网络成瘾症

首页 » 常识 » 问答 » 东巽科技李薛网络攻击防护实践与创新
TUhjnbcbe - 2023/5/23 22:37:00

年6月16日起,安在讲堂公益直播第三季,即网安强中强——网络安全产品及创新技能直播大赛全新开启,以新技术、新产品、新解决方案的分享传播为侧重,意图呈现当下中国网络安全的新生力量,“乙方”亮相,一展风采。

年6月18日,安在特邀请东巽科技CTO李薛做客直播间,以“网络攻击防护实践与创新”为主题,和网络安全从业者分享,APT防护产品行之有效的关键技术,以及APT对网络安全行业发展的长远影响。

(注:本期文章所有内容皆可在千聊“安在讲堂”直播间回看,公益讲座,全部免费。)

截至统计时:

收看直播人数:

讨论数量:87

签到人数:23

今天分享的内容是“网络攻击防护实践与创新”。东巽科技自成立以来就一直持续在APT相关领域的产品、平台和方案,今天我们一起看看APT攻击究竟是怎么一回事,为什么能够从一个很小的事件演变成一场事故,新型网络攻击确认难点在哪里等。

这是几年前的一个APT事件。意大利有一个专门进行APT攻击的公司制作了很多工具,该公司被攻击之后大量的工具被泄露至互联网,导致“互联网上人手一份核武器”,指的就是网络战中的网络武器。近几年,NSA泄露也泄露出大量的工具,堪称网络武器中的核武器,比如永恒之蓝漏洞就曾导致大规模的勒索攻击事件。

那么意大利制作APT的公司是如何被攻击,造成大量工具被泄露呢?互联网上有很多版本,我们跟很多业内的资深人员沟通之后,还原出事情的经过。

黑客应该是从德国坐火车到意大利,并且蓄意在这家公司附近寻找适合聊天吃饭的地方,然后在这些地方对临近目标发起APT攻击,控制目标公司员工的手机,最后利用员工手机作为网络通道对内网进行渗透攻击,完成一系列的数据窃取。

众所周知,很多企业的防御体系就如同鸡蛋,外壳十分坚固,但当外壳被敲破之后里面相当柔软,非常容易完成攻击。例如上文提到的APT攻击便是如此,但如果我们对该事件进行分析,你会发现我们想要防住还有很多难点。

首先是发现难,攻击很难被有效检测出来。大多数的APT攻击在没有被泄露的时候,很难通过特征匹配或其他防护手段检测出来。

例如我们检测未知漏洞时无法确定是远程溢出、应用层漏洞、文件捆绑漏洞还是本地漏洞;而攻击者通过隐蔽信道进行隐蔽控制时同样难以发现,更别说还有网络服务复用、网络穿透、摆渡攻击等;在加密流量中,想要真正实现恶意代码流量鉴别、加密信道的攻击行为鉴别的难度也非常高。

其次,即便检测到了异常,我们也很难确认攻击是否成功、是否是APT攻击。APT的定义是高级持续性威胁,APT攻击者往往会对公开的技术、恶意代码进行改造,然后发起网络攻击。由于攻击者的身份被隐藏,所以我们很难界定某一次攻击究竟是APT攻击还是通的黑客攻击。

然后,哪怕已经确认攻击行为了,想要完成取证依旧非常困难。无文件攻击、无源种植、IOT设备节点、跨境攻击等战术手段,大幅提升取证难度和实施成本。

最后是溯源难,多层跳板、匿名网络、虚拟身份、虚假地址等战术手段,让我们几乎无法确认攻击者真实身份。全球范围内,目前似乎只有美国能够成功发布APT网络攻击分析报告,并且能够定位攻击者的线上身份和线下身份。

当然,对于大多数企业来说只需对抗中等程度的攻击即可,而一旦真的出现国家背景的APT攻击,那么具备一定的取证、溯源能力非常有必要,监管单位也需要用更多的新技术解决新的问题。

