng)專網(wǎng)丟失數(shù)據(jù)的事件，完全暴露出現(xiàn)有針對(duì)類似APT網(wǎng)絡(luò)攻擊行為的發(fā)現(xiàn)與處理技術(shù)和方法的不足。研究解決企業(yè)內(nèi)網(wǎng)絡(luò)攻擊行為的解決方案刻不容緩。

現(xiàn)有技術(shù)現(xiàn)狀及缺點(diǎn)

網(wǎng)絡(luò)攻擊大致可分為三個(gè)階段：接觸感染、探測(cè)傳播、竊取破壞。接觸感染階段包括：社會(huì)工程學(xué)、惡意網(wǎng)站釣魚(yú)、郵件欺詐、SQL注入、木馬植入；探測(cè)傳播階段包括：跨站腳本攻擊、主機(jī)端口掃描、網(wǎng)絡(luò)監(jiān)聽(tīng)、節(jié)點(diǎn)攻擊、中間人攻擊；竊取破壞階段包括：病毒蠕蟲(chóng)爆發(fā)、0day漏洞利用、數(shù)據(jù)轉(zhuǎn)移?，F(xiàn)階段針對(duì)單個(gè)攻擊行為的防御手段基本成熟，出現(xiàn)了眾多防御攻擊事件發(fā)生的網(wǎng)絡(luò)設(shè)備及安全設(shè)備，包括：郵件防火墻、Web防火墻、入侵檢測(cè)/防御系統(tǒng)、終端準(zhǔn)入系統(tǒng)、網(wǎng)頁(yè)防篡改系統(tǒng)、網(wǎng)絡(luò)防火墻、流量檢測(cè)系統(tǒng)、終端防病毒、系統(tǒng)漏洞掃描系統(tǒng)、數(shù)據(jù)防泄漏系統(tǒng)等。

如此眾多的安全設(shè)備構(gòu)建的看似完備的安全防護(hù)體系，但實(shí)則收效甚微。其失敗的原因并非是由于單個(gè)技術(shù)的失敗，而是整體戰(zhàn)略上的缺失。

1.各種安全系統(tǒng)只能識(shí)別域內(nèi)安全問(wèn)題，彼此之間沒(méi)有關(guān)聯(lián)，導(dǎo)致出現(xiàn)安全信息孤島和各自為政的現(xiàn)象，無(wú)法從全局發(fā)現(xiàn)、識(shí)別跨域攻擊行為。單個(gè)系統(tǒng)無(wú)法聯(lián)系上下游設(shè)備共同處理網(wǎng)絡(luò)位置、攻擊步驟、攻擊緯度有關(guān)系的攻擊場(chǎng)景。

2.單個(gè)系統(tǒng)因缺乏全局考慮及技術(shù)等原因，容易形成防御空擋，形成被攻擊者利用的通道。獨(dú)立安全防御系統(tǒng)的開(kāi)發(fā)者受限于技術(shù)壁壘、工程周期、知識(shí)庫(kù)積累等問(wèn)題在各自領(lǐng)域均有無(wú)法處置的技術(shù)難題，這樣體現(xiàn)在產(chǎn)品上時(shí)會(huì)采用回避的策略，表現(xiàn)“所見(jiàn)即全部”的思想，從而錯(cuò)失了殘留風(fēng)險(xiǎn)被觀測(cè)、被分析到的機(jī)會(huì)。

3.眾多設(shè)備所產(chǎn)生的海量事件無(wú)法及時(shí)處理，也無(wú)法從眾多誤報(bào)漏報(bào)信息中甄別出真正具有威脅的信息，進(jìn)而導(dǎo)致防護(hù)手段失效。入侵檢測(cè)/防御系統(tǒng)、網(wǎng)絡(luò)防火墻、流量檢測(cè)系統(tǒng)、系統(tǒng)漏洞等設(shè)備存在大量誤報(bào)內(nèi)容，單純依靠人力識(shí)別不太可能。

