青藤云安全:應(yīng)急響應(yīng),安全人員需要“降噪耳機(jī)”和“透視鏡”

黑客入侵企業(yè)的方式多種多樣,但是都逃不出攻擊鏈的五個步驟:滲透、偵查、橫向滲透、控制目標(biāo)、保留據(jù)點(diǎn)。當(dāng)然,攻擊者不必完成所有步驟,也不必完全按照這個順序執(zhí)行就可以實(shí)現(xiàn)入侵。

青藤云安全:應(yīng)急響應(yīng),安全人員需要“降噪耳機(jī)”和“透視鏡”

這個世界沒有絕對的安全,所有資產(chǎn)要么已經(jīng)被攻破,要么正處在被攻破的路上。而應(yīng)急響應(yīng)能在一定程度上緩解系統(tǒng)被黑客攻擊后帶來的負(fù)面影響。通常情況下,應(yīng)急響應(yīng)是指通過評估網(wǎng)絡(luò)安全事件的嚴(yán)重程度來確定受影響用戶和資產(chǎn)的范圍,然后提供補(bǔ)救措施阻止攻擊的過程,以便入侵者不再能夠訪問內(nèi)部網(wǎng)絡(luò)。

當(dāng)下企業(yè)“應(yīng)急響應(yīng)”兩大難題

在現(xiàn)如今的應(yīng)急響應(yīng)過程中,安全人員遇到兩大難題:一方面是企業(yè)資產(chǎn)無限膨脹導(dǎo)致響應(yīng)時候的精準(zhǔn)定位非常困難,其次是當(dāng)下安全工具誤報(bào)率高導(dǎo)致響應(yīng)的時候存在大量無效勞動。

1)資產(chǎn)爆發(fā)式增長帶來的困惑

隨著資產(chǎn)呈幾何級增長,傳統(tǒng)安全方案無法對復(fù)雜的、不同類型的、快速變化的資產(chǎn)攻擊面進(jìn)行管理。而那些暴露的資產(chǎn)就像一個氣球,企業(yè)的資產(chǎn)越多,面臨的攻擊面也就越大。

如果沒有完整的、詳細(xì)的主機(jī)資產(chǎn)清單,應(yīng)急響應(yīng)就是一句空話。任何人都無法保護(hù)“未知”東西的安全。雖然在過去很長一段時間內(nèi),在定義網(wǎng)絡(luò)邊界后,在封閉的IT環(huán)境中,對所有硬件、軟件和網(wǎng)絡(luò)元素進(jìn)行統(tǒng)計(jì)和監(jiān)視還是可控的。但是現(xiàn)在隨著云計(jì)算等新技術(shù)的快速發(fā)展,企業(yè)IT資產(chǎn)呈現(xiàn)幾何級增長,很多企業(yè)運(yùn)維人員、安全人員都說不清自己到底有多少資產(chǎn)。因此在發(fā)生安全事件后,也很難采取有效的應(yīng)急響應(yīng)。此時迫切需要一雙“透視鏡”,能夠深入看清、看透企業(yè)資產(chǎn)狀況。

2)大量誤報(bào)導(dǎo)致的無效勞動

一般來說,很多企業(yè)安全團(tuán)隊(duì)的規(guī)模都較小,大量誤報(bào)會消耗它們大量的精力而忽略了那些真正的威脅。比如,IDS/IPS每天可能會產(chǎn)生好幾萬個個警報(bào),這其中包含了大量誤報(bào)。這超出了大多數(shù)事件響應(yīng)人員的處理能力。此外,防火墻作為網(wǎng)絡(luò)安全防護(hù)的外圍墻,通常每分鐘會以數(shù)萬個事件的速度向syslog的注入大量內(nèi)容。分析處理這些海量數(shù)據(jù),這對于安全人員而言這是巨大挑戰(zhàn)。

在這樣的背景之下,安全人員在做應(yīng)急響應(yīng)時,需要戴“降噪耳機(jī)”,才能成功地把注意力集中到重要的事情上。即便對于那些擁有足夠資源的應(yīng)急響應(yīng)團(tuán)隊(duì),他們也不太可能安排人員調(diào)查來自SEIM、IPS或其它監(jiān)控方案每一個警報(bào)。