接下来以银行为例,我们站在APT攻击者的角度和思路,来看如何对银行的网络进行攻击。

从上图可以看到,银行系统分为总行和分行,且总行和分支机构的网络环境有一定的规律,一共存在三个攻击层次和六个攻击通路。

第一层,互联网暴露面,指的是在银行的体系中,那些可以被互联网访问和主动向外界开放的资产。主要包括互联网路由交换、防火墙、VPN等硬件设备;网银服务/门户网站,外围第三方支付等业务服务;互联网区的各类终端/服务器,需要联网更新的供应商软件/系统;以及VPN等远程接入的办公人员/外包方终端,对外暴露的共享WIFI。

第二层,和互联网相连接的内部网络,主要包括安全运维区、办公网等内部不同区域的终端/服务器;邮件系统、认证系统、SVN、域控管理等内部集权系统;内部交换机、网闸、安防设备等硬件。

第三层,生产/资产,主要包括核心生产网的SWIFT、CHIPS、银行卡系统、理财交易等核心业务系统;以及储户数据、转账交易、征信信息等核心数据资产。

如果攻击者想要攻击银行,他会考虑如何穿透以上3个层次,最终拿到想要的目标。事实上,他至少可以从6个通道进行攻击,也就是上图画出的路径。

第一,直接从互联网访问生产区域的网银或者是办公区域的网站。

第二,利用VPN设备远程接入,比如银行的客户或者是一些远程办公的场景,也是攻击者常用的通道,通过撞库等社会工程学的方法拿到一些账号密码,再通过远程办公的接口登陆并发起攻击。

第三,支付系统,之前有一个典型的APT攻击的案例,RSA是提供加密算法的厂商,它提供很多认证的产品和服务。攻击者之所以攻击它,是因为攻击者的真正目标是*队中的某些装备的网络,这些网络都使用了登录认证的口令令牌。所以攻击者去攻击了RSA,尝试偷取算法种子并计算出动态的密钥,从而通过远程办公系统登录*事网络。从这里我们可以看出,APT攻击者会从不同的方向、不同的层次对业务系统进行攻击。

第四,远程办公,包括远程办公系统,VPN系统以及本地办公系统,刚刚已经提到。

第五,从分行通道进行攻击。很多银行的总行的防护体系一般都非常完善,网络架构、安全管理制度落实都很好,但是分行不论是人员还是管理和总行都有一定的差距,所以很多攻击者选择各个分行为突破口,通过控制分行的终端来攻击整个总行的业务生产系统。

第六,供应商软件升级服务。最典型的案例是年韩国KBS电台和韩国农业银行被攻击。韩国农业银行安装了一套杀*软件,这套杀*软件内网部署了升级服务器,可以通过专项通道连接杀*厂商的私有云。攻击者先获取了厂商私有云的部分控制权,然后把恶意代码捆绑在升级包内,并通过银行和电视台的升级通道下发,最终控制了大量的终端和服务器。同时,攻击者还上传了定时破坏的组件,导致银行和电视台业务停摆,这是当时非常大的APT攻击事件,从供应链的角度实现攻击行为。

认真分析了这些攻击者的行为之后,我们又该如何进行防御呢?实际上,防御体系非常庞大,我们今天下午分享的主要是如何基于流量来做相应的检测、分析和防护。

整体来说,我们的思路分为三个部分,分别是流量探针、大数据平台和模块化应用软件。

流量探针一般分为三种数据,两类探针。一是流量原始数据,当流量进来之后,我们对于关键节点做全流量保存,并且通过溯源、深度分析去发现一些0day漏洞,否则即便是发现了异常也为时已晚,0day漏洞被利用完了,没有在系统上留下任何痕迹。当然,保存的时间周期和存储空间有很大的关系,一般是3~7天全流量存储,如果要更长,投入会比较大且还需要外接硬盘存储。对应的探针是NTA,能够把全流量保存下来。

