前言
你怎么知道你的公司是否被侵入?是的,没有人来到“黑”,或者因为它不足的感性感,不可能找到它?事实上,入侵检测对于每个大型互联网企业来说是一个严重的挑战。价值的价值越高,侵犯威胁越大,即使雅虎是互联网的鼻祖先,仍然在结束时仍然是一个全部数据被盗(获取)。一旦互联网公司成功地“入侵”,一旦互联网公司成功,后果将是难以想象的。
基于“攻击和防御对抗”的考虑,本文不会提及特定入侵检测模型,算法和策略,以及希望移动“入侵战略”的人可能会失望。但是,我们将分享一些操作思路,请联系我们,如果您可以帮助后来的人,最好是,您也欢迎大家交换讨论。
入侵定义
典型的入侵情景:
黑客远离网络远程控制目标的笔记本电脑/移动/服务器/网络设备,还远远读取目标的隐私数据,或使用目标系统上的功能,包括使用移动电话的麦克风。使用摄像机偷窥监控目标,使用目标设备计算能力,使用目标设备网络功能来启动DDOS攻击等。al或单独,服务密码也破解,进入敏感信息,控制访问控制/ 红绿灯。这些都是经典的入侵场景。
我们可以提供侵入:它是一种控制,使用我们的资源(包括但不限于读写数据,执行命令,控制资源等)来控制,以在未经授权的情况下实现各种目的。一般而言,黑客使用SQL注入漏洞来窃取数据,或在ISP中的目标域名中获取帐户密码,以将DNS指向一个黑页,或查找目标社交帐户,在Weibo / QQ /邮箱上未经授权对虚拟资产的控制是一类入侵。
企业入侵检测
公司入侵检测的范围,在大多数情况下更狭窄:通常指的是控制PC,系统,服务器,网络(包括办公网络,生产网络)的黑客行为。
黑客控制主机资产的控制,如PC,服务器,最常用的方法是通过shell执行指令并获取名为getShell的shell的此操作。
例如,通过上传Web服务的漏洞,获取WebShell,或直接使用RCE漏洞以执行命令/代码(RCE壳体由环境提供。另外,在某种程度上,首先植入“木马后门”,然后是特洛伊木马的集成壳体功能来瞄准遥控器,这也是典型的。
因此,入侵检测可以专注于GetShell成功后的GetShell的动作和恶意行为(为了扩展结果,有多少黑客将使用shell检测,翻转偷窃,水平移动攻击其他内部目标,这些差异也可以作为一个重要特征)。
报告GetShell之前有一些同行(包括商业产品),一些“外部扫描,攻击检测和试验行为”,而且名称“情境感知”告诉公司,有人“试图攻击”。在作者的眼中,实际值并不大。许多公司,包括美国集团,基本上是一个“身份不明”的攻击,知道某人是“尝试”攻击,如果它没有有效行动,无法有效报警,除了支出心之外,还没有太大的实用价值。
当我们习惯“攻击”是正常的时,我们将解决如此正常状态的问题。可以使用哪些强化策略,这可以实现规范化的操作,如果有任何无法标准化的策略,例如许多人加班临时攻击标准,那么许多战略将逐渐消失。不要与我们一起做这个策略,没有必要的差异。
类似于SQL注入,XSS等。不是直接GetShell的Web攻击,暂时不在狭义“入侵检测”考虑中,建议传播“漏洞”,“威胁意识”等领域,以及离散。当然,使用SQL注入,XS和其他入口,我们仍然掌握GetShell的关键点,不必处于漏洞中。
“入侵”和“内鬼”
靠近入侵的情景是“内幽灵”。入侵本身就是一种手段,GetShell只是起点,黑客GetShell的目标是窃取资源的控制和数据。和“内幽灵”自然具有法律权限,可以法律上暴露于敏感资产,但它们是非法处理的,包括复制,转移,篡改,篡改和篡改数据。
内幽灵不是在“入侵检测”中,通常从内部风险控制的角度管理和审计,例如分离,双重审计等。还有数据默认产品(DLP))辅助,这里没有讨论这一点。
有时黑客知道,员工有一个有权联系目标资产,他们肯定会攻击A,然后使用A的权限来窃取数据,这也是定性的“入侵”。毕竟,A不是主观恶意的“内幽灵”。如果您无法捕获黑客A,或者您无法区分黑客控制的窃取数据和普通员工访问数据,则入侵检测也失败。
入侵检测
上述已经谈过,入侵是黑客可以在未经我们同意的情况下运营我们的资产,并且对手段没有限制。所以如何找到入侵和法律正常行为之间的差异,将其与法律行为分开,是“入侵发现”。在算法模型上,这是标签问题(入侵,非入侵)。
