欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

怎樣利用架構(gòu)廉價的追蹤網(wǎng)絡(luò)中的入侵者

FreeBuf黑客與極客   發(fā)布時間:2016-06-01 14:04:44   作者:佚名   我要評論
在缺乏大量預(yù)算的前提下要怎樣追蹤網(wǎng)絡(luò)入侵者?這里有一個廉價的解決辦法:一旦架構(gòu)建立并且數(shù)據(jù)開始收集,網(wǎng)絡(luò)防御者可以在這些被動DNS數(shù)據(jù)上執(zhí)行大范圍的分析來追蹤網(wǎng)絡(luò)上的未知入侵

bear.threat.gif

由于依賴感染指標(biāo)(IOCs)的安全方法越來越不可靠,“突破口假設(shè)”成為業(yè)界公共的表示方法。 這種情況經(jīng)常發(fā)生,直到外部主機(jī)發(fā)現(xiàn)一個缺口并通知機(jī)構(gòu)之前,入侵都沒有辦法檢測到。作為基于簽名的解決方案和從第三方獲取問題信息的替代,網(wǎng)絡(luò)防御者需要來自于已經(jīng)進(jìn)入企業(yè)內(nèi)部的未知敵手的“突破口假設(shè)”。 給定越來越多攻擊者的目標(biāo)和個人信息,網(wǎng)絡(luò)防御者必須在已知IOC的基礎(chǔ)上擴(kuò)大搜索范圍,并且在他們的網(wǎng)絡(luò)中尋找未知的突破口。這個系統(tǒng)追蹤未知攻擊者的方法被叫做網(wǎng)絡(luò)攻擊追蹤。

對攻擊者的追蹤并非沒有難度,一些企業(yè)(防御者)認(rèn)為追蹤超出了他們的能力和資源。 防御者需要強(qiáng)大的工具篩選大量的數(shù)據(jù)來快速防御和處理威脅。一個功能齊全的追蹤平臺極大的提升了追蹤者的能力,但是安全預(yù)算有限并且公司不會總是投資有前途的技術(shù)。幸運(yùn)的是,有好幾種廉價的追蹤方式。

在這個月的SANS威脅追蹤和應(yīng)急響應(yīng)會議,Endgame解決了一些誤解并且描述了一些方法,安全專家可以在沒有大量的預(yù)算的前提下開始追蹤。這是這個系列的第一篇,告訴大家如何在你的網(wǎng)絡(luò)上廉價的追蹤入侵者。

IOC搜索的局限性

IOC是什么?

安全事件調(diào)查人員在安全事件應(yīng)急響應(yīng)過程中面臨的其中一個挑戰(zhàn)是,找一個有效的方法把所有調(diào)查過程中的信息組織起來,這些信息包括攻擊者的活動、所用的工具、惡意軟件、或者其他的攻擊指示器(indicators of compromise),簡稱IOC。

網(wǎng)絡(luò)層的安全有傳統(tǒng)的IOC相關(guān)搜索方法,比如域名黑名單,IP黑名單和一些CIDR,或者用Snort或者Bro來尋找惡意事件的相關(guān)簽名。隨著惡意技術(shù)的快速發(fā)展攻擊者的基礎(chǔ)設(shè)置越來越動態(tài)很難從合法服務(wù)器中區(qū)分開來,用網(wǎng)絡(luò)IOC來檢測威脅變得越來越難效果也越來越差。 也就是說,網(wǎng)絡(luò)IOC很快會被淘汰掉。 攻擊者經(jīng)常監(jiān)視他們的網(wǎng)絡(luò)資產(chǎn),一旦發(fā)現(xiàn)過濾清單,他們會遷移到其他的終端。一些攻擊者將攻擊程序分割放到每個攻擊目標(biāo)上,來減少相關(guān)的IOC信息。

云計算加劇了IOC搜索相關(guān)的挑戰(zhàn),攻擊者很容易就能從主機(jī)提供商處獲取IP地址。相似的,新的 ccTLD 和ICANN tld 只需要很少的信息校驗(yàn),使得這個變得更容易和廉價甚至是免費(fèi)的,并且由于WHOIS的隱私服務(wù)注冊者的信息不會被公開。

