隨著俄烏地緣沖突、疫情因素導(dǎo)致網(wǎng)絡(luò)安全問題越發(fā)嚴(yán)峻, 如北京健康寶在今年4月份和冬奧會(huì)等使用高峰期遭受來自境外的網(wǎng)絡(luò)攻擊,北京健康寶保障團(tuán)隊(duì)進(jìn)行了及時(shí)有效應(yīng)對,受攻擊期間健康寶相關(guān)服務(wù)未受影響。
境外網(wǎng)絡(luò)攻擊主要有DDOS攻擊與APT攻擊。DDOS攻擊意圖在于針對國內(nèi)關(guān)鍵設(shè)施進(jìn)行攻擊破壞;APT攻擊(高級可持續(xù)威脅攻擊)則是一種隱蔽性強(qiáng)、攻擊量大的高級別網(wǎng)絡(luò)攻擊,意圖主要在于對我國高新技術(shù)和政治軍事領(lǐng)域的情報(bào)進(jìn)行竊取。這種攻擊往往會(huì)為了某個(gè)目標(biāo)進(jìn)行長久準(zhǔn)備,通過一切方式(使用大量在野0day和未及時(shí)修復(fù)的高危漏洞進(jìn)行攻擊,攻擊組織會(huì)不停的更新武器庫和反檢測技術(shù),配合攻擊供應(yīng)鏈和高度定制化的釣魚攻擊等多種方法方式進(jìn)行持續(xù)性攻擊)繞過基于代碼建構(gòu)的傳統(tǒng)安全方案,并更長時(shí)間地潛伏在系統(tǒng)中,讓傳統(tǒng)防御體系難以偵測。
無論是哪種攻擊,攻擊行為本質(zhì)上還是屬于數(shù)據(jù)的交互,而數(shù)據(jù)交互肯定會(huì)產(chǎn)生網(wǎng)絡(luò)流量,那么,通過對流量的分析就可以順藤摸瓜找出整個(gè)攻擊行為。智維數(shù)據(jù)nCompass網(wǎng)絡(luò)流量分析平臺(tái)(簡稱“NPM”)通過旁路部署方式,在不影響現(xiàn)網(wǎng)業(yè)務(wù)的前提下,采集并分析網(wǎng)絡(luò)流量數(shù)據(jù),實(shí)現(xiàn)對網(wǎng)絡(luò)流量可視化、異常流量訪問行為的檢測和溯源追蹤取證。
像上文中提到過的DDOS攻擊,智維數(shù)據(jù)NPM能夠根據(jù)基線算法對DDOS流量攻擊進(jìn)行檢測與預(yù)警機(jī)制,根據(jù)歷史流量生成流量基線,突發(fā)的流量超過該基線可直接進(jìn)行預(yù)警,通過Syslog、Email、Kafka、企業(yè)微信、釘釘?shù)确绞竭M(jìn)行告警通知;
圖1 基線展示圖
(上圖為demo數(shù)據(jù)演示)
圖2 根據(jù)基線配置告警圖
(上圖為demo數(shù)據(jù)演示)
而針對上文提到的APT攻擊防御,平臺(tái)可以使用智維數(shù)據(jù)的畫像技術(shù),畫像立足訪問關(guān)系發(fā)現(xiàn)攻擊。不依賴傳統(tǒng)命中特征庫的方式發(fā)現(xiàn)異常,而是基于歷史行為作為健康基線,專注發(fā)現(xiàn)新增的異常訪問連接、展示新增異常訪問的路徑圖,解決攻擊組織通過0day(或其他繞過檢測的方法)進(jìn)入內(nèi)網(wǎng),橫向擴(kuò)散,進(jìn)行機(jī)密數(shù)據(jù)竊取問題。因?yàn)楣艚M織想要竊取數(shù)據(jù),必然要訪問內(nèi)部服務(wù)器信息,就會(huì)產(chǎn)生新增訪問關(guān)系。NPM能夠針對新增訪問的客戶端IP地址聯(lián)動(dòng)漏洞掃描工具進(jìn)行二次掃描并將掃描的初步結(jié)果,以Syslog、Email、Kafka、企業(yè)微信、釘釘?shù)确绞桨l(fā)送告警通知,人工研判后加入白名單或應(yīng)急處置;
圖3 新增發(fā)現(xiàn)異常訪問行為
(上圖為demo數(shù)據(jù)演示)
圖4 新增訪問的訪問關(guān)系路徑圖
(上圖為demo數(shù)據(jù)演示)
若發(fā)現(xiàn)新增客戶端的攻擊行為,NPM平臺(tái)則可以根據(jù)訪問路徑圖排查是否被橫向滲透,還可以根據(jù)發(fā)現(xiàn)的攻擊特征進(jìn)行全網(wǎng)流量大檢查,防止出現(xiàn)漏網(wǎng)之魚。
以美國中央情報(bào)局(CIA)常用的“蜂巢”(Hive)惡意代碼攻擊控制武器平臺(tái)為例子,美國中央情報(bào)局(CIA)攻擊人員首先根據(jù)任務(wù)需求和目標(biāo)平臺(tái)特點(diǎn),使用生成器(hive-patcher)生成待植入的定制化受控端惡意代碼程序(即hived)投放到被攻擊的目標(biāo)系統(tǒng),自檢可正常運(yùn)行后進(jìn)入靜默期,等待遠(yuǎn)程攻擊指令的喚醒,進(jìn)行攻擊行動(dòng)(如ilm connect X.X.X.X 連接被控端IP,F(xiàn)ile delete 刪除指定文件)。
智維數(shù)據(jù)NPM平臺(tái)能夠根據(jù)攻擊指令特征配置相應(yīng)的檢索條件,并進(jìn)行展示。
圖5 過濾符合特征的數(shù)據(jù)
圖6 過濾出來的效果圖
(上圖為demo數(shù)據(jù)演示)
在“蜂巢”腳本中能夠發(fā)現(xiàn)被歷史上用于控制“蜂巢”平臺(tái)的服務(wù)器IP地址,然后使用智維數(shù)據(jù)NPM平臺(tái)的IP地址回溯功能,查找近3個(gè)月是否有與該系列IP交互的數(shù)據(jù);
圖7 過濾高危IP地址
(上圖為demo數(shù)據(jù)演示)
若無則顯示無數(shù)據(jù),若有交互信息則顯示具體的通訊情況;
圖8 無與該批次高危IP通訊的流量
(上圖為demo數(shù)據(jù)演示)
若發(fā)現(xiàn)異常攻擊流量,還可以下載數(shù)據(jù)包進(jìn)行取證留存。
圖9 數(shù)據(jù)包取證留存
(上圖為demo數(shù)據(jù)演示)
由此可見,智維數(shù)據(jù)NPM除了能夠做到日常的網(wǎng)絡(luò)流量監(jiān)控、智能分析、智能告警和快速故障定位之外,針對重要的安全場景也能夠起到很好的預(yù)警和回溯作用。無論事前、事中、事后,NPM都能夠快速提供有效的問題分析手段,幫助運(yùn)維人員與相關(guān)安全部門提升運(yùn)維效率、擊破安全隱患,賦能國內(nèi)網(wǎng)絡(luò)環(huán)境的安全與穩(wěn)定。