二是流量元数据,我们的解决方案会把这些数据封装,并且上传至大数据分析平台,可以为后面的业务模型提供相应的数据。因为我们直接改造安全部门去跟业务系统对接,获取日志数据的难度非常大。流量元数据一般都含了数据的关键要素,只要把这些关键要素提取出来就可以做相应的分析。

三是基于流量检测分析引擎检测出来的结果,一般可以拿IDS、IPS或者其他的去做。目前等保2.0已经明确要求三级及以上的系统必须要针对新型网络威胁部署抗APT系统、全流量溯源系统、威胁情报检测系统。

这三类数据最终可以汇聚到数据平台上面,不断地积累数据资产,并基于这些数据资产形成一个个业务分析场景,每个分析场景中应用不同的分析引擎,或者把不同的模型组建一套分析场景,对应企业的一种业务。

接下来我们主要是解决网络攻击中的APT攻击或者其他的新型网络攻击行为。咱们之前已经提到,流量探针分为两类,一是流量的数据存储和元数据解析,我们称之为全流量的溯源系统,专门进行数据建模分析。

另一类则是流量的威胁检测探针。两类探针可以部署在总行、分行以及生产网络的南北流量出口,而全流量溯源的产品可以部署在深层的核心生产网的关键节点。我们之前也提到,攻击者最终的目标是生产系统和里面的数据,而我们的流量探针就像是大街上一个个摄像头,能够在关键位置对流量进行监测,看到攻击者具体的攻击动作,并把这些数据汇聚到大数据的安全分析平台上,最终形成威胁的检测、分析,事件溯源和相应态势的跟踪。

那么这样一套解决方案它们之间存在什么关系?

从上图可以看出,铁穹高级持续性威胁预警系统的流量探针可以准确检测出流量中的各种新型网络攻击,特别像鱼叉钓鱼攻击等典型的APT攻击方式,以及很多的免杀或者绕过WAF之后的攻击行为。而洞见全流量溯源分析系统可以记录存储原始流量日志,全流量记录3~7天,再把流量格式化为流量元数据,并上传至大数据分析平台进行相应的建模、分析和处置。这样的话,安全运营团队可以基于大数据分析平台查看异常,也可以直接通过洞见进行全流量溯源,还可以和其他安全设备进行联动,如联动防火墙拦截等。

这套方案主要是应对以下几种主流APT攻击方式:

1.典型的APT攻击。如鱼叉钓鱼攻击、水坑攻击、文件感染等攻击行为,攻击者一般会使用特种或免杀木马对网内的资产进行非法控制,而我们支持基于流量行为的分析和建模,并在大数据分析平台上检测各种基于流量行为异常发现的特种木马和免杀木马的隐蔽信道。目前我们的流量探针铁穹已经能够检测3种常见协议,12种隐蔽信道的顶层工具、10种隐蔽通信的非法通道,并将检测出的各种事件、组织跟多个APT组织进行情报关联,对比攻击是否真的来自于APT攻击组织。

2.内网的穿透。攻击者通过远程桌面或其他远程控制的方式登陆之后,它需要利用内网的非法穿透进行非法代理通信,以便于公司将他们的工具代理到企业内网。所以我们做轻威胁的监测一定要区分内网中各种发起威胁攻击的IP,到底是企业的反向代理IP,还是攻击者自己搭配搭建的非法的代理服务器,同时也要审计很多看似正常的远程管控行为。

3.恶意代码,特别是免杀和特种网恶意代码,之前也提到很多APT攻击者会对开源的恶意代码进行改造,而我们覆盖了互联网上多种常见的恶意代码家族,包括其变形的版本都检测出来。其中有隐藏明文的恶意代码的通信流量,我们可以把它的控制指令进行解译,以便后面进行溯源分析。

另外,我们也跟业内专门做威胁情报的厂商、联盟有数据共享,同时自己部署的产品也会回传数据和采集互联网开源的情报。这些数据清洗之后还需要经过人工验证和现网认证,看是否存在误报的情况。