青藤云安全:應(yīng)急響應(yīng),安全人員需要“降噪耳機(jī)”和“透視鏡”

如何快速、輕松地完成應(yīng)急響應(yīng)的解決方案

青藤云安全提供豐富的專家級應(yīng)急響應(yīng)任務(wù)平臺,可通過統(tǒng)一管理平臺靈活分配響應(yīng)任務(wù),在幾分鐘內(nèi)完成應(yīng)急響應(yīng)工作。從本質(zhì)上講,青藤應(yīng)急響應(yīng)模型通過為每個事件添加上下文,并精確定位異常行為,來幫助安全人員進(jìn)行應(yīng)急響應(yīng),包括三個主要問題:

(1)用戶是誰?

(2)它們訪問哪些主機(jī)?

(3)用戶在這些主機(jī)上運(yùn)行哪些進(jìn)程?

青藤云安全:應(yīng)急響應(yīng),安全人員需要“降噪耳機(jī)”和“透視鏡”

一旦填充了這些數(shù)據(jù)集,應(yīng)用響應(yīng)模型就能得到很好應(yīng)用。例如,用戶從一個新的外國IP地址登錄,大多數(shù)SIEM解決方案都會發(fā)出警告,實(shí)際上僅憑這一條信息很難確認(rèn)該活動是惡意的還是良性的。通過青藤的應(yīng)急響應(yīng)模型,自動導(dǎo)入用戶、主機(jī)和進(jìn)程的上下文數(shù)據(jù),以幫助驗(yàn)證警報(bào)。

青藤云安全:應(yīng)急響應(yīng),安全人員需要“降噪耳機(jī)”和“透視鏡”

下面以一個黑客入侵為例,還原整體入侵操作過程。在整個入侵過程中, Webshell文件的操作記錄已被刪除,而二次產(chǎn)生的Rootkit十分隱蔽,給應(yīng)急響應(yīng)工作帶去極大麻煩。

(1)黑客利用Web漏洞入侵。

(2)上傳Webshell。

(3)利用Webshell制造高級后門Rootkit。

(4)清除日志并刪除上傳的Webshell。

通過青藤云安全快速應(yīng)急響應(yīng)平臺,通過將大數(shù)據(jù)中的進(jìn)程、服務(wù)、端口創(chuàng)建的過程、及訪問連接關(guān)系還原入侵過程。讓應(yīng)急響應(yīng)者清楚知道黑客是通過哪臺主機(jī)進(jìn)來,進(jìn)來后都進(jìn)行了哪些操作,可根據(jù)webshell訪問的時間節(jié)點(diǎn),對時間節(jié)點(diǎn)前后服務(wù)器上新增的文件及被篡改的文件進(jìn)行檢索和展示,快速定位可疑文件。

寫在最后

由青藤統(tǒng)一應(yīng)急響應(yīng)平臺進(jìn)行快速響應(yīng),能大幅度縮減響應(yīng)周期,可對安全入侵事件進(jìn)行快速反擊。同時,在響應(yīng)時可快速定位被入侵服務(wù)器所運(yùn)行的業(yè)務(wù)應(yīng)用及存在的漏洞風(fēng)險(xiǎn),為應(yīng)急響應(yīng)提供更多思路。此外,青藤還提供應(yīng)急響應(yīng)任務(wù)庫,將安全專家的應(yīng)急思維邏輯沉淀成各個任務(wù)項(xiàng),讓普通安全運(yùn)維人員也可進(jìn)行快速應(yīng)急響應(yīng)。

極客網(wǎng)企業(yè)會員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。

2019-10-25
青藤云安全:應(yīng)急響應(yīng),安全人員需要“降噪耳機(jī)”和“透視鏡”
黑客入侵企業(yè)的方式多種多樣,但是都逃不出攻擊鏈的五個步驟:滲透、偵查、橫向滲透、控制目標(biāo)、保留據(jù)點(diǎn)。

長按掃碼 閱讀全文