如何在政企环境中主动发现入侵迹象?

2024-10-29 25 0

本文转载于:“再说安全”公众号,如有疑问请联系FreeBuf客服(freebee2022)

“如何在政企环境中主动发现入侵迹象?” 老外把这个叫做“威胁狩猎”,这也是政企主动防御的核心问题。根据笔者在国内政企多年的安全实践,总结为以下六个步骤(仅供参考):

编号
内容描述
步骤1: 建立对业务系统和网络正常运行的基线。

步骤2:

使用威胁情报来识别与特定威胁或威胁参与者相关的已知入侵指标 (IOC)。
步骤3: 监控日志、网络流量和端点遥测数据,寻找与基线行为的异常或偏差。
步骤4: 利用自动化工具(例如SOC 平台)来标记潜在的入侵指标。
步骤5: 定期进行威胁狩猎操作,以根据威胁情报、历史事件或已知的攻击模式主动搜索和发现入侵迹象。
步骤6: 对于发现的入侵迹象进行深入调查,以判断它们是否构成了安全事件。如果确实发生了安全事件,就启动相应的应急响应流程。

假设某金融行业银行用户根据上述步骤进行威胁狩猎的解读:

背景:

某大型国有银行,存储着海量用户金融数据,其核心业务系统一旦遭到入侵,将造成巨大的经济损失和社会恐慌。

目标:通过主动搜索入侵迹象,将防御阵线前移,将威胁扼杀在萌芽状态,保障银行系统和用户数据的安全。

步骤解析:

步骤 1:建立对业务系统和网络正常运行的基线。

将基线建立作为主动防御的战略基石,全面掌握网络环境的“常态”,才能识别“异动”,如同绘制网络世界的“地图”,才能发现异常的“地形”。成立专门的网络安全团队,由经验丰富的专家牵头,负责基线建立和维护工作。 明确责任分工,制定标准操作流程 (SOP)。多维度数据采集,包括系统日志、网络流量、用户行为、应用性能等,就像多角度观察网络世界,收集信息。利用安全信息和事件管理 (SOC) 平台、网络行为分析 (NTA/NDR) 工具等,分析采集的数据,建立网络环境的“行为画像”。制定基线更新机制,例如定期更新、根据系统变更更新等,确保“地图”的准确性和时效性。

假设:银行网络安全团队收集核心业务系统的用户登录日志,分析正常工作时间、登录用户角色、登录频率等信息,建立用户登录行为基线。 例如,发现运维人员通常在工作日早上 8 点至下午 6 点登录系统,并且平均每小时登录次数不超过 5 次。

步骤 2:使用威胁情报来识别与特定威胁或威胁参与者相关的已知入侵指标 (IOC)

将威胁情报作为主动防御的“千里眼”,及时掌握最新的攻击趋势、攻击者画像,提升防御的针对性。订阅专业的威胁情报服务,加入金融行业信息共享平台,与其他银行和安全机构进行信息交换,就像建立情报共享机制,扩大视野。分析威胁情报,提取与自身相关的 IOC,例如针对金融行业的攻击手法、恶意软件样本、攻击者使用的工具等。使用威胁情报平台 (TIP)  管理和分析 IOC 数据,并与安全信息和事件管理 (SIEM) 平台、入侵防御系统 (IPS) 等安全工具集成,实现自动化告警和拦截。制定威胁情报评估和应用流程,定期更新 IOC 数据库,并根据威胁情报调整安全策略。

假设:银行网络安全团队从威胁情报中发现,近期针对金融行业的攻击者常用一种名为 “FinSpy” 的恶意软件,该软件可以窃取用户的银行账户信息。 团队提取了该软件的哈希值和其他相关 IOC,并将其添加到安全系统中,以便及时检测和阻止该恶意软件的入侵。

步骤 3:监控日志、网络流量和端点遥测数据,以发现异常或与基线的偏差。

实时监控网络环境的“动态”,发现任何偏离“常态”的行为,就像时刻关注“地图”上的异常变化,例如地震、洪水等。建立 7*24 小时的安全监控中心 (SOC),由专业人员负责监控系统和网络活动,并及时处理告警信息。收集全面的监控数据,包括系统日志、网络流量、用户行为、应用性能等,并将其集中到 SIEM 平台进行分析。使用 SIEM 平台的规则引擎和机器学习算法,对监控数据进行实时分析,识别异常行为,并生成告警信息。制定告警处理流程,明确不同级别告警的处理流程和响应时间,并定期评估告警规则的有效性。

