前言根据美国国防部的安全事件处理流程,攻击溯源是安全事件事后响应的重要环节,它还原攻击者的攻击路径,攻击方法在一定程度上。安全告警事件、漏洞视角、网络和主机级异常、APT攻击等,都可以帮助安全运维人员发现攻击源头,完成溯源。在传统的安全运营中,如果不知道黑客是如何进入系统的,就无法彻底杜绝安全隐患。从用户的角度来看,这种情况经常会遇到,尤其是当高层管理人员无法理解为什么安全事件接二连三出现时。那么增加对可追溯性的投资可以缓解这种情况。溯源从安全运营的角度切入细节分析。用户最想要的是通过对安全系统的分析,捕捉到整个攻击链事件。知道攻击路径和攻击手段。攻击阶段一般定义为:攻击入口、payload投递、提权、逃逸检测、未知权限、横向移动、远程公职、数据泄露、清除痕迹、冲击破坏。先说攻击入口。ATT&CK其实定义的很清楚。对于服务端攻击,最常用的方法有:@1、T1190、公开漏洞攻击&0day攻击(自定义扫描脚本,比如fastjson,HW这次用的比较多)漏洞等)@2、T1133、外部远程服务攻击(暴力破解)@3、T1078、合法账号攻击(弱密码/社工数据库)检测方式:@1、通过WAF检测漏洞入侵,或通过主机安全发现漏洞利用程序运行事件报警事件交由安全运营中心进行综合分析。@2。主机安全产品感知,暴力破解(SSH/RDP)成功,Redis执行异常命令,Java应用执行异常命令,Postgres导出功能被滥用写入可疑UDF库文件,Mysql导出功能被滥用写入可疑文件、Redis入侵后对Crontab的修改、Linux可疑命令序列、访问敏感文件、将告警事件发送至安全运营中心进行综合分析。@3。远程登录、异常IP、异常时间登录、弱密码账号登录,将告警事件发送至安全运营中心进行综合分析。处理方法:@1。当安全运营中心通过综合分析发现主机层面存在相关漏洞,且进程正在运行,部分网络层数据已经到达主机时,可以调用WAF阻断该IP的访问。@2。主机层暴力破解被阻断,目前主机安全软件都有。@3。禁用账号,有些攻击入口主要是通过入侵客户端再进入数据中心救国,也就是我们常说的APT攻击。T1189,水坑攻击T1093,附件钓鱼攻击,T1092链接钓鱼攻击,T1094,服务钓鱼攻击T1095,供应链攻击T1200,硬件添加攻击T1199,使用可靠的关系检测方法:需要通过OA中的终端安全产品来完成网络。同时,这部分告警日志需要接入安全运营中心进行分析。处置方法:隔离终端机真实海莲花(APT32)攻击事件,攻击链分析:T1093(附件钓鱼攻击)->T1037(安装木马)->T1563(横向移动)->T1189(水坑攻击)->T1567(Dataleakagethroughwebservices)由于篇幅有限,这是第一次分析。其他攻击技术可参照上述方法进行分析。为了在产品方案中实现攻击链分析和展示,我们需要形成攻击链的ATT&CK告警事件;为了获取ATT&CK告警事件,需要结合图形分析、时序分析、统计分析等多种计算形式;手工编写规则的加持;为了使自动或手动规则有更好的结果,我们需要提供有价值的基础数据。那么通过架构图可以展示整个产品方案:1.数据采集层主要分为两个层次:在网络层面,需要获取netflow流量信息,主要用于外部信息泄露监控。DNS对外请求的信息主要用于外联分析。HTTP流量分析对比IDS规则和威胁情报;https流量通过LB或硬件解密卡处理,比对IDS规则和威胁情报。更重要的一点是与CMDB资产服务进行连接,找到这些网络连接对应的主机。在主机层,对于Linux服务器,需要收集与主机进程相关的网络连接、文件访问、计划任务、账号、登录记录、软件信息等。可以将这些数据导入到图分析软件中分析攻击路径,根据不同时间段的过滤可以得出不同的结论。对于windows服务器,我们可以通过集成sysmon来收集指标来达到我们的目的,包括:宿主进程、宿主进程关联的网络连接、文件访问、注册表、命令行、DNS请求、WMI等。2、规则处理层是主要是安全操作人员编写ATT&CK攻击规则,通过规则转换器将其转换成上层分析引擎可以识别的机器语言。例如:T1168-本地作业调度有两种方法可以捕获Crontabreplace1.bash_history:跟踪命令“crontab”-您可能需要查找命令crontabindex=linuxsourcetype=bash_historybash_command="crontab*"|表主机,用户名,bash_command2。/var/log/cron:在cronlogsindex=linuxcrontabreplace3中查找“crontab”和“REPLACE”。/var.log/crom-跟踪CMD命令cat/var/log/cron|grep命令|cut-d""-f9|排序|uniq-c|sort-rn将为您提供在环境中运行的所有作业,其编号从高到低。您可以查找不属于白名单jobs.4的可疑工作。index=linuxsourcetype=bash_historyat3。规则引擎层可以将安全运营商在上一步编写的规则通过规则转换器进行转换。易于理解的规则被转换为机器可读的规则。4、业务展示层该部分主要有三个业务需求,ATT&CK攻击告警事件展示、攻击链展示、监管溯源查询。运维效率提升通过产品化的攻击溯源,安全运维人员投入较现有减少50%。