由于這些原因,我們需要更智能的方法,為了代替追蹤過去和搜索已知的錯誤,網(wǎng)絡(luò)防御者尋找模型和相關(guān)未知錯誤的信號。一旦識別到之前未知的惡意行為標(biāo)識,組織可以激活他們的響應(yīng)程序。

利用被動DNS追蹤

被動DNS有簡單的結(jié)構(gòu)化方法來捕獲這些信號和模式。被動DNS通過被動捕獲內(nèi)部DNS傳輸來重組DNS傳輸,從而收集數(shù)據(jù)。Florian Weimer在2005年第17屆FIRST會議上提出這項(xiàng)技術(shù)來緩解僵尸網(wǎng)絡(luò)的傳播。從那以后,很多安全組織開始通過在網(wǎng)絡(luò)中安裝DNS傳感器來收集被動DNS信息然后分析結(jié)果數(shù)據(jù)來生成威脅情報。在今天的威脅環(huán)境,被動DNS在追蹤威脅上非常有用。

被動DNS傳感器,本質(zhì)上捕獲DNS傳輸—53端口的UDP數(shù)據(jù)包(DNS)–然后將信息重組到單一的記錄,包含請求和響應(yīng)。我們已經(jīng)在兩個開源的傳感器上做了實(shí)驗(yàn)

l passiveDNS 

l sie-dns-sensor

我們有選項(xiàng)來收集重復(fù)的DNS請求(綠色部分)或者收集所有的DNS傳輸。

圖片23.png 

傳感器可以被安裝到網(wǎng)絡(luò)上可以使用嗅探器(比如tcpdump)來捕捉DNS流量的任何終端上。安裝傳感器最好的地方是本地DNS遞歸服務(wù)器,但是跨端口也會工作。

一旦傳感器收集到被動DNS數(shù)據(jù),它們必須合并并傳輸?shù)揭慌_機(jī)器上來分析和監(jiān)控。傳感器可以使用一個消息隊列(比如Kafka)來發(fā)布被動DNS記錄。這使得他可擴(kuò)展,松耦合—并且開源!這一架構(gòu)能讓任意數(shù)量的用戶獲得這個隊列然后分析數(shù)據(jù)來追蹤威脅。

廣泛的說,用于追蹤的數(shù)據(jù)有三個相關(guān)的應(yīng)用:

1. 長期的數(shù)據(jù)接收器

根據(jù)用例,長期存儲比如HDFS可以開啟大規(guī)模的分析來發(fā)現(xiàn)網(wǎng)絡(luò)中“什么是正常的”然后標(biāo)識歷史趨勢。將數(shù)據(jù)弄到ELK(Elasticsearch Logstash Kibana)棧來執(zhí)行搜索和趨勢分析是一個簡單的方法。這種快速搜索已知IOC的方法使用開源的棧,同時對任何偏離正常的值進(jìn)行異常檢測。

2. 監(jiān)視器

監(jiān)視器統(tǒng)計各種DNS傳輸,比如NXDOMAIN的數(shù)量,請求的字節(jié)數(shù),請求的數(shù)量,用戶請求數(shù)量,或者請求的分布 TLD,等等。 對理解每小時和每天的趨勢有極大的幫助。監(jiān)控應(yīng)用程序比如(Graphite)為不同的數(shù)據(jù)點(diǎn)生成圖表和統(tǒng)計信息,并允許我們主動標(biāo)識異常。

3. 實(shí)時威脅追蹤

這個用戶進(jìn)程在數(shù)據(jù)到來的時候,實(shí)時的記錄并檢測威脅,不斷的尋找惡意傳輸模式然乎執(zhí)行異常檢測。時間序列分析,使用鏈接庫比如Karios,幫助追蹤,檢測異常行為和所有的數(shù)據(jù)中斷或周期。

圖片24.png 

一旦架構(gòu)建立并且數(shù)據(jù)開始收集,網(wǎng)絡(luò)防御者可以在這些被動DNS數(shù)據(jù)上執(zhí)行大范圍的分析來追蹤網(wǎng)絡(luò)上的未知入侵。

相關(guān)文章

最新評論