隨著2021年安全演練的到來,各行各業又要經歷一次安全大考。本文就網絡分析和網絡追溯技術進行討論,看看上述技術在安全演練場景中有什么作用。
在進行安全演練前,我們必須對自身的網絡資產進行盤點,看看我們需要對哪些設備與網絡進行防護。下面以中型企業為例,看看中型企業的網絡結構。
中型企業的網絡結構
以某中型金融企業的互聯網訪問區為例,該企業的互聯網訪問區細分了DMZ區、辦公上網區、互聯網應用接入區、合作伙伴接入區等。由于互聯網訪問區的暴露面多,導致接入途徑也較多,如下圖所示:
每個獨立的接入區都配備了不同用途的安全探針,包含流量清洗、WAF應用防火墻、IPS入侵防御系統、防火墻等等。
除了上圖所示的互聯網訪問區之外,還有辦公樓層接入區、核心交易區、管理區、辦公服務器區、語音區、研發測試區、共享數據區等等區域,如下圖所示:
通過對中型企業網絡結構的梳理,我們不難看出,即便是一個中型網絡,其復雜程度也很高,更不必說大型網絡所涉及的內外網交換、不同地域的數據中心等等問題。
網絡架構的復雜程度,很大程度上決定了安全演練的難度系數。簡言之,網絡架構越復雜,安全演練難度也隨之增加。
那么在安全演練中,如果要使用流量分析技術(NTA),我們應該遵循什么原則呢?
如何監控安全演練中的網絡流量
打蛇打七寸,攻城攻城門。在安全演練期間,如果不能對繁雜的網絡實現全面覆蓋,就應該針對核心門戶、關鍵鏈路進行重點關注。
通過對過往安全演練進行經驗總結,以下區域的流量在安全演練中需要重點關注。
互聯網接入區
互聯網接入區如同城邦的城門,一座城往往不僅僅有一個門,一個企業的互聯網接入區勢必也是復雜的,安全演練中有威脅的流量也往往通過這個門進入到企業內網。
在以往安全體系的建設中,大量的安全設備,也堆積到了互聯網的接入區。那么NTA技術還能補充哪些能力呢?筆者認為有兩大核心關鍵能力亟待補充。
一是真正意義的全流量能力。目前很多安全產品都打著全流量的口號在宣傳,但并不能實現真正的全流量能力,原因如下:
性能不足:真正的全流量對性能的要求非常高,存儲空間要很大,存儲后要能分析和溯源,現在的“全流量”安全產品往往口號喊得響,但實現的時候都會打折扣。
必要性不夠:很多安全廠商認為沒有必要做到真正意義的全流量分析,往往覺得只需要對檢測到的安全事件進行存儲和溯源就可以了,但在實際安全演練中有威脅的攻擊,往往是無法檢測到的。
二是提供全流量的實時分析能力。該能力強調全流量和實時性,目前市場上的安全探針中,甚少有安全系統提供全流量實時分析能力,其原因有兩點:
性能問題:全流量的實時分析需要同時滿足全流量與實時性兩大特征,單單做到這兩點,對硬件和軟件的整體要求就很高,再加上安全檢測和防護,實在是難上加難。
全流量實時分析的部分高級應用場景落地難:例如有了實時全流量分析,能夠快速、有效的評估互聯網暴露面,對于收斂暴露面是一大利器;還例如有了實時全流量分析,能對互聯網流量分析的同時對內網流量也進行檢測。大量的APT攻擊都證明,很多滲透行為在內網中發生橫移的時候,往往攻擊特征并不明顯,例如慢速掃描等,但是這類行為的合規性、合理性卻非常明顯。例如內網主機、服務器主動發起的異常外聯等。
核心服務器區
在不同的網絡中核心服務器區的架構可能是不同的,根據服務器的屬性不同,往往會被劃分為不同的區域,例如Web服務器區、中間件服務器區、數據庫服務器區等。這些區域的部署位置也不盡相同,例如Web服務器區往往在DMZ區,中間件、數據庫、App服務器等往往在內網。技術實現上也差異化很大,有標準物理服務器、虛擬化、Docker/k8s、云(公有云、私有云、混合云)等等。
根據部署區域、部署方式的不同,在采用NTA技術進行核心服務器區流量監控的時候,采用的技術手段也是大相徑庭。
針對傳統物理服務器,往往直連物理交換機(接入交換機或核心交換機),物理交換機的SPAN技術即成熟又便捷,配合流量采集、流量編排系統,很容易和IDS、數據庫審計等產品進行聯動。
虛擬化、Docker/k8s、云的情況就非常不同,它們的共性是沒有辦法直接通過物理交換機進行SPAN,因此獲取這類服務的流量就變得非常棘手。目前主流的方案是依靠上述平臺的能力或者借助第三方插件的能力來實現。但上述手段往往都是通過隧道技術將進出流量導流出來,例如GRE、vxlan等等,這就要求傳統的安全探針要能夠對接上述封裝流量。
那么要建設真正的實時全流量分析和追溯系統應該怎么做呢?