解決方案

面對(duì)現(xiàn)有網(wǎng)絡(luò)攻擊行為發(fā)現(xiàn)與處理手段的不足，本文提出利用企業(yè)內(nèi)網(wǎng)所有設(shè)備記錄行為日志，相關(guān)資產(chǎn)、脆弱性，以及外部威脅情報(bào)等信息進(jìn)行綜合分析，并由安全人員對(duì)分析結(jié)果進(jìn)行評(píng)估與研判，從而形成一整套應(yīng)對(duì)攻擊行為的解決方案。

1.收集所有分析所需的源數(shù)據(jù)，確保不遺漏任何攻擊行為的蛛絲馬跡。分析數(shù)據(jù)來(lái)源包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)、中間件、應(yīng)用系統(tǒng)日志信息，資產(chǎn)基礎(chǔ)數(shù)據(jù)及各維度數(shù)據(jù)，設(shè)備漏洞信息，威脅情報(bào)信息，人員相關(guān)信息等。

2.更可靠的分析手段，以“資產(chǎn)暴露”程度進(jìn)行排名，重點(diǎn)關(guān)注排名靠前的資產(chǎn)。提供一套“線索”體系，以“資產(chǎn)暴露”為主題，從攻擊入口到核心資產(chǎn)，一個(gè)區(qū)域的資產(chǎn)只要被攻擊過(guò)即使防御成功也認(rèn)為“暴露”，再按照暴露程度排出解決優(yōu)先級(jí)。

3.多層次分析，解決殘余風(fēng)險(xiǎn)。建立防御體系的內(nèi)外層次關(guān)系，當(dāng)發(fā)現(xiàn)攻擊已深入到體系內(nèi)層時(shí)，否定外層防御成果，結(jié)合內(nèi)外層防護(hù)設(shè)備及相關(guān)信息重新進(jìn)行分析，從而達(dá)到“亡羊補(bǔ)牢”的效果。

4.通盤(pán)考慮、全局分析，提升分析結(jié)果的準(zhǔn)確性。收集歸納各個(gè)防護(hù)設(shè)備的輸出信息，并結(jié)合資產(chǎn)、漏洞、威脅情報(bào)等各種維度的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析，確保分析的準(zhǔn)確性。

4.平臺(tái)設(shè)計(jì)

依據(jù)解決方案，平臺(tái)建設(shè)包括四部分：通過(guò)資產(chǎn)識(shí)別、信息補(bǔ)全，建立完善的資產(chǎn)信息庫(kù)；收集所有防護(hù)設(shè)備、被攻擊設(shè)備記錄的日志，進(jìn)行格式化、歸并、降噪處理，找出有意義、真實(shí)的攻擊信息；結(jié)合資產(chǎn)、事件等信息分析攻擊過(guò)程，形成多維度有價(jià)值的分析結(jié)論；安全人員評(píng)估分析結(jié)果，并結(jié)合威脅情報(bào)等信息對(duì)攻擊行為進(jìn)行評(píng)判，為最終問(wèn)題解決及后續(xù)網(wǎng)絡(luò)安全建設(shè)提供依據(jù)。

資產(chǎn)是被攻擊目標(biāo)，是實(shí)施安全防護(hù)手段的目標(biāo)對(duì)象，避免資產(chǎn)被攻擊的前提是必須掌控所有資產(chǎn)基本情況，通過(guò)調(diào)研,梳理資產(chǎn)類型、資產(chǎn)公共屬性，通過(guò)自動(dòng)或人工方式發(fā)現(xiàn)、識(shí)別資產(chǎn),然后結(jié)合調(diào)研的信息對(duì)資產(chǎn)進(jìn)行補(bǔ)全，從而完善資產(chǎn)信息庫(kù)。

自動(dòng)或人工識(shí)別資產(chǎn):

通過(guò)SNMP、ICMP協(xié)議主動(dòng)探測(cè)活動(dòng)資產(chǎn)；

通過(guò)路由表或者交換機(jī)地址轉(zhuǎn)換表發(fā)現(xiàn)當(dāng)前活動(dòng)資產(chǎn)；

通過(guò)實(shí)時(shí)事件或流量數(shù)據(jù)發(fā)現(xiàn)未知資產(chǎn)；

通過(guò)人工錄入或?qū)胭Y產(chǎn)。

資產(chǎn)基本信息包括IP地址、發(fā)現(xiàn)時(shí)間、類型（初步識(shí)別）和名稱等。

資產(chǎn)類型、公共屬性維護(hù):

