一場美國大片引發的關于內網威脅檢測的思考
責編:mhshi |2017-04-21 15:33:34在探討內網威脅之前,先讓我們來看場電影!
2016年的熱映電影《諜影重重5》是在后斯諾登時代體現網絡攻擊與防御的一部教科書式的影片。在影片的最開始有一段網絡入侵與防御的情節,講述的是某國中央情報局CIA受到攻擊,攻擊者目標直指加密文件服務器,以盜取機密文件為目的。在緊要時刻,CIA的安全專家們迅速做出了反應,通過軌跡回溯機制鎖定了黑客所在的具體物理位置,并控制了當地電網控制系統,最后切斷了攻擊者發起攻擊地點的電源供應,終結了他的攻擊。
在這個情節中,被攻擊者采用的響應措施,其實是釜底抽薪的策略,這確實有些令人意外。在機密文件被竊取這樣的緊急時刻,去控制當地的電力系統來切斷攻擊者所在位置的電源供應,這其實面臨很大的風險。因為如果入侵電力控制系統沒有成功,或者耗時很長,都可能導致更多的數據被盜取,造成的損失會更大。那么問題來了,電影中的CIA安全專家們為什么會采取斷電的方式阻止攻擊者呢?當然除了美國大片萬年不變的宗旨——“最帥最帥我最帥”之外,就是當地的電力控制系統很可能早已被入侵或者遠程控制,只要激活遠程控制代碼,就可以讓電力控制系統發出關閉電力供應的指令。
那么由此引出了另一個問題:當地的電力控制系統已經被入侵并被注入了遠程控制代碼,只是自己沒有發現,這很可能是以前已經遭遇了所謂的APT攻擊(高級持續性威脅攻擊)。電力控制系統通常都是單獨隔離的網絡,很難直接從外網實現入侵,那么這種APT類型的攻擊是如何實現的呢?事實上攻擊者往往是先通過感染內部的某臺主機,然后再逐步入侵更重要的主機,獲得更高的訪問權限,這就是所謂的“城池常常被內部所攻破”的原理。
我們這里就先探討一下,這種從內部發起的感染或者入侵行為,如何被發現并進行防御和控制。首先來看一下,在內部網絡中發生APT類型攻擊的步驟:
1、攻擊者利用系統的后門或者其它方式感染內網終端,將惡意代碼帶入到企業網絡中;
2、惡意代碼在被感染終端上自動運行,進行端口掃描和尋找存在的漏洞,并不斷嘗試進行破解和入侵有漏洞的主機;
3、成功入侵到某些主機,并獲得比之前更高的訪問權限;
4、并重復執行類似的動作,試圖侵入保存更重要信息的主機系統;
5、攻擊者侵入重要的信息系統,可以進行數據盜取或者發出各種控制指令。
由于這種來自內網的滲透式的攻擊,采用了網絡嗅探的方式,通過掃描主機開發的 TCP 或 UCP 端口,尋找主機應用或服務上可能存在的漏洞,然后嘗試進行入侵和獲取應用或主機的訪問權限,所以這種攻擊具備了極大的隱蔽性,即使成功的侵入了存儲機密數據或關鍵應用的服務器,也很難被發現。
當然,所有的端口掃描或者異常訪問的網絡行為,必須通過網絡基礎架構,包括交換機、路由器或防火墻等網絡設備,那么必然在網絡上存在著流量行為,如果能夠將這些流量行為進行監控、記錄和分析,從其中發現異常行為的蛛絲馬跡,再進一步就可以做到對威脅和攻擊的隔離或者攔截。
啟明星辰 FlowEye產品解決方案
通過在內部網絡中部署網絡行為的采集器(簡稱為 流量探針),將內部網絡中的所有訪問行為進行記錄,并進行集中的統計和分析,再基于專有的安全算法和大數據分析,檢測出威脅事件并進行告警。
下圖介紹了 FlowEye實現內網異常行為檢測的實現原理:
在上圖中,所有的網絡流量都鏡像到FlowEye的流量探針上,完成對網絡中用戶、設備和流量的實時狀態進行感知,并提供快速的檢測。由 FlowEye集中數據中心通過大數據和專用安全算法,分析隱藏在大量訪問記錄中的異常行為。
在這個過程中,假如發生了內網威脅類型攻擊時,FlowEye流量探針會收集并記錄訪問行為,然后發送到 FlowEye集中數據中心,FlowEye集中數據中心整合多臺FlowEye流量探針的流行為記錄信息,并通過與資產管理系統進行聯動,將流行為中相關的資產信息進行補全,然后與系統的安全基線進行分析,生成一個威脅指數值用來判定事件的嚴重程度。當威脅指數達到設定的閾值,系統會隨之產生報警事件,并在告警事件中提供相應的資產信息,從而讓用戶快速感知到內網安全威脅。
啟明星辰FlowEye——用戶心目中最有價值的入侵分析安全產品!