4.WebShell后门检测。在去年的HW行动中,很多攻击者会使用冰蝎、蚁剑、菜刀等主流WebShell后门对服务器进行非法控制。这是因为冰蝎、蚁剑都是在HTTP协议通道内使用加密流进行数据传递,每一次通信的方法都不一样,所以可以穿透基于特征匹配的防火墙、IPS,只能用我们这类基于流量行为发现的方法才能检测出来。

另外这里再介绍一下虚拟化沙箱,我们的解决方案里包含了虚拟化沙箱检测,它可以针对邮件附件的鱼叉钓鱼攻击,网站挂马的攻击进行检测,文件感染的攻击行为进行检测。

总的来说,虚拟化沙箱主要有以下5大特点。

1.集成了大量的沙箱反逃逸手段,能够让样本在沙箱环境中正常运行。

2.应用层和驱动层双层监测,样本进入沙箱之后,包括计算机文件进程、模块注册表、网络资源调动等所有的动作都可以看得见。

3.精准的行为识别与研判,沙箱可以了解样本操作注册,操作文件、进程的目的,识别其高危行为,包括8大类70小类的行为短语和+条行为研判规则。

4.智能化,我们的沙箱是国内第一个集成了基于机器学习模型的研判能力,未知威胁识别率高。

5.实用性,沙箱支持用户自定义压缩口令字典,标准设备最高每天4万个文件,性能最好的沙箱每天10万个文件,远超其他友商的能力。

实际上,针对整个网络攻击者的战术、战法,我们借鉴了很多的防御手段,这也是沙箱组合多的原因。在年举办的网络安全引擎大赛中,东巽科技取得了第二名的好成绩,如果当时有比拼检测性能的话,我们应该可以拿第一名。

检测之后自然就是威胁事件基础分析,主要包括攻击确认分析,受害者分析和攻击者分析。上报的告警我们需要搞清楚是攻击的尝试还是攻击已经成功,这个可以通过多种检测结果综合分析、通信上下文关联、攻击载荷行为、受攻击资产状态等进行综合研判。受害者分析

主要有是否为多事件受害者、是否还是内部威胁源以及是否是攻击成功事件等。

基础分析之后还有深度分析,主要包括三个阶段。

1.火眼金睛。我们能够覆盖所有的机器算法,特别是ATTCK的算法给予我们很多的积累,只有算法覆盖的足够全,我们看到的攻击才足够全,才能为后续提供更多的数据支撑。

2.事件还原。我们可以看到了攻击者侵入的过程,某个时间完成某个动作,如何攻陷系统的服务器,攻陷之后又做了哪些事情等,我们把这个过程叫做过程回溯、场景展现,让分析者能够清楚认知事件的发生。

3.威胁溯源,主要是关联分析和溯源分析。前面已经说过,APT攻击指的是高级持续性威胁,那么它的持续性表现值哪里?我们认为持续应该要表现在大数据分析平台上的数据积累,基于数据积累之后的关联分析做相应的事件溯源。

此外,我们还需要尽可能多覆盖网络攻击链中的所有关键步骤,包括从侦查、投放、利用到恶意代码的安装、控制再到最后的目的达成。

如果认真分析供应链的话,我们可以发现它的核心要素有三条,一是漏洞,不管是0day还是其他的漏洞,漏洞的利用贯穿了网络安全的很多过程。;二是非法控制软件或者手段,特别是僵尸蠕虫、间谍木马、特种木马、免杀木马等造成的非法控制行为;三是各种渗透攻击行为。

这里ATTCK系列模型提供了一个很好的知识库,12种战术和种企业技术组成的精选可以让我们进行大覆盖,其中最有价值的就是数据标准化,可以让很多厂商爆出来的告警趋同,数据的规划会有比较好的积累。

上图大家也可以注意到,总覆盖率是80%、68%和69%,为什么没有到%?这是因为ATTCK模型不光只是流量的技术点,还包括终端中的很多技术点,有些技术点根本没有办法解出来,所以就无法看到,覆盖率自然达不到%。

而面向数据分析师肯定是希望基于网络威胁的场景进行分析。在我们的方案中也提供了三种专业的产品来进行场景分析,分别是KillChain分析法、时间序列分析法和实体关系分析法。