遗憾的是,侵入这个动作的“黑色”样本特别罕见,很难通过大量标记数据找到入侵的规则。因此,入侵检测策略开发人员通常需要投资大量时间,改进更准确的表达模型,或花更多的能量来构造“类似入侵”的模拟数据。
一个经典的例子是,为了检测WebShell,安全从业者可以在GitHub上搜索一些公共网站示例,其中一些小于1000.这些数据远远低于学习数百万培训的机器的培训需求。此外,这些样本在GitHub上,来自技术技术,通过单一的技术方式产生大量类似的样品,并且一些对抗方法缺失。因此,这样的训练,试图使AI通过“大量样品”掌握WebShell的特征,并以原则为单位区分,不太可能完全实现。
此时,对已知样品进行技术分类,精炼更精确的表达式,称为传统特征项目。传统的功能项目通常被认为是致力的劳动力,但毕竟效果往往更稳定,添加了一个技术功能,以稳定一类网斯贝尔。并构建大量恶意样本,虽然有机器学习,但在实际环境中,往往难以成功:自动生成的样本很难描述WebShell原装的含义,大多数描述自动生成的算法功能。在另一方面,入侵是看行为本身是“授权”的,授权与否本身并不重要的区别。因此,在进行侵入性对抗时,如果能够通过某种增强能力会聚对有限通道的合法访问,并且对信道的强大区别可以大大降低入侵检测的成本。例如,对访问源的严格认证,自然人或计划API是否需要合法的账单,同时发送账单,在不同情况下,不同情况下的认证和授权,并使用IAM记录和监控这些账单访问范围,并且可以生成更底层的日志DO进行异常访问的模型感知。
这种全生命周期的风控制模型也是谷歌的超级专业边境网络的前提和基础。
因此,有两个入侵检测的主要思想:
模式匹配根据黑色特殊(例如,WebShell关键字匹配)。
根据业务历史行为(生成基线模型),入侵行为异常(非白色),如果业务的历史不收敛,请使用加强手段汇聚,然后挑选出不合规的异常行为。
入侵检测和攻击矢量
根据目标,可能暴露于黑客的攻击表面将是不同的,并且可以采用的黑客入侵是完全不同的。例如,侵入我们的PC /笔记本电脑,在计算机室/云上的服务器,攻击和防御之间存在相当大的区别。
对于清晰的“目标”,可以有限地访问它的通道,并且攻击的必要路径也是有限的。 “攻击方法”+“攻击面”的组合被称为“攻击向量”。
因此,当入侵检测模型效果时,需要清除攻击向量,并为不同的攻击路径收集相应的日志(数据),并且可以执行相应的检测模型。例如,基于SSH登录的shell命令数据集不是检测WebShell的行为。基于网络流量采集数据,不可能通过在SSH之后在shell环境中执行黑客是否在shell环境中执行。
基于此,如果有没有特定场景的业务,这意味着APT感知模型显然是“吹嘘”。
因此,入侵检测首先列出各种攻击,每个分段场景收集数据(HIDS + NIDS + WAF + RASP +应用层日志+系统日志+ PC......),再次结合公司的实际数据特征,使相应的测试模型适应公司的实际情况。不同的公司的技术堆栈,数据尺寸和暴露的攻击面将对模型产生重大影响。例如,许多安全工作者特别擅长PHP下的WebShell检测,但他们是一家基于Java的公司......
常见的入侵技术和响应
如果黑客的常见入侵方法理解不足,很难说话,有时它甚至会陷入“政治正确”的陷阱。例如,渗透测试团队表示我们做了一个动作,你没有找到它,所以你不能这样做。实际情况是,场景可能不是一个完整的入侵链,即使动作找不到动作,就没有影响入侵检测效果。每次攻击传染媒介对公司有害,如何发生概率,解决其成本和收入,这需要专业经验来实现支持和决定。
现在简要介绍,黑客入侵教程中的经典过程(完整进程可以提及杀戮链模型):
在入侵目标之前,黑客可能不够知道,所以第一件事通常是“踩踏”,这是收集信息,加深理解。例如,黑客需要知道哪些资产(域名,IP,服务)有自己的状态,是否有报名的漏洞,他们管理它们(以及如何管理),已知泄漏信息(例如社交中的密码)工人等)......
