發現內網攻擊

2017-03-09 05:48:22

網絡安全和信息化 2017年6期

隨著互聯網快速發展，網絡上各種攻擊事件層出不窮，尤其是近年來不斷曝光的世界500強、互聯網知名企業物理隔離的內網專網丟失數據的事件，完全暴露出現有針對類似APT網絡攻擊行為的發現與處理技術和方法的不足。研究解決企業內網絡攻擊行為的解決方案刻不容緩。

現有技術現狀及缺點

網絡攻擊大致可分為三個階段：接觸感染、探測傳播、竊取破壞。接觸感染階段包括：社會工程學、惡意網站釣魚、郵件欺詐、SQL注入、木馬植入；探測傳播階段包括：跨站腳本攻擊、主機端口掃描、網絡監聽、節點攻擊、中間人攻擊；竊取破壞階段包括：病毒蠕蟲爆發、0day漏洞利用、數據轉移。現階段針對單個攻擊行為的防御手段基本成熟，出現了眾多防御攻擊事件發生的網絡設備及安全設備，包括：郵件防火墻、Web防火墻、入侵檢測/防御系統、終端準入系統、網頁防篡改系統、網絡防火墻、流量檢測系統、終端防病毒、系統漏洞掃描系統、數據防泄漏系統等。

如此眾多的安全設備構建的看似完備的安全防護體系，但實則收效甚微。其失敗的原因并非是由于單個技術的失敗，而是整體戰略上的缺失。

1.各種安全系統只能識別域內安全問題，彼此之間沒有關聯，導致出現安全信息孤島和各自為政的現象，無法從全局發現、識別跨域攻擊行為。單個系統無法聯系上下游設備共同處理網絡位置、攻擊步驟、攻擊緯度有關系的攻擊場景。

2.單個系統因缺乏全局考慮及技術等原因，容易形成防御空擋，形成被攻擊者利用的通道。獨立安全防御系統的開發者受限于技術壁壘、工程周期、知識庫積累等問題在各自領域均有無法處置的技術難題，這樣體現在產品上時會采用回避的策略，表現“所見即全部”的思想，從而錯失了殘留風險被觀測、被分析到的機會。

3.眾多設備所產生的海量事件無法及時處理，也無法從眾多誤報漏報信息中甄別出真正具有威脅的信息，進而導致防護手段失效。入侵檢測/防御系統、網絡防火墻、流量檢測系統、系統漏洞等設備存在大量誤報內容，單純依靠人力識別不太可能。

解決方案

面對現有網絡攻擊行為發現與處理手段的不足，本文提出利用企業內網所有設備記錄行為日志，相關資產、脆弱性，以及外部威脅情報等信息進行綜合分析，并由安全人員對分析結果進行評估與研判，從而形成一整套應對攻擊行為的解決方案。

1.收集所有分析所需的源數據，確保不遺漏任何攻擊行為的蛛絲馬跡。分析數據來源包括網絡設備、安全設備、主機、數據庫、中間件、應用系統日志信息，資產基礎數據及各維度數據，設備漏洞信息，威脅情報信息，人員相關信息等。

2.更可靠的分析手段，以“資產暴露”程度進行排名，重點關注排名靠前的資產。提供一套“線索”體系，以“資產暴露”為主題，從攻擊入口到核心資產，一個區域的資產只要被攻擊過即使防御成功也認為“暴露”，再按照暴露程度排出解決優先級。

3.多層次分析，解決殘余風險。建立防御體系的內外層次關系，當發現攻擊已深入到體系內層時，否定外層防御成果，結合內外層防護設備及相關信息重新進行分析，從而達到“亡羊補牢”的效果。

