怎樣利用架構(gòu)廉價的追蹤網(wǎng)絡(luò)中的入侵者

由于依賴感染指標(biāo)(IOCs)的安全方法越來越不可靠,“突破口假設(shè)”成為業(yè)界公共的表示方法。 這種情況經(jīng)常發(fā)生,直到外部主機(jī)發(fā)現(xiàn)一個缺口并通知機(jī)構(gòu)之前,入侵都沒有辦法檢測到。作為基于簽名的解決方案和從第三方獲取問題信息的替代,網(wǎng)絡(luò)防御者需要來自于已經(jīng)進(jìn)入企業(yè)內(nèi)部的未知敵手的“突破口假設(shè)”。 給定越來越多攻擊者的目標(biāo)和個人信息,網(wǎng)絡(luò)防御者必須在已知IOC的基礎(chǔ)上擴(kuò)大搜索范圍,并且在他們的網(wǎng)絡(luò)中尋找未知的突破口。這個系統(tǒng)追蹤未知攻擊者的方法被叫做網(wǎng)絡(luò)攻擊追蹤。
對攻擊者的追蹤并非沒有難度,一些企業(yè)(防御者)認(rèn)為追蹤超出了他們的能力和資源。 防御者需要強(qiáng)大的工具篩選大量的數(shù)據(jù)來快速防御和處理威脅。一個功能齊全的追蹤平臺極大的提升了追蹤者的能力,但是安全預(yù)算有限并且公司不會總是投資有前途的技術(shù)。幸運(yùn)的是,有好幾種廉價的追蹤方式。
在這個月的SANS威脅追蹤和應(yīng)急響應(yīng)會議,Endgame解決了一些誤解并且描述了一些方法,安全專家可以在沒有大量的預(yù)算的前提下開始追蹤。這是這個系列的第一篇,告訴大家如何在你的網(wǎng)絡(luò)上廉價的追蹤入侵者。
IOC搜索的局限性
IOC是什么?
安全事件調(diào)查人員在安全事件應(yīng)急響應(yīng)過程中面臨的其中一個挑戰(zhàn)是,找一個有效的方法把所有調(diào)查過程中的信息組織起來,這些信息包括攻擊者的活動、所用的工具、惡意軟件、或者其他的攻擊指示器(indicators of compromise),簡稱IOC。
網(wǎng)絡(luò)層的安全有傳統(tǒng)的IOC相關(guān)搜索方法,比如域名黑名單,IP黑名單和一些CIDR,或者用Snort或者Bro來尋找惡意事件的相關(guān)簽名。隨著惡意技術(shù)的快速發(fā)展攻擊者的基礎(chǔ)設(shè)置越來越動態(tài)很難從合法服務(wù)器中區(qū)分開來,用網(wǎng)絡(luò)IOC來檢測威脅變得越來越難效果也越來越差。 也就是說,網(wǎng)絡(luò)IOC很快會被淘汰掉。 攻擊者經(jīng)常監(jiān)視他們的網(wǎng)絡(luò)資產(chǎn),一旦發(fā)現(xiàn)過濾清單,他們會遷移到其他的終端。一些攻擊者將攻擊程序分割放到每個攻擊目標(biāo)上,來減少相關(guān)的IOC信息。
云計算加劇了IOC搜索相關(guān)的挑戰(zhàn),攻擊者很容易就能從主機(jī)提供商處獲取IP地址。相似的,新的 ccTLD 和ICANN tld 只需要很少的信息校驗(yàn),使得這個變得更容易和廉價甚至是免費(fèi)的,并且由于WHOIS的隱私服務(wù)注冊者的信息不會被公開。
由于這些原因,我們需要更智能的方法,為了代替追蹤過去和搜索已知的錯誤,網(wǎng)絡(luò)防御者尋找模型和相關(guān)未知錯誤的信號。一旦識別到之前未知的惡意行為標(biāo)識,組織可以激活他們的響應(yīng)程序。
利用被動DNS追蹤
被動DNS有簡單的結(jié)構(gòu)化方法來捕獲這些信號和模式。被動DNS通過被動捕獲內(nèi)部DNS傳輸來重組DNS傳輸,從而收集數(shù)據(jù)。Florian Weimer在2005年第17屆FIRST會議上提出這項(xiàng)技術(shù)來緩解僵尸網(wǎng)絡(luò)的傳播。從那以后,很多安全組織開始通過在網(wǎng)絡(luò)中安裝DNS傳感器來收集被動DNS信息然后分析結(jié)果數(shù)據(jù)來生成威脅情報。在今天的威脅環(huán)境,被動DNS在追蹤威脅上非常有用。
被動DNS傳感器,本質(zhì)上捕獲DNS傳輸—53端口的UDP數(shù)據(jù)包(DNS)–然后將信息重組到單一的記錄,包含請求和響應(yīng)。我們已經(jīng)在兩個開源的傳感器上做了實(shí)驗(yàn)