1.KillChain分析法,可以看到在某个时间段中某个资产被攻击到何种程度,所有的攻击情况一目了然,然后可以在前面按阶段寻找攻击者时如何控制服务器资产。

2.时间序列分析法,在和领导汇报安全威胁事件时,带着时间点说一定是最清楚的,例如在某天某时某秒,攻击者用什么工具发起了怎样的攻击,在某时某分发现的漏洞,用了多久的时间上传了漏洞,甚至是在什么时候把数据库的部分数据偷走了,通过时间序列可以讲清楚整个事件的经过。

3.实体关系分析法,实际上它是基于主体和客体的分析关系,不断地扩展线索,一步步追溯跟资产相关的事件。

除了以上的专用场景分析之外,东巽科技还有一些经典的分析方法,包括时空分析方式和图表分析方式,而且支持专家模式的平台级分析应用,提供对数据的全权控制,适应不同类型的用户使用偏好。

实际上,通过专用的场景分析方法能够切实解决事件的分析。例如时间序列分析法可以将威胁事件的过程可视化,基于KillChain分析法可以把攻击的阶段可视化,基于实体关系分析法可以将异常的行为不断关联,发现更多存在异常的主机,找到隐藏的后门或者木马,以及其他一些隐蔽的后门和控制手段。

过程分析完之后,接来下就要进行关联分析。汇聚攻击者最常用的战术动作、配套资源、攻击载荷等,通过关联关系和概率统计来分析攻击者的攻击习惯,从而实现不同威胁事件之间的同源性分析。

这里列举了一个溯源分析的基本逻辑:先把不同事件理清楚,得到不同事件中的关键的信息,并把关键信息中的元数据抽取出来,然后进行属性拓展,最后将不同的事件关联在一起进行建模分析,形成一个APT组织的知识库。

那么我们就知道了攻击者在什么时间干了什么事,攻击者来自哪个APT组织,无论攻击是否成功,只要把这些事件关联在一起,经过一段时间的积累,就不难看清攻击者的意图,才能有针对性的解决APT攻击问题。

想要实现这一目标,我们可以从三类事件的三类数据中抽取不同的要素进行关联分析。这三类的数据分别是恶意样本的数据、事件的数据和威胁情报的数据,将这三类数据在大数据分析平台中分析、碰撞,找到相同项并把不同的安全事件关联在一起,这就是智能化的关联分析。

未来可实现基于大数据、人工智能和知识图谱的分析、应用,形成威胁的整体表达。这样的话,数据分析师就能够基于机器的辅助,有针对性的分析某个服务器的问题,并且逐步向前对一段时间内的所有事件进行搜索,慢慢将整个事件推导出来,再用知识图谱可视化的方式呈现。

所以,在我们整个的方案中,数据从流量开始,全流量数据、元数据、威胁检测的数据一起进入大数据分析平台,借助人工智能模型给知识图谱提供相应的研发、推导,把人和机器各自的最强优势都发挥出来,然后完美结合在一起。

其中,机器按照一定的模型从大量的数据中抽取出有用的信息,再由人根据这些信息进行研判,这样的话我们就完成了数据驱动的建模、分析、操作、管理、关联、分析、推理和可视化的全过程。

整体方案价值与特点主要包括安全专家服务、高性能优势、溯源与处置、攻击检测全覆盖和威胁深度分析,可以帮助用户有效开展对抗新型网络安全威胁、保障网络安全重保活动、应对重点安全事件等安全运营工作。

