安全设备篇——态势感知
今天开始水一个新的系列,安全设备。其实网上很多有关安全设备的帖子,且各大厂家官网的产品详情也是介绍的清清楚楚的,开启此篇章的目的(除了水)主要是给刚入门的小师傅们尽可能通俗易懂的介绍各类安全设备的用途,而今天的主角就是——态势感知。
态势感知是安服仔们必然不可能避得开的一个设备,hw也好,996马楼也好,可以说哪怕你别的设备全都没见过,不知道不打听不感兴趣,也绝对不可能没有看过态感、没分析过数据包、没写过安全报告。就拿鼠鼠在的单位举个例子,鼠鼠我呀除了态势感知也没权限操作别的安全设备了🙊sad monkey。 先粘一段百度对态势感知词条的解释: “态势感知安全设备是一种集传感器、算法、数据分析为一体的智能安全监控系统。它可以通过对周边环境的实时监测,对异常行为或威胁进行及时预警和响应。该设备可用于保护企业、机构和政府等各类场所的安全,包括物理安全和网络安全。” 放上一张百度来的图片,态感基本都长这样:
两个关键词分别是:“传感器”、“数据分析”。理解了这两个词就相当于理解了态势感知是干什么的了。 传感器 传感器其实就是探针,探针用来镜像流量,而态感就通过读取探针镜像的流量来分析数据的。这里涉及到一个态势感知部署方式的问题,分为旁路部署和直连部署,绝大部分情况下都是旁路部署。直连很好理解,直接在流量经过的地方,比如交换机、防火墙出口拿两根网线一插就完事,这样做的坏处就是态势感知如果挂掉那网络也会断掉,影响业务。旁路部署就是态势感知并不能直接读取到网络流量,而是间接的将流量镜像到探针上,通过探针来获取流量,这样的好处是既不会影响业务,也可以通过多部署探针的方式获取到尽可能全的流量数据。 数据分析 重点来了,其实光看上面的部分很多人会觉得态势感知和全流量设备很像(以师傅们的视角其实理解成小鲨鱼就行了,就是流量分析设备),其实本质上最核心的部分确实差不多,而之所以把态感和全流量设备能区分开的,就是数据分析,可以说就是核心的ids技术。态势感知内置了很多种payload以及自定义规则去检测流量中是否存在攻击威胁,刚好鼠鼠我毕设就自己写了个很水的态感交上去,以下图片就是我当时自写的规则库:
说的稍微儿童一点,以图片中的规则为例子,就是态势感知会去看流量中有没有这些payload,如果有就判断为sql注入嘛,我这里写的比较水,当时实习也没什么空搞这玩意,应该分的细一点的,比如联合注入啊盲注之类的。 剖析一下,态势感知规则库检测的底层原理就是if xx else xx,没了!当然了,现在态势感知的规则库都是很快就更新的,几天一更甚至一天几更都是很正常的,这也是在用量去保证规则覆盖的全面,这也引出了下一个问题:
“误报”。
关于误报
误报也是每一个安服仔的必修课,鼠鼠的第一篇文章就是关于误报的。感兴趣的朋友可以看看,附上链接:
https://blog.csdn.net/qq_61807674/article/details/137222970?utm_source=miniapp_weixin
误报是因为规则库是静态匹配规则,一旦传输内容中出现了某些内容匹配上了就会告警,我和一个做安全开发的朋友聊了聊,现在市面上主流的态感产品暂时还是避免不了这个问题,当然了这也是个趋势,ah的恒脑据说不就是要成为所有吗喽的噩梦🙈。说回正题,现在态势感知基本的更新模式(仅针对规则库一类)主要还是叠加形式的更新,除非已有的匹配库是错误的或者已证实规则不构成任何安全影响(可能性极低),不然都是在原有的基础上加上新的规则。
正因为规则库的不灵活和单一,所有才需要加入安服人员们(吗喽们)的人工干涉判断,即研判,有关研判的部分暂且挖个坑,之后会在单独的篇章里叙述。
联动处置
关于联动我目前接触比较深的是sxf的态感,可以和自家edr、xdr、防火墙等设备联动,也能接入云端,甚至能接入其他厂家的部分安全产品,鼠鼠就看同事接入过一个蜜罐。联动处置的意义是:态势感知并不具备阻断功能,且如果出现内网攻击行为态势感知是有可能无法检测到的。再有就是如果出现了木马外联、病毒感染这样的主机安全事件,更像是edr设备的主场,edr可以将病毒或木马的路径上报给态势感知,最后通过安服人员的研判就可以很轻松的排查病毒的位置,精确到路径。
不管是面试经or实际应急响应,联动处置在鼠鼠个人观点看来都是很重要的知识点,墨守陈规byd是坏事,在积累和继承前人经验的同时也要更新自己,看清楚趋势,究其物理,咱也不能总当只猴子呀🐒。
总结
这一篇全文会通俗很多,并没有着重去描写日常使用场景及案例,主要是介绍设备本身功能和用途,为入门级别的小伙伴扫扫盲罢,各大安全厂家自己学的使用手册还是推荐大家去看一看,目前主流的厂家做出的态感还是存在一定差别,产品思路和未来研究方向上还是以减少人工介入为主,在这点上某步和某所的产品推荐大家了解一下。