隨著2021年安全演練的到來(lái)���,各行各業(yè)又要經(jīng)歷一次安全大考��。本文就網(wǎng)絡(luò)分析和網(wǎng)絡(luò)追溯技術(shù)進(jìn)行討論,看看上述技術(shù)在安全演練場(chǎng)景中有什么作用��。
在進(jìn)行安全演練前��,我們必須對(duì)自身的網(wǎng)絡(luò)資產(chǎn)進(jìn)行盤點(diǎn)����,看看我們需要對(duì)哪些設(shè)備與網(wǎng)絡(luò)進(jìn)行防護(hù)��。下面以中型企業(yè)為例���,看看中型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)�。
中型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)
以某中型金融企業(yè)的互聯(lián)網(wǎng)訪問(wèn)區(qū)為例���,該企業(yè)的互聯(lián)網(wǎng)訪問(wèn)區(qū)細(xì)分了DMZ區(qū)���、辦公上網(wǎng)區(qū)�、互聯(lián)網(wǎng)應(yīng)用接入?yún)^(qū)、合作伙伴接入?yún)^(qū)等�。由于互聯(lián)網(wǎng)訪問(wèn)區(qū)的暴露面多,導(dǎo)致接入途徑也較多����,如下圖所示:
絡(luò)分析與網(wǎng)絡(luò)追溯技術(shù)在安全演練中的應(yīng)用2.png)
每個(gè)獨(dú)立的接入?yún)^(qū)都配備了不同用途的安全探針�����,包含流量清洗����、WAF應(yīng)用防火墻���、IPS入侵防御系統(tǒng)���、防火墻等等。
除了上圖所示的互聯(lián)網(wǎng)訪問(wèn)區(qū)之外��,還有辦公樓層接入?yún)^(qū)��、核心交易區(qū)�、管理區(qū)、辦公服務(wù)器區(qū)�、語(yǔ)音區(qū)、研發(fā)測(cè)試區(qū)��、共享數(shù)據(jù)區(qū)等等區(qū)域��,如下圖所示:
絡(luò)分析與網(wǎng)絡(luò)追溯技術(shù)在安全演練中的應(yīng)用1.png)
通過(guò)對(duì)中型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的梳理��,我們不難看出,即便是一個(gè)中型網(wǎng)絡(luò)�,其復(fù)雜程度也很高,更不必說(shuō)大型網(wǎng)絡(luò)所涉及的內(nèi)外網(wǎng)交換����、不同地域的數(shù)據(jù)中心等等問(wèn)題。
網(wǎng)絡(luò)架構(gòu)的復(fù)雜程度�����,很大程度上決定了安全演練的難度系數(shù)�����。簡(jiǎn)言之����,網(wǎng)絡(luò)架構(gòu)越復(fù)雜,安全演練難度也隨之增加���。
那么在安全演練中,如果要使用流量分析技術(shù)(NTA)�,我們應(yīng)該遵循什么原則呢?
