怎樣利用架構(gòu)廉價(jià)的追蹤網(wǎng)絡(luò)中的入侵者

由于依賴感染指標(biāo)(IOCs)的安全方法越來越不可靠,“突破口假設(shè)”成為業(yè)界公共的表示方法。 這種情況經(jīng)常發(fā)生,直到外部主機(jī)發(fā)現(xiàn)一個(gè)缺口并通知機(jī)構(gòu)之前,入侵都沒有辦法檢測到。作為基于簽名的解決方案和從第三方獲取問題信息的替代,網(wǎng)絡(luò)防御者需要來自于已經(jīng)進(jìn)入企業(yè)內(nèi)部的未知敵手的“突破口假設(shè)”。 給定越來越多攻擊者的目標(biāo)和個(gè)人信息,網(wǎng)絡(luò)防御者必須在已知IOC的基礎(chǔ)上擴(kuò)大搜索范圍,并且在他們的網(wǎng)絡(luò)中尋找未知的突破口。這個(gè)系統(tǒng)追蹤未知攻擊者的方法被叫做網(wǎng)絡(luò)攻擊追蹤。
對(duì)攻擊者的追蹤并非沒有難度,一些企業(yè)(防御者)認(rèn)為追蹤超出了他們的能力和資源。 防御者需要強(qiáng)大的工具篩選大量的數(shù)據(jù)來快速防御和處理威脅。一個(gè)功能齊全的追蹤平臺(tái)極大的提升了追蹤者的能力,但是安全預(yù)算有限并且公司不會(huì)總是投資有前途的技術(shù)。幸運(yùn)的是,有好幾種廉價(jià)的追蹤方式。
在這個(gè)月的SANS威脅追蹤和應(yīng)急響應(yīng)會(huì)議,Endgame解決了一些誤解并且描述了一些方法,安全專家可以在沒有大量的預(yù)算的前提下開始追蹤。這是這個(gè)系列的第一篇,告訴大家如何在你的網(wǎng)絡(luò)上廉價(jià)的追蹤入侵者。
IOC搜索的局限性
IOC是什么?
安全事件調(diào)查人員在安全事件應(yīng)急響應(yīng)過程中面臨的其中一個(gè)挑戰(zhàn)是,找一個(gè)有效的方法把所有調(diào)查過程中的信息組織起來,這些信息包括攻擊者的活動(dòng)、所用的工具、惡意軟件、或者其他的攻擊指示器(indicators of compromise),簡稱IOC。
網(wǎng)絡(luò)層的安全有傳統(tǒng)的IOC相關(guān)搜索方法,比如域名黑名單,IP黑名單和一些CIDR,或者用Snort或者Bro來尋找惡意事件的相關(guān)簽名。隨著惡意技術(shù)的快速發(fā)展攻擊者的基礎(chǔ)設(shè)置越來越動(dòng)態(tài)很難從合法服務(wù)器中區(qū)分開來,用網(wǎng)絡(luò)IOC來檢測威脅變得越來越難效果也越來越差。 也就是說,網(wǎng)絡(luò)IOC很快會(huì)被淘汰掉。 攻擊者經(jīng)常監(jiān)視他們的網(wǎng)絡(luò)資產(chǎn),一旦發(fā)現(xiàn)過濾清單,他們會(huì)遷移到其他的終端。一些攻擊者將攻擊程序分割放到每個(gè)攻擊目標(biāo)上,來減少相關(guān)的IOC信息。
云計(jì)算加劇了IOC搜索相關(guān)的挑戰(zhàn),攻擊者很容易就能從主機(jī)提供商處獲取IP地址。相似的,新的 ccTLD 和ICANN tld 只需要很少的信息校驗(yàn),使得這個(gè)變得更容易和廉價(jià)甚至是免費(fèi)的,并且由于WHOIS的隱私服務(wù)注冊(cè)者的信息不會(huì)被公開。
由于這些原因,我們需要更智能的方法,為了代替追蹤過去和搜索已知的錯(cuò)誤,網(wǎng)絡(luò)防御者尋找模型和相關(guān)未知錯(cuò)誤的信號(hào)。一旦識(shí)別到之前未知的惡意行為標(biāo)識(shí),組織可以激活他們的響應(yīng)程序。
利用被動(dòng)DNS追蹤
被動(dòng)DNS有簡單的結(jié)構(gòu)化方法來捕獲這些信號(hào)和模式。被動(dòng)DNS通過被動(dòng)捕獲內(nèi)部DNS傳輸來重組DNS傳輸,從而收集數(shù)據(jù)。Florian Weimer在2005年第17屆FIRST會(huì)議上提出這項(xiàng)技術(shù)來緩解僵尸網(wǎng)絡(luò)的傳播。從那以后,很多安全組織開始通過在網(wǎng)絡(luò)中安裝DNS傳感器來收集被動(dòng)DNS信息然后分析結(jié)果數(shù)據(jù)來生成威脅情報(bào)。在今天的威脅環(huán)境,被動(dòng)DNS在追蹤威脅上非常有用。
被動(dòng)DNS傳感器,本質(zhì)上捕獲DNS傳輸—53端口的UDP數(shù)據(jù)包(DNS)–然后將信息重組到單一的記錄,包含請(qǐng)求和響應(yīng)。我們已經(jīng)在兩個(gè)開源的傳感器上做了實(shí)驗(yàn)