4.通盤考慮、全局分析，提升分析結果的準確性。收集歸納各個防護設備的輸出信息，并結合資產、漏洞、威脅情報等各種維度的數據進行關聯分析，確保分析的準確性。

4.平臺設計

依據解決方案，平臺建設包括四部分：通過資產識別、信息補全，建立完善的資產信息庫；收集所有防護設備、被攻擊設備記錄的日志，進行格式化、歸并、降噪處理，找出有意義、真實的攻擊信息；結合資產、事件等信息分析攻擊過程，形成多維度有價值的分析結論；安全人員評估分析結果，并結合威脅情報等信息對攻擊行為進行評判，為最終問題解決及后續網絡安全建設提供依據。

資產是被攻擊目標，是實施安全防護手段的目標對象，避免資產被攻擊的前提是必須掌控所有資產基本情況，通過調研,梳理資產類型、資產公共屬性，通過自動或人工方式發現、識別資產,然后結合調研的信息對資產進行補全，從而完善資產信息庫。

自動或人工識別資產:

通過SNMP、ICMP協議主動探測活動資產；

通過路由表或者交換機地址轉換表發現當前活動資產；

通過實時事件或流量數據發現未知資產；

通過人工錄入或導入資產。

資產基本信息包括IP地址、發現時間、類型（初步識別）和名稱等。

資產類型、公共屬性維護:

收集用于目標組織規劃時的業務區域劃分和安全域劃分采用的原則和方法，調研目標組織當前的業務和安全域的現狀，重點關注有差異且未明確劃分的部分。安全域包括：互聯網、隔離區、接入區、維護區、服務器。

收集調研資產類型，包括業務系統、主機、數據庫、網絡設備、安全設備、應用軟件、重要數據。其中網絡設備包括路由器、交換機等。安全設備有郵件防火墻、Web防火墻、IPS/IDS、終端準入系統、網頁防篡改系統、網絡防火墻、流量檢測系統、終端防病毒、系統漏洞掃描系統、數據防泄漏系統等。

梳理出各個資產的相關負責人，包括數據所有者、系統所有者、安全管理員等。

對資產進行信息補全，補全后的資產屬性包括：資產ID、資產名稱、IP地址、資產類型、業務系統、組織機構、安全域、資產管理員、安全管理員、數據所有者、資產創建時間、廠商、版本等。

資產漏洞信息采集：

定期采集資產漏洞信息，豐富資產屬性。可通過人工導入或聯動方式獲取漏洞掃描設備的掃描結果，漏洞信息包括括漏洞ID、漏洞名、簡短描述、詳細描述、修補建議、漏洞級別、影響平臺、CNCVE號、CVE號、CVE描述、CVSS風險值。

日志采集、處理，析取真實有價值攻擊信息

采集各類網絡設備、安全設備、安全管理平臺、設備資產的日志信息，輸出統一格式的安全事件,協助攻擊過程分析。

日志采集：

調研設備、系統的日志存儲位置、獲取方式、獲取周期、完整性校驗方式、時鐘同步機制等；

通過被動或主動方式采集設備日志，被動采集支持 syslog、trap兩種方式，可實時接收日志信息；主動方式支持 FTP、SFTP、JDBC、Webservice協議，可周期、準實時采集設備日志信息。

日志格式化：

結合事件知識、通過格式化引擎對設備原始日志信息進行解析和抽取，識別原始日志對應的安全事件分類，并按該分類所適用的屬性字段析取相應的值，最終確定事件具體知識條目，生成疑似安全事件。

格式化后事件信息至少包括：事件名稱、源IP地址、目的IP地址、報送設備IP、事件內容、事件級別、發生時間、發生次數。

事件過濾、歸并，降噪處理：

對不具備分析意義的安全事件進行過濾，減少不可信、不重要的事件，析取出真實有價值的攻擊信息。對重復發生、大部分屬性相同的疑似安全事件，在不影響后續事件分析的前提下，應對個體進行合并，減少事件個體數量。

過濾、歸并規則支持可對安全事件的所有屬性進行條件判斷，支持等于、不等于、大于、小于、包含、like、in等數據函數邏輯表達式，如：{事件屬性:目的地址}like '192.168.10.%' and{事件屬性:操作命令} in'rm,vi'。