如何監(jiān)控安全演練中的網(wǎng)絡(luò)流量
打蛇打七寸��,攻城攻城門。在安全演練期間�,如果不能對(duì)繁雜的網(wǎng)絡(luò)實(shí)現(xiàn)全面覆蓋,就應(yīng)該針對(duì)核心門戶���、關(guān)鍵鏈路進(jìn)行重點(diǎn)關(guān)注�����。
通過(guò)對(duì)過(guò)往安全演練進(jìn)行經(jīng)驗(yàn)總結(jié)���,以下區(qū)域的流量在安全演練中需要重點(diǎn)關(guān)注。
互聯(lián)網(wǎng)接入?yún)^(qū)
互聯(lián)網(wǎng)接入?yún)^(qū)如同城邦的城門����,一座城往往不僅僅有一個(gè)門,一個(gè)企業(yè)的互聯(lián)網(wǎng)接入?yún)^(qū)勢(shì)必也是復(fù)雜的����,安全演練中有威脅的流量也往往通過(guò)這個(gè)門進(jìn)入到企業(yè)內(nèi)網(wǎng)。
在以往安全體系的建設(shè)中��,大量的安全設(shè)備�,也堆積到了互聯(lián)網(wǎng)的接入?yún)^(qū)。那么NTA技術(shù)還能補(bǔ)充哪些能力呢���?筆者認(rèn)為有兩大核心關(guān)鍵能力亟待補(bǔ)充��。
一是真正意義的全流量能力�����。目前很多安全產(chǎn)品都打著全流量的口號(hào)在宣傳�����,但并不能實(shí)現(xiàn)真正的全流量能力�,原因如下:
性能不足:真正的全流量對(duì)性能的要求非常高,存儲(chǔ)空間要很大���,存儲(chǔ)后要能分析和溯源��,現(xiàn)在的“全流量”安全產(chǎn)品往往口號(hào)喊得響����,但實(shí)現(xiàn)的時(shí)候都會(huì)打折扣�����。
必要性不夠:很多安全廠商認(rèn)為沒(méi)有必要做到真正意義的全流量分析,往往覺(jué)得只需要對(duì)檢測(cè)到的安全事件進(jìn)行存儲(chǔ)和溯源就可以了�,但在實(shí)際安全演練中有威脅的攻擊�,往往是無(wú)法檢測(cè)到的。
二是提供全流量的實(shí)時(shí)分析能力���。該能力強(qiáng)調(diào)全流量和實(shí)時(shí)性�,目前市場(chǎng)上的安全探針中����,甚少有安全系統(tǒng)提供全流量實(shí)時(shí)分析能力,其原因有兩點(diǎn):
性能問(wèn)題:全流量的實(shí)時(shí)分析需要同時(shí)滿足全流量與實(shí)時(shí)性兩大特征�,單單做到這兩點(diǎn),對(duì)硬件和軟件的整體要求就很高�����,再加上安全檢測(cè)和防護(hù)�����,實(shí)在是難上加難����。
全流量實(shí)時(shí)分析的部分高級(jí)應(yīng)用場(chǎng)景落地難:例如有了實(shí)時(shí)全流量分析,能夠快速、有效的評(píng)估互聯(lián)網(wǎng)暴露面�����,對(duì)于收斂暴露面是一大利器����;還例如有了實(shí)時(shí)全流量分析,能對(duì)互聯(lián)網(wǎng)流量分析的同時(shí)對(duì)內(nèi)網(wǎng)流量也進(jìn)行檢測(cè)�。大量的APT攻擊都證明,很多滲透行為在內(nèi)網(wǎng)中發(fā)生橫移的時(shí)候��,往往攻擊特征并不明顯���,例如慢速掃描等�����,但是這類行為的合規(guī)性���、合理性卻非常明顯。例如內(nèi)網(wǎng)主機(jī)�、服務(wù)器主動(dòng)發(fā)起的異常外聯(lián)等。
核心服務(wù)器區(qū)
在不同的網(wǎng)絡(luò)中核心服務(wù)器區(qū)的架構(gòu)可能是不同的��,根據(jù)服務(wù)器的屬性不同,往往會(huì)被劃分為不同的區(qū)域�,例如Web服務(wù)器區(qū)、中間件服務(wù)器區(qū)����、數(shù)據(jù)庫(kù)服務(wù)器區(qū)等���。這些區(qū)域的部署位置也不盡相同�����,例如Web服務(wù)器區(qū)往往在DMZ區(qū)����,中間件����、數(shù)據(jù)庫(kù)、App服務(wù)器等往往在內(nèi)網(wǎng)��。技術(shù)實(shí)現(xiàn)上也差異化很大���,有標(biāo)準(zhǔn)物理服務(wù)器����、虛擬化、Docker/k8s��、云(公有云���、私有云�、混合云)等等��。
根據(jù)部署區(qū)域��、部署方式的不同����,在采用NTA技術(shù)進(jìn)行核心服務(wù)器區(qū)流量監(jiān)控的時(shí)候,采用的技術(shù)手段也是大相徑庭����。
針對(duì)傳統(tǒng)物理服務(wù)器,往往直連物理交換機(jī)(接入交換機(jī)或核心交換機(jī))����,物理交換機(jī)的SPAN技術(shù)即成熟又便捷,配合流量采集���、流量編排系統(tǒng)����,很容易和IDS、數(shù)據(jù)庫(kù)審計(jì)等產(chǎn)品進(jìn)行聯(lián)動(dòng)���。
虛擬化����、Docker/k8s�����、云的情況就非常不同�����,它們的共性是沒(méi)有辦法直接通過(guò)物理交換機(jī)進(jìn)行SPAN�,因此獲取這類服務(wù)的流量就變得非常棘手���。目前主流的方案是依靠上述平臺(tái)的能力或者借助第三方插件的能力來(lái)實(shí)現(xiàn)�����。但上述手段往往都是通過(guò)隧道技術(shù)將進(jìn)出流量導(dǎo)流出來(lái)�,例如GRE、vxlan等等��,這就要求傳統(tǒng)的安全探針要能夠?qū)由鲜龇庋b流量���。
那么要建設(shè)真正的實(shí)時(shí)全流量分析和追溯系統(tǒng)應(yīng)該怎么做呢���?
