安全事件溯源分析场景
随着俄乌地缘冲突、疫情因素导致网络安全问题越发严峻, 如北京健康宝在今年 4 月份和冬奥会等使用高峰期遭受来自境外的网络攻击,北京健康宝保障团队进行了及时有效应对,受攻击期间健康宝相关服务未受影响。
境外网络攻击主要有 DDOS 攻击与 APT 攻击。DDOS 攻击意图在于针对国内关键设施进行攻击破坏;APT 攻击(高级可持续威胁攻击)则是一种隐蔽性强、攻击量大的高级别网络攻击,意图主要在于对我国高新技术和政治军事领域的情报进行窃取。这种攻击往往会为了某个目标进行长久准备,通过一切方式(使用大量在野 0day 和未及时修复的高危漏洞进行攻击,攻击组织会不停的更新武器库和反检测技术,配合攻击供应链和高度定制化的钓鱼攻击等多种方法方式进行持续性攻击)绕过基于代码建构的传统安全方案,并更长时间地潜伏在系统中,让传统防御体系难以侦测。
无论是哪种攻击,攻击行为本质上还是属于数据的交互,而数据交互肯定会产生网络流量,那么,通过对流量的分析就可以顺藤摸瓜找出整个攻击行为。智维数据 nCompass 网络流量分析平台(简称“NPM”)通过旁路部署方式,在不影响现网业务的前提下,采集并分析网络流量数据,实现对网络流量可视化、异常流量访问行为的检测和溯源追踪取证。
像上文中提到过的 DDOS 攻击,智维数据 NPM 能够根据基线算法对 DDOS 流量攻击进行检测与预警机制,根据历史流量生成流量基线,突发的流量超过该基线可直接进行预警,通过 Syslog、Email、Kafka、企业微信、钉钉等方式进行告警通知;
图 1 基线展示图
图 2 根据基线配置告警图
而针对上文提到的 APT 攻击防御,平台可以使用智维数据的画像技术,画像立足访问关系发现攻击。不依赖传统命中特征库的方式发现异常,而是基于历史行为作为健康基线,专注发现新增的异常访问连接、展示新增异常访问的路径图,解决攻击组织通过 0day(或其他绕过检测的方法)进入内网,横向扩散,进行机密数据窃取问题。因为攻击组织想要窃取数据,必然要访问内部服务器信息,就会产生新增访问关系。NPM 能够针对新增访问的客户端 IP 地址联动漏洞扫描工具进行二次扫描并将扫描的初步结果,以 Syslog、Email、Kafka、企业微信、钉钉等方式发送告警通知,人工研判后加入白名单或应急处置;
图 3 新增发现异常访问行为
图 4 新增访问的访问关系路径图
若发现新增客户端的攻击行为,NPM 平台则可以根据访问路径图排查是否被横向渗透,还可以根据发现的攻击特征进行全网流量大检查,防止出现漏网之鱼。
以美国中央情报局(CIA)常用的“蜂巢”(Hive)恶意代码攻击控制武器平台为例子,美国中央情报局(CIA)攻击人员首先根据任务需求和目标平台特点,使用生成器(hive-patcher)生成待植入的定制化受控端恶意代码程序(即 hived)投放到被攻击的目标系统,自检可正常运行后进入静默期,等待远程攻击指令的唤醒,进行攻击行动(如 ilm connect X.X.X.X 连接被控端 IP,File delete 删除指定文件)。
智维数据 NPM 平台能够根据攻击指令特征配置相应的检索条件,并进行展示。
图 5 过滤符合特征的数据
图 6 过滤出来的效果图
在“蜂巢”脚本中能够发现被历史上用于控制“蜂巢”平台的服务器 IP 地址,然后使用智维数据 NPM 平台的 IP 地址回溯功能,查找近 3 个月是否有与该系列 IP 交互的数据;
图 7 过滤高危 IP 地址
若无则显示无数据,若有交互信息则显示具体的通讯情况;
图 8 无与该批次高危 IP 通讯的流量
若发现异常攻击流量,还可以下载数据包进行取证留存。
图 9 数据包取证留存
由此可见,智维数据 NPM 除了能够做到日常的网络流量监控、智能分析、智能告警和快速故障定位之外,针对重要的安全场景也能够起到很好的预警和回溯作用。无论事前、事中、事后,NPM 都能够快速提供有效的问题分析手段,帮助运维人员与相关安全部门提升运维效率、击破安全隐患,赋能国内网络环境的安全与稳定。
版权声明: 本文为 InfoQ 作者【智维数据】的原创文章。
原文链接:【http://xie.infoq.cn/article/4ecbb2c518e883a4cca6f0a5d】。
本文遵守【CC-BY 4.0】协议,转载请保留原文出处及本版权声明。
评论