NPMD產品在安全演練中的應用
性能管理和全流量分析存儲是NPMD產品的主要應用場景。因此,從技術特性上來看,NPMD產品特別適用于安全演練場景中的全流量分析和回溯。
首先NPMD產品天生具備高性能。從市面上能調研到的NPMD產品來看,其性能參數往往不摻水,究其原因如下:首先NPMD產品在功能設計之初比較純粹,不包含安全檢測能力,講得更技術點,NPMD產品沒有病毒庫、規則庫等大量消耗性能的功能;其次NPMD產品的存儲能力遠強于傳統安全產品,其容量往往可達幾十個TB級別。由于NPMD產品的大數據分析技術往往要求海量內存來支撐,因此其存儲后的分析能力,遠超傳統安全產品。
在去年某重點交通行業的安全演練行動中,藍方在傳統安全探針全面啞火的情況下,使用天旦NPM進行了攻擊鏈的溯源分析,成了藍方最后的救命稻草。藍方通過天旦NPM海量原始數據存儲和分析,找到了紅方的攻擊證據,在失分的情況下,通過“發現類”和“消除類”規則實現了加分。
同時通過天旦NPM實現了暴露面收斂等功能,在安全演練實戰中發現了很多問題,譬如發現了多處違規上線系統,將“可能風險”及時消除,避免違規上線系統被紅方利用。
安全演練中重點要看哪些流量
安全演練中理論上應將全部流量進行關注,但往往由于條件所限無法全面落地。因此,按照業務重要性,理應優先考慮互聯網出口流量。該區域重點是Web服務器區流量,同時要考慮暴露面收斂,收斂的原則是合理收斂,不能因為安全演練而影響正常業務;其次是針對內網核心服務器的流量進行監控,建議設置明確的端口白名單,并對所有服務器的外聯流量進行重點審計。
除此之外,在安全演練中還需時常注意以下幾類非正常的流量:
高危端口的訪問流量。高危端口其實主要是能夠直接提供訪問、文件傳輸、管理設備和管理應用的端口,例如:ftp、snmp、telnet、遠程桌面,這類是系統管理及文件傳輸的默認端口,一般按照合規要求,這些數據不容許從外部網絡進行訪問,產生了對應的流量就需要非常警惕。
非正常訪問端口。該端口需要進行長期比較來完成,觀測日常訪問數據中的流量及端口訪問情況,通過日常訪問的特征(訪問時間、頻率、源及目的地址)來發現陌生端口和應用的訪問情況。
突發節點的流量。對于某一個系統日常流量是恒定的,如果某個時間段該業務的訪問量突增,那么極有可能是有掃描工具對該應用進行了外部安全掃描,這個時候應該警惕。
外網異常的長連接。根據業務特性來判斷,一般業務屬于即時性業務,在業務處理完成的時候主業務流程應用會發送close關閉連接,如果長時間業務端口發送keep-alive,那么很可能是在進行遠控等工作。
關注IP節點的數據窗口。該實際操作難度較高,舉一個例子:以最新版本C2來看,該后門運行后,因為有遠程桌面監控功能,所以定期回傳的數據包內容均為屏幕截圖,因此長期滑動窗口會在最大值。
驗證工作是網絡流量分析與追溯中的重要環節。由于無法從單次流量中確認該系統是否有足夠的風險,因此某些時候需要通過流量回放(tcpreplay)來將不確定的數據包反向回灌到網絡中做二次檢測或者提取其中的數據包交給第三方安全廠商進行進一步的安全監測,當然也可使用NPMD產品通過時間、訪問關系來迅速提取該部分流量。
------------------------------------------------------------------------------------------
詳情了解
山東朗坤信息系統有限公司
地址:濟南市高新區三慶齊盛廣場5號樓1004-1005室
電話:0531-88164377 88164277 88164177 88589658
技術支持:13806402160 15865251119
直線:0531-88164677
傳真:0531-88164577
E-mail:gao@sdlk.cn
網址:http://www.sunnysky-capital.com
技術咨詢