那么这个方案在重保活动场景下又该怎么用呢?我们分为三个阶段,四个步骤。

如上图所示,第一个步骤是安全加固/防护优化,这时一定要理清资产、划清边界、网络加固,降低被攻击风险;同时通过失陷主机检测,提前清理、净化和加固内网资产。

第二个步骤是实战演练,配合渗透测试的攻防对抗演练,让团队熟悉企业原有的安全防护、运营体系,研究团队部署是否正确等,切实提升防护响应和处理能力。

第三个步骤是监测和应急响应,提供实时监测预警、重点事件分析、响应与处置等系列服务,增强防御能力;统一高效的策略下发,配合产品联动形成联防机制。

第四个步骤是总结汇报,从发现问题、分析问题到解决问题等进行汇报,持续改进,对整个流程、产品、方案等进行一系列的优化。

而在这样的综合场景下,我们的驻场分析员依靠这套平台主要做的有三件事情:

1.快速输出封禁列表,增加攻击者的时间投入和代理服务器的资源消耗,提升攻击难度。

2.威胁发现与处置:攻击确认之后、需要及时修补漏洞、加固主机、清除恶意代码,阻止进一步渗透攻击。

3.重点事件分析,针对目前出现的问题撰写对应的数据分析报告,这份报告基于咱们前面介绍的各种专业场景分析来完成,然后再进行关联分析和综合分析,甚至是基于我们的一些场景和产品,来确定攻击者线上线下的真实身份。

接下来就是实践分享,我们有个比较大的银行客户,从总行到各个分行已经全部部署了我们的流量探针,总行部署了全流量数据留存的系统,然后汇聚至大数据分析平台上做统一的监测和分析。目前方案部署已经有一年多了,期间除了HW行动、重保活动之外,我们还帮他发现了一个黑产组织,使用APT攻击的方式,对他们发起网络攻击行为。

最后是成果分享。这个是年我们在HW期间发现的各种威胁和攻击行为,包括连续向银行工作人员投递了15封鱼叉钓鱼的邮件。

第二是攻击者通过远程的漏洞攻陷了服务器之后,在服务器上用反向代理的方式穿透了防火墙,然后以它为跳板对内网进行漏洞扫描。我们通过隐蔽信道和异常协议的行为把这个主机的数据资产进行定位。在协助处置的过程中就已经发现扫描出十几个入口,有几个还是远程溢出漏洞。

问答环节

1.公有云端如何分析流量?

如果是阿里云或者其他云的公有云的流量,我们有一些深入的合作,尝试将流量探针作为一种虚机,以云上服务的方式提供。在私有云上,我们已经实现了两种部署方式:第一,在私有云的镜像流量出口把流量计算出来进行分析;第二,我们也是以虚拟的方式接入私有云,再将云内流量牵引到镜像中进行相应的检测、分析。

2.请问东西向流量如何收集和去重?

东西向流量具体看部署位置,设备提供多个口接入不同区域的流量。流量汇聚之后,会按照条件归并。目前,主要还是采用合理的部署方式来避免流量重复,并对检测出来的各种威胁进行去重。

3.那个矩阵大数据安全分析平台是安全中台吗?和态势感知的区别是?

可以理解为流量安全方向的中台,接入的是探针的数据和告警,并对数据和告警进行不同层次和分析。顶层统计态势展示,让领导做全局指挥;中间层的归并和攻击是否成功、设备失陷还是未失陷,主要是分析师看,确认分析入口;底层的killchain、时间序列以及原始pcap、文件行为,用于分析师溯源取证;矩阵还可以与防火墙等设备进行联动,简化处置流程。态势感知的概念更大,和态势感知的区别的话,目前这个平台侧重于分析和协作,可以作为态势感知的输入,也可以作为一个网络威胁的小态势。

4.目前了解到apt主流攻击手段是社会工程+0day,最新未知0day能在未披露或刚披露时,第一时间能检测到吗?有没有实际的案例。

我们检测0day一般会按照漏洞类型进行区分,比如我们的沙箱能够针对文件捆绑类型的0day进行检测。目前国内的虚拟化沙箱基本都是文件类型的虚拟化沙箱,但是在国外有另一类叫做流量沙箱。永恒之蓝漏洞没有曝光之前,它利用的漏洞是流量的输入,我们不可能把它变成文档进行检测,所以只能进行流量检测。目前我们在实验室的研究成果已经能够基于流量来检测0day,完全能够检测永恒之蓝,MS这种远程溢出的0day漏洞。