NPMD產(chǎn)品在安全演練中的應(yīng)用
性能管理和全流量分析存儲(chǔ)是NPMD產(chǎn)品的主要應(yīng)用場(chǎng)景。因此�,從技術(shù)特性上來(lái)看,NPMD產(chǎn)品特別適用于安全演練場(chǎng)景中的全流量分析和回溯���。
首先NPMD產(chǎn)品天生具備高性能��。從市面上能調(diào)研到的NPMD產(chǎn)品來(lái)看����,其性能參數(shù)往往不摻水�,究其原因如下:首先NPMD產(chǎn)品在功能設(shè)計(jì)之初比較純粹,不包含安全檢測(cè)能力�����,講得更技術(shù)點(diǎn),NPMD產(chǎn)品沒(méi)有病毒庫(kù)��、規(guī)則庫(kù)等大量消耗性能的功能�;其次NPMD產(chǎn)品的存儲(chǔ)能力遠(yuǎn)強(qiáng)于傳統(tǒng)安全產(chǎn)品,其容量往往可達(dá)幾十個(gè)TB級(jí)別���。由于NPMD產(chǎn)品的大數(shù)據(jù)分析技術(shù)往往要求海量?jī)?nèi)存來(lái)支撐��,因此其存儲(chǔ)后的分析能力��,遠(yuǎn)超傳統(tǒng)安全產(chǎn)品��。
在去年某重點(diǎn)交通行業(yè)的安全演練行動(dòng)中,藍(lán)方在傳統(tǒng)安全探針全面啞火的情況下�����,使用天旦NPM進(jìn)行了攻擊鏈的溯源分析����,成了藍(lán)方最后的救命稻草。藍(lán)方通過(guò)天旦NPM海量原始數(shù)據(jù)存儲(chǔ)和分析�����,找到了紅方的攻擊證據(jù),在失分的情況下���,通過(guò)“發(fā)現(xiàn)類”和“消除類”規(guī)則實(shí)現(xiàn)了加分�����。
同時(shí)通過(guò)天旦NPM實(shí)現(xiàn)了暴露面收斂等功能�,在安全演練實(shí)戰(zhàn)中發(fā)現(xiàn)了很多問(wèn)題�����,譬如發(fā)現(xiàn)了多處違規(guī)上線系統(tǒng)�,將“可能風(fēng)險(xiǎn)”及時(shí)消除,避免違規(guī)上線系統(tǒng)被紅方利用��。
安全演練中重點(diǎn)要看哪些流量
安全演練中理論上應(yīng)將全部流量進(jìn)行關(guān)注�����,但往往由于條件所限無(wú)法全面落地���。因此��,按照業(yè)務(wù)重要性����,理應(yīng)優(yōu)先考慮互聯(lián)網(wǎng)出口流量。該區(qū)域重點(diǎn)是Web服務(wù)器區(qū)流量�,同時(shí)要考慮暴露面收斂,收斂的原則是合理收斂�,不能因?yàn)榘踩菥毝绊懻I(yè)務(wù);其次是針對(duì)內(nèi)網(wǎng)核心服務(wù)器的流量進(jìn)行監(jiān)控�,建議設(shè)置明確的端口白名單,并對(duì)所有服務(wù)器的外聯(lián)流量進(jìn)行重點(diǎn)審計(jì)����。
除此之外,在安全演練中還需時(shí)常注意以下幾類非正常的流量:
高危端口的訪問(wèn)流量���。高危端口其實(shí)主要是能夠直接提供訪問(wèn)����、文件傳輸�、管理設(shè)備和管理應(yīng)用的端口�,例如:ftp、snmp��、telnet���、遠(yuǎn)程桌面�,這類是系統(tǒng)管理及文件傳輸?shù)哪J(rèn)端口,一般按照合規(guī)要求���,這些數(shù)據(jù)不容許從外部網(wǎng)絡(luò)進(jìn)行訪問(wèn)����,產(chǎn)生了對(duì)應(yīng)的流量就需要非常警惕��。