分析攻擊過程，輸出分析結果：

通過資產、統計、行為等多重關聯方式分析攻擊過程，結合業務及數據所有者的參與分析,輸出過程分析結果。

通過資產類型、攻擊事件類型關聯分析，判斷資產暴露、被攻擊的可能性。被攻擊資產類型符合攻擊事件攻擊目標類型，被攻擊可能性大，否則，被攻擊可能性小。例如某臺設備上運行Web服務和數據庫，當發現有IDS設備發現的SQL注入攻擊時，該設備被攻擊的可能性非常大，安全管理員應予以足夠重視。

通過資產存在的漏洞與攻擊事件類型關聯分析，判斷資產暴露、被攻擊的可能性。當資產發生的攻擊事件針對的漏洞剛好在該資產上存在，該資產被攻擊可能性很大。

分析被攻擊資產單位時間內與其他設備的連接數，并通過資產IP關聯出資產所處安全域，結合業務判斷當前位置出現大量連接是否正常，對不正常的連接進行重點關注。

通過被攻擊資產IP關聯出攻擊日志獲取途徑和日志報送設備的業務域或安全域，結合業務判斷某類攻擊對該區域是否有效，判斷此處攻擊是否為誤報，并對疑似攻擊行為進行重點關注。

通過統計分析，提供單位時間內按攻擊類型和被攻擊位置的攻擊次數排名，以此判斷入侵者的重點攻擊目的及區域。如遭受最多攻擊的是DMZ即非軍事化區的DDoS攻擊，其次是維護區ARP欺騙攻擊。由此可知哪個區域最受攻擊者關注。

通過統計分析,提供被攻擊資產連接數和連接設備數排名，如設備A在1小時連接數為10000，連接設備數為3臺，設備B在1小時連接數為20000，連接設備數為30臺。可知設備A在連接數上存在問題，可能是被攻擊對象或正在做資料轉移；設備B在連接設備數上存在問題，可能為內網肉雞。

通過統計、行為關聯，提供被攻擊資產之間存在的連接數排名。若干資產成為攻擊目標，這些資產之間的連接就非常關鍵。可能是一臺運行核心資產設備屏蔽了絕大部分攻擊后，攻擊者嘗試通過其他設備為跳板連接這臺設備，連接數多的可能是在嘗試各種方法進行連接。

對被攻擊資產之間存在的連接設備數進行排名。連接設備數多的可能是在嘗試多個設備進行連接。

結合威脅情報等信息進行綜合分析，為后續處理提供依據:

1.綜合攻擊過程分析結果，組合生成多維度報表或結果數據，為評測攻擊情況提供數據支撐，例如服務器區域設備A部署了Web服務，服務區的設備B運行其Web服務的數據庫，維護區的設備C是維護終端設備。設備A遭受了5種攻擊，5種攻擊獲取途徑和各自產生的安全域比較后發現部署到互聯網與DMZ之間的Web防火墻上產生的SQL注入攻擊值得關注，同時發現設備B常態下只與A有連接，近3日徒增很多內網連接，而與設備B連接的設備C近1周被部署在維護區的防病毒軟件攔截過病毒事件。

2.利用可靠的威脅情報查找攻擊者。從安全事件中發現外網的攻擊源地址，利用威脅情報信息進行回溯，定位真正攻擊的幕后黑手。

3.通過事件關聯出資產，通過資產信息關聯找出資產的數據所有者、系統所有者及安全管理員

數據所有者、安全管理員基于以上分析結果，結合業務及網絡環境對問題進行下一步處理。

總結

本文提出通過人工或自動發現方式識別、補全并完善資產信息，采集所有設備日志，對日志進行格式化、去重、降噪等處理，對事件、資產等信息進行統計、行為方式關聯分析，輸出攻擊過程信息及相關報表，結合威脅情報、資產相關信息進行綜合分析，最終將分析結果提供給相關安全人員，安全人員基于以上分析結果，結合業務及網絡環境對問題進行下一步處理，。從而形成一整套全新的網絡攻擊行為發現與處理的解決方案。