假设:银行网络安全团队通过SOC平台发现,凌晨 2 点有一个运维人员账户登录了核心业务系统,并且在短时间内进行了大量的数据库查询操作,这与该用户的登录行为基线明显不符,系统立即发出高危告警。

步骤 4:利用自动化工具(例如 SOC 平台或入侵检测系统)来标记潜在的入侵指标。

利用自动化工具提高安全监控和告警的效率,就像利用地震预警系统,快速识别潜在的地震活动。 为安全团队配备专业的安全分析师,并提供必要的培训,使其能够熟练使用SOC平台和NDR等工具。

根据步骤 2 中提取的 IOC,以及步骤 3 中发现的异常行为,配置 SOC 平台和入侵检测系统的告警规则,自动标记潜在的入侵指标。利用 SOC 平台的关联分析功能,将来自不同安全设备的告警信息进行关联,识别攻击链,并根据攻击的严重程度进行优先级排序。 定期评估告警规则的有效性,并根据新的攻击手段和防御策略进行调整,确保及时发现潜在的入侵指标。

假设:银行网络安全团队在 SOC 平台配置了针对 “FinSpy” 恶意软件的检测规则,一旦发现该软件的哈希值或其他 IOC,系统就会自动标记为高危事件,并通知安全分析师进行处理。

步骤 5:定期进行威胁狩猎操作,以根据威胁情报、过去的事件或已知的攻击模式主动发现和搜索入侵迹象。

将威胁狩猎作为主动防御的“侦察兵”,主动出击,寻找隐藏在网络环境中的攻击者,就像在战场上进行侦察,发现潜伏的敌人。组建专业的威胁狩猎团队,由经验丰富的安全专家组成,并配备必要的工具和资源,例如沙箱、取证工具等。根据威胁情报、过去的攻击事件和已知的攻击模式,制定威胁狩猎计划,明确狩猎目标、范围和方法。

使用高级威胁检测工具、数据分析工具、取证工具等,对网络环境进行深度分析,寻找攻击者的蛛丝马迹。将威胁狩猎纳入日常安全运营工作,定期进行狩猎行动,并记录狩猎过程和结果,不断改进狩猎策略。

假设:银行网络安全团队根据近期针对金融行业的攻击趋势,制定了一个威胁狩猎计划,重点关注利用 RDP 协议进行的攻击。 他们使用网络流量分析工具,对所有 RDP 连接进行监控,并结合用户行为分析,识别异常的 RDP 连接,例如连接时间异常、访问资源异常等,最终发现了一个攻击者利用 RDP 漏洞入侵了内部服务器。

步骤 6:调查任何已识别的入侵迹象,以确定它们是否代表安全事件,并在必要时启动事件响应流程。

建立有效的事件响应机制,就像制定应急预案,在发现入侵事件时能够快速响应,控制事态发展。 制定事件响应流程,明确每个环节的责任人和行动指南,并定期进行演练,提高团队的响应速度和效率。对所有标记的入侵指标进行调查,收集证据,分析攻击手法,评估攻击的影响范围。

使用取证工具、恶意代码分析工具等,对攻击事件进行深入分析,还原攻击过程,识别攻击者身份。根据调查结果,采取相应的措施,例如隔离受感染主机、修复漏洞、加强安全防御等,并及时向相关部门和监管机构报告事件情况。

假设:银行网络安全团队对凌晨 2 点的异常登录事件进行调查,发现攻击者使用了 stolen 的运维人员账户密码进行登录,并尝试窃取用户数据。 团队立即隔离了受感染主机,重置了该用户的密码,并加强了对该账户的监控。 同时,团队也向公安机关报案,并将事件情况报告给银监会。

总结

主动防御是一个持续改进的过程,需要不断学习新的攻击技术和防御手段,才能始终保持领先于攻击者,保障网络安全。


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论