隨著2021年安全演練的到來，各行各業(yè)又要經(jīng)歷一次安全大考。本文就網(wǎng)絡(luò)分析和網(wǎng)絡(luò)追溯技術(shù)進行討論，看看上述技術(shù)在安全演練場景中有什么作用。
在進行安全演練前，我們必須對自身的網(wǎng)絡(luò)資產(chǎn)進行盤點，看看我們需要對哪些設(shè)備與網(wǎng)絡(luò)進行防護。下面以中型企業(yè)為例，看看中型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)。

中型企業(yè)的網(wǎng)絡(luò)結(jié)構(gòu)
以某中型金融企業(yè)的互聯(lián)網(wǎng)訪問區(qū)為例，該企業(yè)的互聯(lián)網(wǎng)訪問區(qū)細(xì)分了DMZ區(qū)、辦公上網(wǎng)區(qū)、互聯(lián)網(wǎng)應(yīng)用接入?yún)^(qū)、合作伙伴接入?yún)^(qū)等。由于互聯(lián)網(wǎng)訪問區(qū)的暴露面多，導(dǎo)致接入途徑也較多，如下圖所示：

每個獨立的接入?yún)^(qū)都配備了不同用途的安全探針，包含流量清洗、WAF應(yīng)用防火墻、IPS入侵防御系統(tǒng)、防火墻等等。
除了上圖所示的互聯(lián)網(wǎng)訪問區(qū)之外，還有辦公樓層接入?yún)^(qū)、核心交易區(qū)、管理區(qū)、辦公服務(wù)器區(qū)、語音區(qū)、研發(fā)測試區(qū)、共享數(shù)據(jù)區(qū)等等區(qū)域，如下圖所示：

通過對中型企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)的梳理，我們不難看出，即便是一個中型網(wǎng)絡(luò)，其復(fù)雜程度也很高，更不必說大型網(wǎng)絡(luò)所涉及的內(nèi)外網(wǎng)交換、不同地域的數(shù)據(jù)中心等等問題。
網(wǎng)絡(luò)架構(gòu)的復(fù)雜程度，很大程度上決定了安全演練的難度系數(shù)。簡言之，網(wǎng)絡(luò)架構(gòu)越復(fù)雜，安全演練難度也隨之增加。
那么在安全演練中，如果要使用流量分析技術(shù)（NTA），我們應(yīng)該遵循什么原則呢？

如何監(jiān)控安全演練中的網(wǎng)絡(luò)流量
打蛇打七寸，攻城攻城門。在安全演練期間，如果不能對繁雜的網(wǎng)絡(luò)實現(xiàn)全面覆蓋，就應(yīng)該針對核心門戶、關(guān)鍵鏈路進行重點關(guān)注。
通過對過往安全演練進行經(jīng)驗總結(jié)，以下區(qū)域的流量在安全演練中需要重點關(guān)注。

互聯(lián)網(wǎng)接入?yún)^(qū)
互聯(lián)網(wǎng)接入?yún)^(qū)如同城邦的城門，一座城往往不僅僅有一個門，一個企業(yè)的互聯(lián)網(wǎng)接入?yún)^(qū)勢必也是復(fù)雜的，安全演練中有威脅的流量也往往通過這個門進入到企業(yè)內(nèi)網(wǎng)。
在以往安全體系的建設(shè)中，大量的安全設(shè)備，也堆積到了互聯(lián)網(wǎng)的接入?yún)^(qū)。那么NTA技術(shù)還能補充哪些能力呢？筆者認(rèn)為有兩大核心關(guān)鍵能力亟待補充。
一是真正意義的全流量能力。目前很多安全產(chǎn)品都打著全流量的口號在宣傳，但并不能實現(xiàn)真正的全流量能力，原因如下：
性能不足：真正的全流量對性能的要求非常高，存儲空間要很大，存儲后要能分析和溯源，現(xiàn)在的“全流量”安全產(chǎn)品往往口號喊得響，但實現(xiàn)的時候都會打折扣。
必要性不夠：很多安全廠商認(rèn)為沒有必要做到真正意義的全流量分析，往往覺得只需要對檢測到的安全事件進行存儲和溯源就可以了，但在實際安全演練中有威脅的攻擊，往往是無法檢測到的。
二是提供全流量的實時分析能力。該能力強調(diào)全流量和實時性，目前市場上的安全探針中，甚少有安全系統(tǒng)提供全流量實時分析能力，其原因有兩點：
性能問題：全流量的實時分析需要同時滿足全流量與實時性兩大特征，單單做到這兩點，對硬件和軟件的整體要求就很高，再加上安全檢測和防護，實在是難上加難。
全流量實時分析的部分高級應(yīng)用場景落地難：例如有了實時全流量分析，能夠快速、有效的評估互聯(lián)網(wǎng)暴露面，對于收斂暴露面是一大利器；還例如有了實時全流量分析，能對互聯(lián)網(wǎng)流量分析的同時對內(nèi)網(wǎng)流量也進行檢測。大量的APT攻擊都證明，很多滲透行為在內(nèi)網(wǎng)中發(fā)生橫移的時候，往往攻擊特征并不明顯，例如慢速掃描等，但是這類行為的合規(guī)性、合理性卻非常明顯。例如內(nèi)網(wǎng)主機、服務(wù)器主動發(fā)起的異常外聯(lián)等。

