蓝队反入侵工作经验分享

2021-03-25 10:28:40 浏览数 (2)

点击图片查看指南

何为反入侵?那就要先知道什么是入侵行为,这里的入侵主要指通过各种方式进入企业公司内部,获取权限,盗取数据的行为,也就是咱们通常所说的红队的成功的入侵行为,而反入侵的存在就是为了防止红队成员成功获得内部权限、盗取敏感数据,或者说在被成功获得内部权限和敏感数据之前或者过程中及时发现,并及时止损,最后进行溯源发现入侵者,通过法律或者其他的方式对其进行惩治。

对于反入侵而言,必须要了解攻击者的入侵是怎么做的才能做好反入侵的工作,业界知名的 ATT&CK 框架将攻击者的整个链条进行拆解,很多商业的 APT 防护产品也在对照其进行技术研究,开发针对性的检测能力,关于框架内容可以参考官方内容,也可以看我之前整理的《聊一聊我对红蓝对抗的理解》,基于此,我做了个简单的拆分:

了解红队的看到上面的内容,应该也知道说的是什么,基于这个,站在防御者的角度,思考如何进行防御,如何反入侵,如图:

基于攻击者的整个流程,我们可以参照业界的一个防御流程图 NIST 的 SCF(The Fundamentals of a Strong Cybersecurity Framework-强大的网络安全框架基础):

1、识别阶段

在攻击者实施攻击之前,我们要对所要保护系统进行风险梳理,识别那些显而易见的漏洞或者弱点,比如边界应用的漏洞、VPN 和 wifi 是否有强认证、主机服务器是否做了加固、内部各类系统服务是否存在弱口令等

2、保护阶段

在识别完风险之后,基于已知风险,排列优先级,然后针对性的设计防护方案,对相应的系统进行加固和处置,比如:服务器主机的安全加固、wifi 或者 vpn 设备的二次认证、堡垒机的使用、内部的网络域隔离等,通过保护阶段,消除已知重大风险,提前预防攻击者的攻击,提升攻击成本

3、检测阶段

在攻击的过程中,我们要提升入侵检测的能力,能够及时发现入侵行为,对于入侵检测,主要从三个方面,网络、系统和日志层面。

网络上可以使用商业的 NIDS 设备,镜像网络流量进行审计,也可以使用开源的免费解决方案,比如 Suricata ;

系统方面可以使用一些商业的 HIDS ,比如长亭的牧云、青藤的万象,开源的比如 wazuh、ossec 等;

日志层面就需要采集各类日志,通过大数据分析的手段来识别入侵行为,常用的日志分析工具比如商业的 splunk、日志易等,开源比如 elk 架构,无论使用什么工具,最重要的是针对日志的分析能力加规则引擎,需要专业的安全人才来自定义检测规则,对规则进行优化,提升入侵检测能力。

业界对于入侵检测的评价有个标准叫 MTTD(平均检测时间)用来评价安全人员的工作效果。也是评价一个安全团队安全成熟度的一个标准。

4、响应阶段

在发现入侵事件之后,就要开启应急响应的流程,及时定位问题所在,及时止损,排查相关日志和告警信息,找出问题的根源,应急响应的时效性决定了你在这场攻防对抗中是否处于主导地位,拖得时间越久,攻击者扎根扎的越深,将攻击者赶出内网的难度越大。

防御者在对抗中往往处于被动,所以应急时效是防御者化被动为主动的关键因素,所以业界对于应急响应的评价有个标准叫 MTTR(平均响应时间),也是评价安全人员工作的一种方式。

5、恢复阶段

在完成止损之后,要对被攻击的系统进行恢复处置,经过时间的复盘之后,找出曾被控制的主机或者设备,清理攻击者留下的后门文件,对被攻击者利用的弱点系统进行加固或者下线处置,然后举一反三,一一消除。

反入侵的工作也就是针对这几个阶段不断进行优化迭代,形成闭环,持续缩小 MTTD 和 MTTR,让攻击者有来无回。

以上是我对于反入侵工作的认识和理解,希望能引起大家的思考,下期见。

点击图片查看训练营详情

0 人点赞