一旦重点完成,熟练的黑客将旨在旨在获得各种资产,酿造的可行性,并验证“攻击向量”的可行性,列出了常见的攻击方法和防御建议。
高风险服务入侵
所有公共服务都是“高风险服务”,因为协议或协议的开源组件可能具有已知的攻击方法(高级攻击者甚至具有相应的0日),只要您的值足够高,黑客有足够的电力和资源挖掘,然后在向互联网上打开高风险服务时,它相当于打开黑客的“大门”。
例如,SSH,RDP这些操作和维护管理相关服务旨在向管理员设计,只要您了解您的密码/秘书,任何人都可以登录服务器,然后完成入侵。黑客可以通过猜测密码来获得凭证(与社会主义库的信息披露相结合,网络盘检索或暴力裂缝)。事实上,这种类型的攻击太常见了。黑客长期以来一直是全自动全网扫描蠕虫工具。如果设置了在云上购买的主机,通常会在几分钟内感染蠕虫。这是因为这种自动攻击者太多了。
也许你的密码非常强烈,但这并不是你可以继续将服务暴露在互联网上。我们应该限制这些端口,只允许您的IP(或内部堡垒主机)访问,完全损坏黑客通过侵入我们的可能性。
同样,MySQL,Redis,FTP,SMTP,MSSQL,Rsync等,所有用于管理服务器或数据库的所有服务,都不应该向Internet开放。否则,基于蠕虫的攻击工具将在短短几分钟内突破我们的服务,甚至直接加密我们的数据,甚至要求我们支付比特币,勒索敲诈勒索。
还有一些高风险的服务与RCE漏洞(远程命令执行),只要端口打开,黑客可以使用现成的开发,直接GetShell,完整的入侵。
辩护建议:对于每个高风险服务,入侵检测成本高,因为具体指高风险服务非常多,并且不一定是一般特征。因此,通过加强,收敛攻击入口价格较高。所有高风险港口都可以向互联网开放,这可以降低90多个的概率
网页入侵
随着高风险港口的加强,在黑客知识库中将有许多攻击方法。但是,Web服务是现代互联网公司的主要形式,不可能关闭。因此,基于PHP,Java,ASP,ASP.NET,节点,CDE CGI等,它已成为黑客入侵最重要的入口。
例如,使用上载函数直接上传WebShell,使用包含功能的文件,直接引用远程WebShell(或代码)的执行,然后使用代码执行功能,直接用作shell的入口,执行任何命令,解析一些图片,视频服务,上传恶意样本,触发分辨率库的漏洞...
网页申请安全在服务下是一个特殊领域(Tao GE也写了这个“白帽子来说网站安全”),具体的攻击和防御场景和对抗已经发展得非常成熟。当然,由于它们都是由Web服务的部分,因此入侵行为也有一个普通的普通性。相对而言,我们更有可能在黑客GetShell和正常业务行为之间找到一些差异。
响应于Web服务的入侵标记检测,您可以考虑收集WAF日志,访问日志,审计记录或与网络级别相关的数据,以及成功成功的特征。建议我们将主要能量置于主能。在这些区域。
0day入侵
通过泄漏工具包,早期的NSA是一个0day武器,具有直接攻击Apache,Nginx。这意味着对手可能会完全不关心我们的代码和服务,需要0day,不知道鬼谢尔。
但是对于入侵检测,这不是令人恐惧的:因为对手使用了什么漏洞,它使用的shellcode和后续行为仍然很常见。 Apache有一个0day漏洞被攻击,或者PHP页面具有低级别的代码漏洞,从入侵行为,也许它完全相同,入侵检测模型可以是通用的。
因此,将能量聚焦在入口处和黑客GetShell之后,可能比脆弱性入口更有价值。当然,仍然遵循特定的漏洞,然后验证其行为是否符合预期。
办公室终端入侵
在绝大多数APT报告中,黑客首先是人(办公室终端),如发送电子邮件,孩子们打开,控制我们的电脑,然后在获得我们的法律凭据后进行长期观察/咒骂,然后去到内联网漫游。因此,这些报告主要集中在特洛伊木马行为和家庭代码相似之处。和反宽度产品,解决方案,大多数也是系统呼叫水平的办公室终端,具有类似的方法来测试“自由杀戮木马”的行为。