核心服務(wù)器區(qū)
在不同的網(wǎng)絡(luò)中核心服務(wù)器區(qū)的架構(gòu)可能是不同的，根據(jù)服務(wù)器的屬性不同，往往會被劃分為不同的區(qū)域，例如Web服務(wù)器區(qū)、中間件服務(wù)器區(qū)、數(shù)據(jù)庫服務(wù)器區(qū)等。這些區(qū)域的部署位置也不盡相同，例如Web服務(wù)器區(qū)往往在DMZ區(qū)，中間件、數(shù)據(jù)庫、App服務(wù)器等往往在內(nèi)網(wǎng)。技術(shù)實現(xiàn)上也差異化很大，有標(biāo)準(zhǔn)物理服務(wù)器、虛擬化、Docker/k8s、云（公有云、私有云、混合云）等等。
根據(jù)部署區(qū)域、部署方式的不同，在采用NTA技術(shù)進行核心服務(wù)器區(qū)流量監(jiān)控的時候，采用的技術(shù)手段也是大相徑庭。
針對傳統(tǒng)物理服務(wù)器，往往直連物理交換機（接入交換機或核心交換機），物理交換機的SPAN技術(shù)即成熟又便捷，配合流量采集、流量編排系統(tǒng)，很容易和IDS、數(shù)據(jù)庫審計等產(chǎn)品進行聯(lián)動。
虛擬化、Docker/k8s、云的情況就非常不同，它們的共性是沒有辦法直接通過物理交換機進行SPAN，因此獲取這類服務(wù)的流量就變得非常棘手。目前主流的方案是依靠上述平臺的能力或者借助第三方插件的能力來實現(xiàn)。但上述手段往往都是通過隧道技術(shù)將進出流量導(dǎo)流出來，例如GRE、vxlan等等，這就要求傳統(tǒng)的安全探針要能夠?qū)由鲜龇庋b流量。
那么要建設(shè)真正的實時全流量分析和追溯系統(tǒng)應(yīng)該怎么做呢？

NPMD產(chǎn)品在安全演練中的應(yīng)用
性能管理和全流量分析存儲是NPMD產(chǎn)品的主要應(yīng)用場景。因此，從技術(shù)特性上來看，NPMD產(chǎn)品特別適用于安全演練場景中的全流量分析和回溯。
首先NPMD產(chǎn)品天生具備高性能。從市面上能調(diào)研到的NPMD產(chǎn)品來看，其性能參數(shù)往往不摻水，究其原因如下：首先NPMD產(chǎn)品在功能設(shè)計之初比較純粹，不包含安全檢測能力，講得更技術(shù)點，NPMD產(chǎn)品沒有病毒庫、規(guī)則庫等大量消耗性能的功能；其次NPMD產(chǎn)品的存儲能力遠(yuǎn)強于傳統(tǒng)安全產(chǎn)品，其容量往往可達(dá)幾十個TB級別。由于NPMD產(chǎn)品的大數(shù)據(jù)分析技術(shù)往往要求海量內(nèi)存來支撐，因此其存儲后的分析能力，遠(yuǎn)超傳統(tǒng)安全產(chǎn)品。
在去年某重點交通行業(yè)的安全演練行動中，藍(lán)方在傳統(tǒng)安全探針全面啞火的情況下，使用天旦NPM進行了攻擊鏈的溯源分析，成了藍(lán)方最后的救命稻草。藍(lán)方通過天旦NPM海量原始數(shù)據(jù)存儲和分析，找到了紅方的攻擊證據(jù)，在失分的情況下，通過“發(fā)現(xiàn)類”和“消除類”規(guī)則實現(xiàn)了加分。
同時通過天旦NPM實現(xiàn)了暴露面收斂等功能，在安全演練實戰(zhàn)中發(fā)現(xiàn)了很多問題，譬如發(fā)現(xiàn)了多處違規(guī)上線系統(tǒng)，將“可能風(fēng)險”及時消除，避免違規(guī)上線系統(tǒng)被紅方利用。