收集用于目標(biāo)組織規(guī)劃時(shí)的業(yè)務(wù)區(qū)域劃分和安全域劃分采用的原則和方法，調(diào)研目標(biāo)組織當(dāng)前的業(yè)務(wù)和安全域的現(xiàn)狀，重點(diǎn)關(guān)注有差異且未明確劃分的部分。安全域包括：互聯(lián)網(wǎng)、隔離區(qū)、接入?yún)^(qū)、維護(hù)區(qū)、服務(wù)器。

收集調(diào)研資產(chǎn)類型，包括業(yè)務(wù)系統(tǒng)、主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、應(yīng)用軟件、重要數(shù)據(jù)。其中網(wǎng)絡(luò)設(shè)備包括路由器、交換機(jī)等。安全設(shè)備有郵件防火墻、Web防火墻、IPS/IDS、終端準(zhǔn)入系統(tǒng)、網(wǎng)頁(yè)防篡改系統(tǒng)、網(wǎng)絡(luò)防火墻、流量檢測(cè)系統(tǒng)、終端防病毒、系統(tǒng)漏洞掃描系統(tǒng)、數(shù)據(jù)防泄漏系統(tǒng)等。

梳理出各個(gè)資產(chǎn)的相關(guān)負(fù)責(zé)人，包括數(shù)據(jù)所有者、系統(tǒng)所有者、安全管理員等。

對(duì)資產(chǎn)進(jìn)行信息補(bǔ)全，補(bǔ)全后的資產(chǎn)屬性包括：資產(chǎn)ID、資產(chǎn)名稱、IP地址、資產(chǎn)類型、業(yè)務(wù)系統(tǒng)、組織機(jī)構(gòu)、安全域、資產(chǎn)管理員、安全管理員、數(shù)據(jù)所有者、資產(chǎn)創(chuàng)建時(shí)間、廠商、版本等。

資產(chǎn)漏洞信息采集：

定期采集資產(chǎn)漏洞信息，豐富資產(chǎn)屬性?？赏ㄟ^(guò)人工導(dǎo)入或聯(lián)動(dòng)方式獲取漏洞掃描設(shè)備的掃描結(jié)果，漏洞信息包括 括漏洞ID、漏洞名、簡(jiǎn)短描述、詳細(xì)描述、修補(bǔ)建議、漏洞級(jí)別、影響平臺(tái)、CNCVE號(hào)、CVE號(hào)、CVE描述、CVSS風(fēng)險(xiǎn)值。

日志采集、處理，析取真實(shí)有價(jià)值攻擊信息

采集各類網(wǎng)絡(luò)設(shè)備、安全設(shè)備、安全管理平臺(tái)、設(shè)備資產(chǎn)的日志信息，輸出統(tǒng)一格式的安全事件,協(xié)助攻擊過(guò)程分析。

日志采集：

調(diào)研設(shè)備、系統(tǒng)的日志存儲(chǔ)位置、獲取方式、獲取周期、完整性校驗(yàn)方式、時(shí)鐘同步機(jī)制等；

通過(guò)被動(dòng)或主動(dòng)方式采集設(shè)備日志，被動(dòng)采集支持 syslog、trap兩種方式，可實(shí)時(shí)接收日志信息；主動(dòng)方式支持 FTP、SFTP、JDBC、Webservice協(xié)議，可周期、準(zhǔn)實(shí)時(shí)采集設(shè)備日志信息。

日志格式化：

結(jié)合事件知識(shí)、通過(guò)格式化引擎對(duì)設(shè)備原始日志信息進(jìn)行解析和抽取，識(shí)別原始日志對(duì)應(yīng)的安全事件分類，并按該分類所適用的屬性字段析取相應(yīng)的值，最終確定事件具體知識(shí)條目，生成疑似安全事件。