因此,EDR类产品+邮件安全网关+ Office网络出口行为审计+ APT产品沙箱等,可以收集,可以收集,可以收集类似的入侵检测检测模型。最重要的一点是,黑客喜欢关注内部的重要基础设施,包括但不限于广告。能够找到它,多次,它可能只是试图制作“永久运动”,纯粹浪费人类,资源,没有实际的好处。将节省资源,经济高效的安排,更深入的防守链,明显的效果会更好。
主流入侵检测产品形式
入侵检测基于数据到模型,例如,对于WebShell的检测,首先识别Web目录,然后在Web目录中的文件分析,这需要一个谐波。基于shell命令的入侵检测模型需要获取所有shell命令,这可能必须挂钩系统调用或劫持shell。基于网络IP信誉,检测到业务有效载荷,或者基于消息网关的检查,它可以植入网络边界,并且通过旁路来支持流量。
还有一些公司,基于多个传感器,收集日志后,总结一个SOC或SIEM,然后更加关注大型数据平台。因此,该行业的入侵检测相关产品通常分为以下形式:
主机代理类:在黑客攻击主机之后,主机上的操作可能会生成诸如日志,进程,命令和部署的追踪(也是测试规则的一部分)的追踪,该迹线(也是测试规则的一部分),称为主机的入侵检测系统,称为HID。
典型产品:OSSEC,Gunva,Ann Knight,Safety Dog,Google最近发布了Alpha版类似的产品云安全指挥中心。当然,一些APT供应商通常在主机上有传感器/代理,例如Fireeye等。
网络检测类:由于大多数攻击向量通过网络施加一些有效载荷,或者控制目标的协议强,因此具有识别网络级的优点。
典型产品:Snort到商业NIDS / NIPS,对应于APT级别,有一个类似于Fireeye的NX的产品。
记录集中式存储分析类:此类产品允许主机,网络设备,输出各自的日志,侧重于统一的背景,其中组合所有类型的日志,并且确定是否关联多个入侵行为路径绘制。例如,主机的Web Access日志显示扫描和攻击尝试,然后是一个不熟悉的进程和网络连接,最后主机对Intranet的其他主机具有横向普及尝试尝试。典型产品:Logrhythm,Splunk等暹粒产品。
APT沙箱:沙箱产品更接近云版本的先进反病毒软件,并通过模拟进行观察行为,以对抗未知的样本弱功能。但是,它需要模拟运行过程,性能开销很大,它被认为是一个“成本效益”的解决方案,但由于行为中的恶意文件,很难面对特色,所以它也会易于达到核心产品的组件。通过网络流量,终端采集,服务器怀疑样品提取,邮件附件炼油等,可以提交在沙箱中运行行为,判断它是否恶意。
典型产品:Fireeye,Palo Alto,Symantec,Macwork。
终端入侵检测产品:移动终端中没有实用的产品,并且没有必要。 PC侧首先是对防范软件进行反复化软件,如果可以检测到恶意程序,则可以在一定程度上避免入侵。但是,如果您遇到了高档0天和您杀死的特洛伊木马,则可以绕过抗病毒。借用??在服务器上隐藏的想法,也出生了EDR的概念。除本地逻辑外,主机还更为重要,可以在后端收集更多数据,全面分析和链接在后端。有人说下一代反病毒软件将带来EDR的能力,但目前的销售额仍然单独出售。
典型产品:防病毒软件有Bit9,Sep,Symantec,卡巴斯基,迈克斯基; EDR产品没有列举,腾讯的IOA,Ali的Alilang是一种类似的作用;
入侵检测效果评估指标
首先,发现入侵案例/所有入侵=发现主动发现率。该指标必须是最直观的。它更麻烦,很多真正的入侵,如果外观没有反馈,我们尚未检测到,它不会出现在分母中,因此有效的发现率始终是虚拟的,谁可以保证所有当前的入侵发现什么? (但事实上,只要入侵的数量足够多,无论收到的SRC是什么,它都是由“暗网络”报道的大消息,并且客观地知道的入侵包括在分母中,始终计算活动发现。速率。)
此外,真正的入侵实际上是一个低频的行为,如果他一年的一百十万人,一家大型互联网公司就不正常。因此,如果长时间没有真正的入侵情况,则该指示器不会长期改变,并且不可能描绘入侵检测能力是改善的。因此,我们一般介绍两个指标来观察:
蓝色军队反对积极发现率
已知的场景覆盖范围