l passiveDNS
l sie-dns-sensor
我們有選項(xiàng)來收集重復(fù)的DNS請(qǐng)求(綠色部分)或者收集所有的DNS傳輸。
傳感器可以被安裝到網(wǎng)絡(luò)上可以使用嗅探器(比如tcpdump)來捕捉DNS流量的任何終端上。安裝傳感器最好的地方是本地DNS遞歸服務(wù)器,但是跨端口也會(huì)工作。
一旦傳感器收集到被動(dòng)DNS數(shù)據(jù),它們必須合并并傳輸?shù)揭慌_(tái)機(jī)器上來分析和監(jiān)控。傳感器可以使用一個(gè)消息隊(duì)列(比如Kafka)來發(fā)布被動(dòng)DNS記錄。這使得他可擴(kuò)展,松耦合—并且開源!這一架構(gòu)能讓任意數(shù)量的用戶獲得這個(gè)隊(duì)列然后分析數(shù)據(jù)來追蹤威脅。
廣泛的說,用于追蹤的數(shù)據(jù)有三個(gè)相關(guān)的應(yīng)用:1. 長期的數(shù)據(jù)接收器
根據(jù)用例,長期存儲(chǔ)比如HDFS可以開啟大規(guī)模的分析來發(fā)現(xiàn)網(wǎng)絡(luò)中“什么是正常的”然后標(biāo)識(shí)歷史趨勢。將數(shù)據(jù)弄到ELK(Elasticsearch Logstash Kibana)棧來執(zhí)行搜索和趨勢分析是一個(gè)簡單的方法。這種快速搜索已知IOC的方法使用開源的棧,同時(shí)對(duì)任何偏離正常的值進(jìn)行異常檢測。
2. 監(jiān)視器
監(jiān)視器統(tǒng)計(jì)各種DNS傳輸,比如NXDOMAIN的數(shù)量,請(qǐng)求的字節(jié)數(shù),請(qǐng)求的數(shù)量,用戶請(qǐng)求數(shù)量,或者請(qǐng)求的分布 TLD,等等。 對(duì)理解每小時(shí)和每天的趨勢有極大的幫助。監(jiān)控應(yīng)用程序比如(Graphite)為不同的數(shù)據(jù)點(diǎn)生成圖表和統(tǒng)計(jì)信息,并允許我們主動(dòng)標(biāo)識(shí)異常。
3. 實(shí)時(shí)威脅追蹤
這個(gè)用戶進(jìn)程在數(shù)據(jù)到來的時(shí)候,實(shí)時(shí)的記錄并檢測威脅,不斷的尋找惡意傳輸模式然乎執(zhí)行異常檢測。時(shí)間序列分析,使用鏈接庫比如Karios,幫助追蹤,檢測異常行為和所有的數(shù)據(jù)中斷或周期。
一旦架構(gòu)建立并且數(shù)據(jù)開始收集,網(wǎng)絡(luò)防御者可以在這些被動(dòng)DNS數(shù)據(jù)上執(zhí)行大范圍的分析來追蹤網(wǎng)絡(luò)上的未知入侵。
相關(guān)文章
手機(jī)停機(jī)一樣可以無限量免費(fèi)上網(wǎng)
手機(jī)停機(jī)一樣可以無限量免費(fèi)上網(wǎng) 現(xiàn)在向大家透露一個(gè)如何激活已停機(jī)卡的方法!?激活了以后就可以免費(fèi)上網(wǎng)了。注:《本人動(dòng)感地帶的卡已測,通過》! 首先2009-06-28- 手機(jī)病毒是病毒的一個(gè)分支,雖然其存在只有短短數(shù)年,但在將來很可能會(huì)隨著3G的推廣而大量涌現(xiàn)。 病毒類型:手機(jī)病毒 病毒目的:破壞手機(jī)系統(tǒng),狂發(fā)短信等2009-06-28
三星Android(安卓)手機(jī)系統(tǒng)鎖屏功能信息泄露風(fēng)險(xiǎn)的防范
安卓常見的九點(diǎn)鎖屏模式.不小心會(huì)被泄露信息哦2012-06-25- Android系統(tǒng)承襲了Linux開源操作系統(tǒng)的安全特性,并采用了層次化的方式來保證系統(tǒng)安全,本文將詳細(xì)介紹Android層次化安全架構(gòu)及其核心組件。2012-07-07
小米MIUI系統(tǒng)漏洞致大量系統(tǒng)、軟件和用戶數(shù)據(jù)泄露及修復(fù)方法
MIUI的刷機(jī)量很大.出現(xiàn)下面這個(gè)漏洞要及時(shí)補(bǔ)啊2012-07-30手機(jī)里的信息到底安不安全?手機(jī)數(shù)據(jù)泄露大揭秘
如果你給自己的手機(jī)設(shè)置了PIN碼,甚至忘記了連自己也解不開;又或者設(shè)置了比劃甚至指紋解鎖,然后以為這樣的手機(jī)就是安全的了。是的,對(duì)于一般的人來說算安全了,可是對(duì)于2016-06-03