格式化后事件信息至少包括：事件名稱、源IP地址、目的IP地址、報(bào)送設(shè)備IP、事件內(nèi)容、事件級(jí)別、發(fā)生時(shí)間、發(fā)生次數(shù)。

事件過(guò)濾、歸并，降噪處理：

對(duì)不具備分析意義的安全事件進(jìn)行過(guò)濾，減少不可信、不重要的事件，析取出真實(shí)有價(jià)值的攻擊信息。對(duì)重復(fù)發(fā)生、大部分屬性相同的疑似安全事件，在不影響后續(xù)事件分析的前提下，應(yīng)對(duì)個(gè)體進(jìn)行合并，減少事件個(gè)體數(shù)量。

過(guò)濾、歸并規(guī)則支持可對(duì)安全事件的所有屬性進(jìn)行條件判斷，支持等于、不等于、大于、小于、包含、like、in等數(shù)據(jù)函數(shù)邏輯表達(dá)式，如：{事件屬性:目的地址}like '192.168.10.%' and{事件屬性:操作命令} in'rm,vi'。

分析攻擊過(guò)程，輸出分析結(jié)果：

通過(guò)資產(chǎn)、統(tǒng)計(jì)、行為等多重關(guān)聯(lián)方式分析攻擊過(guò)程，結(jié)合業(yè)務(wù)及數(shù)據(jù)所有者的參與分析,輸出過(guò)程分析結(jié)果。

通過(guò)資產(chǎn)類型、攻擊事件類型關(guān)聯(lián)分析，判斷資產(chǎn)暴露、被攻擊的可能性。被攻擊資產(chǎn)類型符合攻擊事件攻擊目標(biāo)類型，被攻擊可能性大，否則，被攻擊可能性小。例如某臺(tái)設(shè)備上運(yùn)行Web服務(wù)和數(shù)據(jù)庫(kù)，當(dāng)發(fā)現(xiàn)有IDS設(shè)備發(fā)現(xiàn)的SQL注入攻擊時(shí)，該設(shè)備被攻擊的可能性非常大，安全管理員應(yīng)予以足夠重視。

通過(guò)資產(chǎn)存在的漏洞與攻擊事件類型關(guān)聯(lián)分析，判斷資產(chǎn)暴露、被攻擊的可能性。當(dāng)資產(chǎn)發(fā)生的攻擊事件針對(duì)的漏洞剛好在該資產(chǎn)上存在，該資產(chǎn)被攻擊可能性很大。

分析被攻擊資產(chǎn)單位時(shí)間內(nèi)與其他設(shè)備的連接數(shù)，并通過(guò)資產(chǎn)IP關(guān)聯(lián)出資產(chǎn)所處安全域，結(jié)合業(yè)務(wù)判斷當(dāng)前位置出現(xiàn)大量連接是否正常，對(duì)不正常的連接進(jìn)行重點(diǎn)關(guān)注。

通過(guò)被攻擊資產(chǎn)IP關(guān)聯(lián)出攻擊日志獲取途徑和日志報(bào)送設(shè)備的業(yè)務(wù)域或安全域，結(jié)合業(yè)務(wù)判斷某類攻擊對(duì)該區(qū)域是否有效，判斷此處攻擊是否為誤報(bào)，并對(duì)疑似攻擊行為進(jìn)行重點(diǎn)關(guān)注。

通過(guò)統(tǒng)計(jì)分析，提供單位時(shí)間內(nèi)按攻擊類型和被攻擊位置的攻擊次數(shù)排名，以此判斷入侵者的重點(diǎn)攻擊目的及區(qū)域。如遭受最多攻擊的是DMZ即非軍事化區(qū)的DDoS攻擊，其次是維護(hù)區(qū)ARP欺騙攻擊。由此可知哪個(gè)區(qū)域最受攻擊者關(guān)注。

通過(guò)統(tǒng)計(jì)分析,提供被攻擊資產(chǎn)連接數(shù)和連接設(shè)備數(shù)排名，如設(shè)備A在1小時(shí)連接數(shù)為10000，連接設(shè)備數(shù)為3臺(tái)，設(shè)備B在1小時(shí)連接數(shù)為20000，連接設(shè)備數(shù)為30臺(tái)?？芍O(shè)備A在連接數(shù)上存在問(wèn)題，可能是被攻擊對(duì)象或正在做資料轉(zhuǎn)移；設(shè)備B在連接設(shè)備數(shù)上存在問(wèn)題，可能為內(nèi)網(wǎng)肉雞。