还有一种是中间件、web侧针对业务系统的0day漏洞,这种0day前期需要绕过WAF和其他的防御检测能力,因此在漏洞利用时有可能会被检测出来。漏洞利用成功之后,可以在它上传webshall时可以检测出来,再通过反向溯源从全流量中找出来。

5.利用各种模型分析流量或者上报沙箱会不会导致告警或者阻断的滞后?因为客户可能对流量的时效性要求特别高,上报或者分析肯定需要花时间,这样是不是无法做到识别和防护的实时性。

如果采购的沙箱每天只有几千个文件,一定会导致阻塞,只要选择像我们这种高性能的沙箱来完成威胁的检测才不会出现阻塞。一方面,流量分析检测实时的,沙箱因为要开虚拟机,有一定的延迟,目前我们这套方案对恶意文件的检测有杀软、威胁情报、沙箱、CVE检测、机器学习,其中沙箱和机器学习大概会有2分钟左右的延迟,速度在业界也比较靠前,大部分用户是接受的,杀软、威胁情报、CVE检测几乎实时的,有结果会立即报告。另一方面我们都是基于旁路部署流量探针,因此不会导致网络阻塞,如果要进行拦截也可以和防火墙、大数据平台进行联动。

6.这套方案在hw中也可以用么,怎么部署?

完全可以的。HW模拟的就是相对真实的攻防场景,这套方案已经在客户HW场景中实战多次,发现了带木马的鱼叉邮件、web应用漏洞利用、利用永恒之蓝漏洞进行横向移动的多起攻击事件,今年整个方案又对蚁剑、冰蝎这两款web木马针对性做了改进,相信可以帮助防守方更全面的发现攻击。至于部署,整个方案是按检测、分析、溯源一条逻辑,检测和溯源探针都旁路在关键交换位置,分析平台与探针可通信即可,攻击方无感,也不影响业务。

7.在apt攻击分析中,威胁情报是如何助力实际分析工作的?

威胁情报在实际APT分析中,大部分起到了提供溯源分析证据,攻击确认的作用。一方面通过威胁情报,我们可以检测发现内网中已经被控制的行为,发现C2端;而另一方面,通过上机分析,找到样本,结合威胁情报信息,可以逐渐明确C2后面代表的APT组织,进行深层次的溯源。

8.对于加密信道尤其是tls/ssl加密信道、或者加密的webshell流量,如何有效的进行检测?

目前主要有两个思路。第一个是解密后检测,第二个不解密后检测。

1.关于解密后检测,目前大概有几个思路。

1)旁路解密:针对基于SSL加密的协议,通过导入私钥证书,来解密流量。适用于HTTPS、IMAPS、POP3、SMTPS场景。

该方式对网络结构无改动,适应性强。缺陷是只能适应RSA类算法,DHE类算法不使用;此外对系统的硬件损耗也相对较大。

2)直连代理探针:通过串联部署+透明代理的方式,来解密流量。该方式不需要预先导入证书,也可以实现流量解密。缺陷是需要改变网络部署环境,对用户网络有一定影响。

3)终端解密探针:通过联合第三方厂商的终端软件,提供联动功能,从终端侧实现解密。这种情况能实现大部分数据的加解密,缺陷是可能会占用终端资源。

产品中已经集成旁路HTTPS解密的功能,IMAPS、POP3、SMTPS解密功能正在测试和性能优化中。而性能问题,我们通过硬件加速卡的方式,适应大流量的情况。

2.在不解密的情况下,通过基线规则、机器学习算法等对加密流量本身进行检测。

主要技术路下如下:

1)识别加密流量和协议类别:通过机器学习算法、协议格式来识别流量是否是加密流量;

2)识别加密应用:主要通过机器学习算法对不同应用的流量行为进行识别,包括有害应用(洋葱网络、翻墙软件、非法VPN)、即时通信(QQ、

1
查看完整版本: 东巽科技李薛网络攻击防护实践与创新