非正常訪問(wèn)端口��。該端口需要進(jìn)行長(zhǎng)期比較來(lái)完成�,觀測(cè)日常訪問(wèn)數(shù)據(jù)中的流量及端口訪問(wèn)情況,通過(guò)日常訪問(wèn)的特征(訪問(wèn)時(shí)間��、頻率��、源及目的地址)來(lái)發(fā)現(xiàn)陌生端口和應(yīng)用的訪問(wèn)情況���。
突發(fā)節(jié)點(diǎn)的流量����。對(duì)于某一個(gè)系統(tǒng)日常流量是恒定的,如果某個(gè)時(shí)間段該業(yè)務(wù)的訪問(wèn)量突增�,那么極有可能是有掃描工具對(duì)該應(yīng)用進(jìn)行了外部安全掃描,這個(gè)時(shí)候應(yīng)該警惕�����。
外網(wǎng)異常的長(zhǎng)連接���。根據(jù)業(yè)務(wù)特性來(lái)判斷�����,一般業(yè)務(wù)屬于即時(shí)性業(yè)務(wù)�,在業(yè)務(wù)處理完成的時(shí)候主業(yè)務(wù)流程應(yīng)用會(huì)發(fā)送close關(guān)閉連接�,如果長(zhǎng)時(shí)間業(yè)務(wù)端口發(fā)送keep-alive,那么很可能是在進(jìn)行遠(yuǎn)控等工作�。
關(guān)注IP節(jié)點(diǎn)的數(shù)據(jù)窗口。該實(shí)際操作難度較高����,舉一個(gè)例子:以最新版本C2來(lái)看,該后門運(yùn)行后����,因?yàn)橛羞h(yuǎn)程桌面監(jiān)控功能,所以定期回傳的數(shù)據(jù)包內(nèi)容均為屏幕截圖�,因此長(zhǎng)期滑動(dòng)窗口會(huì)在最大值。
驗(yàn)證工作是網(wǎng)絡(luò)流量分析與追溯中的重要環(huán)節(jié)��。由于無(wú)法從單次流量中確認(rèn)該系統(tǒng)是否有足夠的風(fēng)險(xiǎn)�,因此某些時(shí)候需要通過(guò)流量回放(tcpreplay)來(lái)將不確定的數(shù)據(jù)包反向回灌到網(wǎng)絡(luò)中做二次檢測(cè)或者提取其中的數(shù)據(jù)包交給第三方安全廠商進(jìn)行進(jìn)一步的安全監(jiān)測(cè),當(dāng)然也可使用NPMD產(chǎn)品通過(guò)時(shí)間����、訪問(wèn)關(guān)系來(lái)迅速提取該部分流量。
------------------------------------------------------------------------------------------
詳情了解
山東朗坤信息系統(tǒng)有限公司
地址:濟(jì)南市高新區(qū)三慶齊盛廣場(chǎng)5號(hào)樓1004-1005室
電話:0531-88164377 88164277 88164177 88589658
技術(shù)支持:13806402160 15865251119
直線:0531-88164677
傳真:0531-88164577
E-mail:gao@sdlk.cn
網(wǎng)址:http://www.swchjjypx.cn
技術(shù)咨詢