通過(guò)統(tǒng)計(jì)、行為關(guān)聯(lián)，提供被攻擊資產(chǎn)之間存在的連接數(shù)排名。若干資產(chǎn)成為攻擊目標(biāo)，這些資產(chǎn)之間的連接就非常關(guān)鍵。可能是一臺(tái)運(yùn)行核心資產(chǎn)設(shè)備屏蔽了絕大部分攻擊后，攻擊者嘗試通過(guò)其他設(shè)備為跳板連接這臺(tái)設(shè)備，連接數(shù)多的可能是在嘗試各種方法進(jìn)行連接。

對(duì)被攻擊資產(chǎn)之間存在的連接設(shè)備數(shù)進(jìn)行排名。連接設(shè)備數(shù)多的可能是在嘗試多個(gè)設(shè)備進(jìn)行連接。

結(jié)合威脅情報(bào)等信息進(jìn)行綜合分析，為后續(xù)處理提供依據(jù):

1.綜合攻擊過(guò)程分析結(jié)果，組合生成多維度報(bào)表或結(jié)果數(shù)據(jù)，為評(píng)測(cè)攻擊情況提供數(shù)據(jù)支撐，例如服務(wù)器區(qū)域設(shè)備A部署了Web服務(wù)，服務(wù)區(qū)的設(shè)備B運(yùn)行其Web服務(wù)的數(shù)據(jù)庫(kù)，維護(hù)區(qū)的設(shè)備C是維護(hù)終端設(shè)備。設(shè)備A遭受了5種攻擊，5種攻擊獲取途徑和各自產(chǎn)生的安全域比較后發(fā)現(xiàn)部署到互聯(lián)網(wǎng)與DMZ之間的Web防火墻上產(chǎn)生的SQL注入攻擊值得關(guān)注，同時(shí)發(fā)現(xiàn)設(shè)備B常態(tài)下只與A有連接，近3日徒增很多內(nèi)網(wǎng)連接，而與設(shè)備B連接的設(shè)備C近1周被部署在維護(hù)區(qū)的防病毒軟件攔截過(guò)病毒事件。

2.利用可靠的威脅情報(bào)查找攻擊者。從安全事件中發(fā)現(xiàn)外網(wǎng)的攻擊源地址，利用威脅情報(bào)信息進(jìn)行回溯，定位真正攻擊的幕后黑手。

3.通過(guò)事件關(guān)聯(lián)出資產(chǎn)，通過(guò)資產(chǎn)信息關(guān)聯(lián)找出資產(chǎn)的數(shù)據(jù)所有者、系統(tǒng)所有者及安全管理員

數(shù)據(jù)所有者、安全管理員基于以上分析結(jié)果，結(jié)合業(yè)務(wù)及網(wǎng)絡(luò)環(huán)境對(duì)問(wèn)題進(jìn)行下一步處理。

總結(jié)

本文提出通過(guò)人工或自動(dòng)發(fā)現(xiàn)方式識(shí)別、補(bǔ)全并完善資產(chǎn)信息，采集所有設(shè)備日志，對(duì)日志進(jìn)行格式化、去重、降噪等處理，對(duì)事件、資產(chǎn)等信息進(jìn)行統(tǒng)計(jì)、行為方式關(guān)聯(lián)分析，輸出攻擊過(guò)程信息及相關(guān)報(bào)表，結(jié)合威脅情報(bào)、資產(chǎn)相關(guān)信息進(jìn)行綜合分析，最終將分析結(jié)果提供給相關(guān)安全人員，安全人員基于以上分析結(jié)果，結(jié)合業(yè)務(wù)及網(wǎng)絡(luò)環(huán)境對(duì)問(wèn)題進(jìn)行下一步處理，。從而形成一整套全新的網(wǎng)絡(luò)攻擊行為發(fā)現(xiàn)與處理的解決方案。