Press "Enter" to skip to content

【交易技术前沿】基于实战攻防对抗场景的全流 量检测分析技战法应用实践

本站内容均来自兴趣收集,如不慎侵害的您的相关权益,请留言告知,我们将尽快删除.谢谢.

本文选自《交易技术前沿》总第四十二期文章(2020年12月)

 

刘新亮、陈凯晖、赵黎、杨媛媛、袁敏

 

国泰君安证券股份有限公司 [email protected]

 

一、应用实践背景

 

网络流量,每一个字节、每一个会话都记录了网络访问行为。因此,在企业日常安全运营中,通过对网络流量的深入检测和分析,发现和还原每一个异常访问会话,让攻击者的攻击行为无所遁形。

 

基于实战攻防对抗场景下,全流量检测分析攻击行为技战法的首要目标旨在通过流量检测系统实现网络和主机“零失陷”、敏感数据“零泄露”、整体防护“零扣分”,高质量完成防守任务;其次,在非核心系统被攻陷的情况下,通过流量检测系统对攻击行为分析溯源,还原攻击过程,快速阻断攻击方行动,收复防守失地,并及时进行溯源反制。

 

二、应用实践思路

 

围绕防守目标系统,由内到外、由点到面构建以“纵深异构+全栈溯源”的流量检测攻击技战法。

 

“纵深异构”即从外联区、办公区、DMZ区,再到业务区及核心靶标区流量纵深采集和检测,实现对攻击路径的全覆盖;对同一流量镜像点,部署具备不同检测算法和分析能力的检测系统进行异构分析,实现对攻击检测和查证进行相互验证、相互补短。“全栈溯源”搭建以全流量分析为基础的溯源体系,实现对任何入侵成功事件进行全路径、全流程的全栈溯源,最大限度收复防守失地和获得加分。

 

三、全流量检测分析系统部署两原则

 

1、确保业务生产连续性和防守平台高可用性

 

在实战攻防对抗中,防守方部署防守战略和战术的前提要确保业务生产安全稳定运行、防止系统性风险产生;并且确保防守平台整体在实战对抗期间7×24小时高可用,对任意攻击事件上报不遗漏,流量检测分析系统完整记录攻防对抗期间的所有原始数据,不遗漏任何攻击行为数据。

 

2、确保检测-分析-溯源-阻断-反制的事件闭环机制

 

确保对态势感知、流量检测、终端防护、威胁情报、入侵防御和溯源反制等系统的攻击事件进行关联分析与协同联动,形成检测-分析-阻断-溯源-反制的事件闭环流程。

 

四、全流量检测分析系统部署三步法

 

1.   流量采集梳理与评估验证

 

通过全流量检测分析系统对全网流量按照网络功能区进行梳理,并对某些特殊流量如靶标系统流量、邮件流量、DNS流量、SSL卸载后web流量、数据库访问流量进行单独镜像,形成从外到内、内到内、内到外、全局到专项的全流量采集。

 

通过多轮内部模拟演练以及在不同网络功能区间提供攻击测试流量,持续评估和验证流量覆盖面和精准性,不断完善流量采集区域,确保所有攻击暴露面以及区域边界的流量均能覆盖采集。

 

2.   修筑流量检测纵深防御异构防线

 

通过充分调研各流量安全检测系统的优缺点来组建优势互补的流量异构防护体系,同时对目标系统综合利用态势感知、终端防护、入侵防御等系统,形成态-管-端的核心防御战线,对目标系统的任何异常做到可防可控。

 

3.   构建协同预警及全栈溯源反制战线

 

以全流量检测分析为基础,结合蜜罐、、威胁情报等平台数据构建协同预警体系,对任意可能的入侵行为达到全局攻击路径溯源、全流程溯源反制的效果。

 

五、实战对抗全流量检测分析实践应用

 

在实战攻防对抗中充分利用前期构筑的以全流量检测、溯源分析为核心防守平台,对技战法的设计思路及谋略进行实践应用和实战验证。全流量检测分析实践应用示意图如下:

 

 

图1 全流量检测分析实践应用示意图

 

1、 攻击事件检测预警

 

通过全流量检测系统及其他各类检测设备对安全事件进行实时检测,并通过态势感知系统上报,实时发现各类攻击行为或疑似攻击行为。

 

2、攻击事件初步处置

 

在初步处置的同时,监控分析人员利用全流量分析系统对该攻击行为进行回溯分析,确认攻击是否成功及攻击影响范围,以协调进一步处理。具体方法如下:

 

1、提取线索

 

1)明确告警源:是谁检测出的告警?在哪个位置检测出的告警?触发了什幺告警?

 

2)明确告警类型:是需要进一步分析的关键告警(如漏洞攻击、木马后门等)还是佐证判断的告警(如扫描事件)?

 

3)0Day事件处理:获取0Day事件详情,本单位是否存在该漏洞及哪些系统存在该漏洞?第一时间将漏洞特征配置到流量检测系统。

 

2、全流量回溯数据

 

对一般攻击事件,通过提取攻击线索中的时间信息、源目IP地址、攻击指纹(UA、cookie等)等信息,进行深层次的全流量挖掘,提取对应的原始流量数据并进一步分析和挖掘。

 

对0Day事件,应及时通过全流量分析系统进行历史数据回溯,通过回溯结果提取攻击详情。

 

3、全流量攻击扩线

 

利用攻击特征获取攻击前后的原始通讯数据,分析攻击发生前后有无其他未告警攻击或异常行为,并提取通讯数据包,扩展战果。

 

利用攻击特征进行全局流量回溯,找出同源攻击行为,提取原始通讯数据包,进一步扩展战果。

 

4、全流量复盘攻击链

 

根据检测发现所有有价值的攻击行为和全局攻击数据,基于全流量数据关联分析,复盘整个攻击链。推演举例如下:

 

 

图2 全流量复盘攻击链示意图

 

3、应用及主机处置

 

如果通过全流量分析确认有主机或应用被攻击成功,应第一时间协调相关责任人进行应急处置,并通过失陷检测工具采集和分析被攻击信息。

 

4、攻击溯源与反制

 

综合利用全流量、蜜罐、威胁情报数据,对攻击者进行溯源画像分析。采集如下信息:

 

攻击IP:真实IP、代理或跳板IP、C2等

 

攻击路径:由外到内,由内到内,由内到外等所有攻击路径

 

攻击行为:信息收集、获取权限、横向移动等

 

攻击手法:Web渗透、0Day攻击、漏洞利用、钓鱼等

 

攻击者身份画像:虚拟身份、真实身份、联系方式、组织情况

 

通过溯源阶段掌握的攻击者信息对攻击者进行必要的反制,以获取更多攻击者的攻击线索,并反馈至防守体系中。

 

六、建立常态化全流量安全分析运营机制

 

1、健全持续性安全防守反馈机制

 

对实战攻防对抗期间的攻击数据进行收集、归纳、萃取,反馈至流量检测分析系统,形成持续性防守反馈机制,健全PPDR防护体系。

 

2、健全自动化检测与响应安全防护体系

 

健全以流量检测为基础、以威胁情报为辅助、以联动响应为枢纽的安全防护架构,基于防护核心打通安全产品之间的数据流程,形成日常运营中的自动化检测与响应安全防护体系。

 

总之,充分利用全流量分析技术提供的全流量检测能力及全流量记录(全量原始通讯数据)能力,结合威胁情报、蜜罐异常发现、主机安全检测、入侵防御检测、日志关联分析等,可实现对任意安全事件的精确记录、精准研判,从而快速发现安全事件根源,确定攻击手法及评估攻击损失,及时响应处置安全事件,形成安全事件处理的全流程闭环,有效提升防守方整体抗击外部攻击威胁的能力。

 

Be First to Comment

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注