安全演練中重點要看哪些流量
安全演練中理論上應(yīng)將全部流量進行關(guān)注，但往往由于條件所限無法全面落地。因此，按照業(yè)務(wù)重要性，理應(yīng)優(yōu)先考慮互聯(lián)網(wǎng)出口流量。該區(qū)域重點是Web服務(wù)器區(qū)流量，同時要考慮暴露面收斂，收斂的原則是合理收斂，不能因為安全演練而影響正常業(yè)務(wù)；其次是針對內(nèi)網(wǎng)核心服務(wù)器的流量進行監(jiān)控，建議設(shè)置明確的端口白名單，并對所有服務(wù)器的外聯(lián)流量進行重點審計。
除此之外，在安全演練中還需時常注意以下幾類非正常的流量：
高危端口的訪問流量。高危端口其實主要是能夠直接提供訪問、文件傳輸、管理設(shè)備和管理應(yīng)用的端口，例如：ftp、snmp、telnet、遠(yuǎn)程桌面，這類是系統(tǒng)管理及文件傳輸?shù)哪J(rèn)端口，一般按照合規(guī)要求，這些數(shù)據(jù)不容許從外部網(wǎng)絡(luò)進行訪問，產(chǎn)生了對應(yīng)的流量就需要非常警惕。
非正常訪問端口。該端口需要進行長期比較來完成，觀測日常訪問數(shù)據(jù)中的流量及端口訪問情況，通過日常訪問的特征（訪問時間、頻率、源及目的地址）來發(fā)現(xiàn)陌生端口和應(yīng)用的訪問情況。
突發(fā)節(jié)點的流量。對于某一個系統(tǒng)日常流量是恒定的，如果某個時間段該業(yè)務(wù)的訪問量突增，那么極有可能是有掃描工具對該應(yīng)用進行了外部安全掃描，這個時候應(yīng)該警惕。
外網(wǎng)異常的長連接。根據(jù)業(yè)務(wù)特性來判斷，一般業(yè)務(wù)屬于即時性業(yè)務(wù)，在業(yè)務(wù)處理完成的時候主業(yè)務(wù)流程應(yīng)用會發(fā)送close關(guān)閉連接，如果長時間業(yè)務(wù)端口發(fā)送keep-alive，那么很可能是在進行遠(yuǎn)控等工作。
關(guān)注IP節(jié)點的數(shù)據(jù)窗口。該實際操作難度較高，舉一個例子：以最新版本C2來看，該后門運行后，因為有遠(yuǎn)程桌面監(jiān)控功能，所以定期回傳的數(shù)據(jù)包內(nèi)容均為屏幕截圖，因此長期滑動窗口會在最大值。
驗證工作是網(wǎng)絡(luò)流量分析與追溯中的重要環(huán)節(jié)。由于無法從單次流量中確認(rèn)該系統(tǒng)是否有足夠的風(fēng)險，因此某些時候需要通過流量回放（tcpreplay）來將不確定的數(shù)據(jù)包反向回灌到網(wǎng)絡(luò)中做二次檢測或者提取其中的數(shù)據(jù)包交給第三方安全廠商進行進一步的安全監(jiān)測，當(dāng)然也可使用NPMD產(chǎn)品通過時間、訪問關(guān)系來迅速提取該部分流量。

------------------------------------------------------------------------------------------
詳情了解
山東朗坤信息系統(tǒng)有限公司
地址：濟南市高新區(qū)三慶齊盛廣場5號樓1004-1005室
電話：0531-88164377 88164277 88164177  88589658
技術(shù)支持：13806402160  15865251119
直線：0531-88164677
傳真：0531-88164577
E-mail：gao@sdlk.cn
網(wǎng)址：http://www.sunnysky-capital.com