一場美國大片引發(fā)的關(guān)于內(nèi)網(wǎng)威脅檢測的思考
責編:mhshi |2017-04-21 15:33:34在探討內(nèi)網(wǎng)威脅之前,先讓我們來看場電影!
2016年的熱映電影《諜影重重5》是在后斯諾登時代體現(xiàn)網(wǎng)絡攻擊與防御的一部教科書式的影片。在影片的最開始有一段網(wǎng)絡入侵與防御的情節(jié),講述的是某國中央情報局CIA受到攻擊,攻擊者目標直指加密文件服務器,以盜取機密文件為目的。在緊要時刻,CIA的安全專家們迅速做出了反應,通過軌跡回溯機制鎖定了黑客所在的具體物理位置,并控制了當?shù)仉娋W(wǎng)控制系統(tǒng),最后切斷了攻擊者發(fā)起攻擊地點的電源供應,終結(jié)了他的攻擊。
在這個情節(jié)中,被攻擊者采用的響應措施,其實是釜底抽薪的策略,這確實有些令人意外。在機密文件被竊取這樣的緊急時刻,去控制當?shù)氐碾娏ο到y(tǒng)來切斷攻擊者所在位置的電源供應,這其實面臨很大的風險。因為如果入侵電力控制系統(tǒng)沒有成功,或者耗時很長,都可能導致更多的數(shù)據(jù)被盜取,造成的損失會更大。那么問題來了,電影中的CIA安全專家們?yōu)槭裁磿扇嚯姷姆绞阶柚构粽吣兀慨斎怀嗣绹笃f年不變的宗旨——“最帥最帥我最帥”之外,就是當?shù)氐碾娏刂葡到y(tǒng)很可能早已被入侵或者遠程控制,只要激活遠程控制代碼,就可以讓電力控制系統(tǒng)發(fā)出關(guān)閉電力供應的指令。
那么由此引出了另一個問題:當?shù)氐碾娏刂葡到y(tǒng)已經(jīng)被入侵并被注入了遠程控制代碼,只是自己沒有發(fā)現(xiàn),這很可能是以前已經(jīng)遭遇了所謂的APT攻擊(高級持續(xù)性威脅攻擊)。電力控制系統(tǒng)通常都是單獨隔離的網(wǎng)絡,很難直接從外網(wǎng)實現(xiàn)入侵,那么這種APT類型的攻擊是如何實現(xiàn)的呢?事實上攻擊者往往是先通過感染內(nèi)部的某臺主機,然后再逐步入侵更重要的主機,獲得更高的訪問權(quán)限,這就是所謂的“城池常常被內(nèi)部所攻破”的原理。
我們這里就先探討一下,這種從內(nèi)部發(fā)起的感染或者入侵行為,如何被發(fā)現(xiàn)并進行防御和控制。首先來看一下,在內(nèi)部網(wǎng)絡中發(fā)生APT類型攻擊的步驟:
1、攻擊者利用系統(tǒng)的后門或者其它方式感染內(nèi)網(wǎng)終端,將惡意代碼帶入到企業(yè)網(wǎng)絡中;
2、惡意代碼在被感染終端上自動運行,進行端口掃描和尋找存在的漏洞,并不斷嘗試進行破解和入侵有漏洞的主機;
3、成功入侵到某些主機,并獲得比之前更高的訪問權(quán)限;
4、并重復執(zhí)行類似的動作,試圖侵入保存更重要信息的主機系統(tǒng);
5、攻擊者侵入重要的信息系統(tǒng),可以進行數(shù)據(jù)盜取或者發(fā)出各種控制指令。
由于這種來自內(nèi)網(wǎng)的滲透式的攻擊,采用了網(wǎng)絡嗅探的方式,通過掃描主機開發(fā)的 TCP 或 UCP 端口,尋找主機應用或服務上可能存在的漏洞,然后嘗試進行入侵和獲取應用或主機的訪問權(quán)限,所以這種攻擊具備了極大的隱蔽性,即使成功的侵入了存儲機密數(shù)據(jù)或關(guān)鍵應用的服務器,也很難被發(fā)現(xiàn)。
當然,所有的端口掃描或者異常訪問的網(wǎng)絡行為,必須通過網(wǎng)絡基礎架構(gòu),包括交換機、路由器或防火墻等網(wǎng)絡設備,那么必然在網(wǎng)絡上存在著流量行為,如果能夠?qū)⑦@些流量行為進行監(jiān)控、記錄和分析,從其中發(fā)現(xiàn)異常行為的蛛絲馬跡,再進一步就可以做到對威脅和攻擊的隔離或者攔截。
啟明星辰 FlowEye產(chǎn)品解決方案
通過在內(nèi)部網(wǎng)絡中部署網(wǎng)絡行為的采集器(簡稱為 流量探針),將內(nèi)部網(wǎng)絡中的所有訪問行為進行記錄,并進行集中的統(tǒng)計和分析,再基于專有的安全算法和大數(shù)據(jù)分析,檢測出威脅事件并進行告警。
下圖介紹了 FlowEye實現(xiàn)內(nèi)網(wǎng)異常行為檢測的實現(xiàn)原理:
在上圖中,所有的網(wǎng)絡流量都鏡像到FlowEye的流量探針上,完成對網(wǎng)絡中用戶、設備和流量的實時狀態(tài)進行感知,并提供快速的檢測。由 FlowEye集中數(shù)據(jù)中心通過大數(shù)據(jù)和專用安全算法,分析隱藏在大量訪問記錄中的異常行為。
在這個過程中,假如發(fā)生了內(nèi)網(wǎng)威脅類型攻擊時,F(xiàn)lowEye流量探針會收集并記錄訪問行為,然后發(fā)送到 FlowEye集中數(shù)據(jù)中心,F(xiàn)lowEye集中數(shù)據(jù)中心整合多臺FlowEye流量探針的流行為記錄信息,并通過與資產(chǎn)管理系統(tǒng)進行聯(lián)動,將流行為中相關(guān)的資產(chǎn)信息進行補全,然后與系統(tǒng)的安全基線進行分析,生成一個威脅指數(shù)值用來判定事件的嚴重程度。當威脅指數(shù)達到設定的閾值,系統(tǒng)會隨之產(chǎn)生報警事件,并在告警事件中提供相應的資產(chǎn)信息,從而讓用戶快速感知到內(nèi)網(wǎng)安全威脅。
啟明星辰FlowEye——用戶心目中最有價值的入侵分析安全產(chǎn)品!
- 周鴻祎領銜!百所高校+企業(yè)組團亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準,覆蓋6大類別37種方法
- 引領智能運維!全新FortiAIOps 3.0重新定義IT運營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報告(2024年)》
- 火狐中國終止運營:辦公地無人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標準化應用實踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時代!