l passiveDNS
l sie-dns-sensor
我們有選項(xiàng)來收集重復(fù)的DNS請求(綠色部分)或者收集所有的DNS傳輸。
傳感器可以被安裝到網(wǎng)絡(luò)上可以使用嗅探器(比如tcpdump)來捕捉DNS流量的任何終端上。安裝傳感器最好的地方是本地DNS遞歸服務(wù)器,但是跨端口也會工作。
一旦傳感器收集到被動DNS數(shù)據(jù),它們必須合并并傳輸?shù)揭慌_機(jī)器上來分析和監(jiān)控。傳感器可以使用一個消息隊列(比如Kafka)來發(fā)布被動DNS記錄。這使得他可擴(kuò)展,松耦合—并且開源!這一架構(gòu)能讓任意數(shù)量的用戶獲得這個隊列然后分析數(shù)據(jù)來追蹤威脅。
廣泛的說,用于追蹤的數(shù)據(jù)有三個相關(guān)的應(yīng)用:1. 長期的數(shù)據(jù)接收器
根據(jù)用例,長期存儲比如HDFS可以開啟大規(guī)模的分析來發(fā)現(xiàn)網(wǎng)絡(luò)中“什么是正常的”然后標(biāo)識歷史趨勢。將數(shù)據(jù)弄到ELK(Elasticsearch Logstash Kibana)棧來執(zhí)行搜索和趨勢分析是一個簡單的方法。這種快速搜索已知IOC的方法使用開源的棧,同時對任何偏離正常的值進(jìn)行異常檢測。
2. 監(jiān)視器
監(jiān)視器統(tǒng)計各種DNS傳輸,比如NXDOMAIN的數(shù)量,請求的字節(jié)數(shù),請求的數(shù)量,用戶請求數(shù)量,或者請求的分布 TLD,等等。 對理解每小時和每天的趨勢有極大的幫助。監(jiān)控應(yīng)用程序比如(Graphite)為不同的數(shù)據(jù)點(diǎn)生成圖表和統(tǒng)計信息,并允許我們主動標(biāo)識異常。
3. 實(shí)時威脅追蹤
這個用戶進(jìn)程在數(shù)據(jù)到來的時候,實(shí)時的記錄并檢測威脅,不斷的尋找惡意傳輸模式然乎執(zhí)行異常檢測。時間序列分析,使用鏈接庫比如Karios,幫助追蹤,檢測異常行為和所有的數(shù)據(jù)中斷或周期。
一旦架構(gòu)建立并且數(shù)據(jù)開始收集,網(wǎng)絡(luò)防御者可以在這些被動DNS數(shù)據(jù)上執(zhí)行大范圍的分析來追蹤網(wǎng)絡(luò)上的未知入侵。
相關(guān)文章
手機(jī)停機(jī)一樣可以無限量免費(fèi)上網(wǎng)
手機(jī)停機(jī)一樣可以無限量免費(fèi)上網(wǎng) 現(xiàn)在向大家透露一個如何激活已停機(jī)卡的方法!?激活了以后就可以免費(fèi)上網(wǎng)了。注:《本人動感地帶的卡已測,通過》! 首先2009-06-28- 手機(jī)病毒是病毒的一個分支,雖然其存在只有短短數(shù)年,但在將來很可能會隨著3G的推廣而大量涌現(xiàn)。 病毒類型:手機(jī)病毒 病毒目的:破壞手機(jī)系統(tǒng),狂發(fā)短信等2009-06-28
三星Android(安卓)手機(jī)系統(tǒng)鎖屏功能信息泄露風(fēng)險的防范
安卓常見的九點(diǎn)鎖屏模式.不小心會被泄露信息哦2012-06-25- Android系統(tǒng)承襲了Linux開源操作系統(tǒng)的安全特性,并采用了層次化的方式來保證系統(tǒng)安全,本文將詳細(xì)介紹Android層次化安全架構(gòu)及其核心組件。2012-07-07
小米MIUI系統(tǒng)漏洞致大量系統(tǒng)、軟件和用戶數(shù)據(jù)泄露及修復(fù)方法
MIUI的刷機(jī)量很大.出現(xiàn)下面這個漏洞要及時補(bǔ)啊2012-07-30手機(jī)里的信息到底安不安全?手機(jī)數(shù)據(jù)泄露大揭秘
如果你給自己的手機(jī)設(shè)置了PIN碼,甚至忘記了連自己也解不開;又或者設(shè)置了比劃甚至指紋解鎖,然后以為這樣的手機(jī)就是安全的了。是的,對于一般的人來說算安全了,可是對于2016-06-03