蓝军积极面对和运动,这可以弥补实际入侵事件的低频频率,但由于蓝军掌握的攻击技术经常有限,他们有多次练习,而且技术和场景可以完成罗斯。假设情景尚未完成,蓝军的同样姿势是100次,增加了100个未审查的练习,而且建设党没有更多的帮助。因此,取出已知攻击技术的完成覆盖,也是一个更好的评估指标。
入侵检测团队对已知攻击方法的优先评估和快速覆盖的能量重点。满足需求有什么需要,必须有自己的专业判断(请参阅侵入式检测原则的“成本效益”原则)。
并宣布出现入侵发现能力,有必要具有基本的验收原则:
场日平均<x单,峰值<y;当前日平均<xx,峰值<yy,策略超过指标未收到,因为太多的警报将导致潜水有效的信息,但导致了以前受到干扰的能力,最好被视为未能面对现场。
相同的事件仅在第一次警报时,多次自动聚合。
从学习能力诬告。
警报有可读性(明确的风险制定,关键信息,处理指南,辅助信息或指数,易于定性),不鼓励键值模式报警,建议使用自然语言来描述核心逻辑和响应过程。
有一个明确的解释文件,自检报告(就像提供研发产品一样,产品文档和自检过程是质量的质量)。
在现场的场景上有一个蓝陆报道。
不建议致电微信,短信等(警报和事件之间的差异是事件可以关闭,警报只是提醒),统一的警报事件框架可以有效地管理事件以确保闭环可以提供长期基本操作数据,例如止损效率,错误报告金额/速率。
战略文件应该解释当前模型具有所感知的能力,这不会是警报(测试一个人对场景的理解和自己的模型)。通过上述判断,可以在策略的成熟时形成自我评估,并自由估计0-100。一个场景往往难以达到100分,但这与无关,因为从80点到100该部门的边际成本可能很高。不建议追求终极,但全面审查,无论是迅速投资下一个场景。
如果某些场景经常具有真正的对抗,则没有其他交叉策略,可能需要检索自我评估结论,并提高接受标准。至少工作中实际遇到的实际情况是优先考虑。
影响入侵检测的关键元素
当您讨论影响入侵检测的元素时,我们可以简要介绍发生的事情,这发生了这种情况,这已经发生了防守党无法积极讨论入侵:
依赖数据丢失,例如机器上的HID,没有部署安装/代理挂起/数据报告过程丢失/错误,或在后台传输链中丢失数据。
策略脚本错误,没有开始(实际上我们丢失了这个策略感觉)。
我没有建立相应的策略(很多次,我发现这个场景,我们还没有来,并建造了相应的策略)。
该策略不是敏感/成熟度(例如扫描的阈值没有达到,WebShell使用伪造方法的变形)。
模型相关的基本数据错误已经判断错误判断。
成功警报,但判断紧急同学错误/无后续行动/辅助信息不足以定性,无行动。
所以实际上,让捕获的入侵事件,我们需要入侵检测系统很长一段时间,高质量和高可用性。这是一个非常专业的工作,超出了绝大多数安全工程师的能力和愿望。因此,建议专门的运营商负责以下目标:
数据采集??完整性(完整链接的完整链接)。
每个政策时间都正常工作(自动拨号监控)。
基本数据的准确性。
工作订单操作支持平台和可追溯辅助工具的便利性。
有些学生可能想要,影响入侵检测的关键要素,不是模型的有效性吗?这是所有这些凌乱的事情怎么样?
事实上,大型互联网公司入侵检测系统的日常数据量可能达到数百T,甚至更多。推荐员数十种商业模块,数百台机器。从数字量表中,它不是一些中小企业的整个数据中心。这种复杂的系统,保持高可用性标准很长一段时间,它需要专门支持SRE,QA和其他辅助角色。如果您依赖各个安全工程师,很难让他们学习安全冒犯和防御,也很难考虑到基本数据,可用性和稳定性的质量,并及时应对运营变化变化的变化,各种运营指标和操作失败。最终结果是侵入,可以在容量范围内找到,总是有各种意想不到的“碰巧”找不到。
因此,提交人认为,大多数安全团队的质量实际上实际上,实际上,基本转向不是拼写(技术)。当然,一旦资源输入遵循这些辅助工作,就会真正需要拼写的入侵检测。
在这一点上,有这么多的攻击技巧,让我们选择这个场景建筑?有什么被认为意识到一定程度?为什么选择一些样本,并放弃其他样本对抗?
返回列表