區域網態勢感知與安全運營 轉)

2022-07-03 14:48:12 字數 2256 閱讀 6625

區域網的概念應該不用再複雜的贅述一遍,大家都懂。但在這裡區域網並非指得是傳統概念上的區域網、都會網路、廣域網中的區域網,而是屬於乙個組織的所有資產所構成的網路以及其與外界通訊通道的集合。

態勢感知的概念這幾年都很火,聽了很多介紹,宣講以及產品展示。就在思考乙個問題什麼是態勢感知。態勢感知援引美國海軍的周邊環境敵我識別+敵情系統。其實是所謂宙斯盾級別驅逐艦(具備有源相控陣雷達組,具備敵我識別、目標跟蹤、敵情判定等一整套戰場環境感知能力的戰艦)就是態勢感知的乙個良品。用盾艦配合潛艇護衛者航母組成了美海軍獨霸天下的航母打擊群。

網路是虛擬的戰場,我們也需要一整套的宙斯盾系統來作為我們防禦和進攻的依據。原來我們用ids和ips,可以在一定程度是識別敵人(內部做壞事的也算是敵人),但是我們看到ids和ips系統每天成千上萬的告警,需要乙個很龐大的安全團隊去處置。一來,建立乙隻龐大的安全團隊並不容易,二來ids和ips的大量誤報或者近似誤報(技術上不是誤報但是業務上算是誤報)朗威了大量的人力和時間,三來ids和ips的漏報有可能留下隱患。業界了為了解決這個問題,開始不斷提公升報警率,降低誤報率。但是攻防不對等導致的該矛盾不僅沒有解決反而愈演愈烈。然後發展到soc聚合流量和日誌分析,這進了一步,但是還不夠,海量的資料處理越來越依託大資料,而效果也是不令人滿意。

真正的態勢感知是抽象出來的,不是基於一條一條的告警、或者攻擊日誌。而要建立攻擊鏈的概念。攻擊鏈就是a攻擊了b,無論a使用了什麼方法、多少種方法,用了多少個漏洞,前前後後多少次攻擊,間隔多久,都歸而劃一,就是a攻擊了b。a到b的整體攻擊行為就是一條攻擊鏈。此外對於蠕蟲木馬類傳播的處置還需要建立攻擊源的概念,a傳播了wanncry,無論他傳播了多少下家,a就是攻擊源,掐死a沒有問題。當然這裡是對威脅三要素中安全情勢的處理(這裡不再用事件的概念,為了與ids和ips的告警事件的概念區分)。至於資產和漏洞(脆弱點)也可以接入整個態勢感知系統作為自己方的資料的一部分,從而達到真正的風險評估三要素的統一結合。

建立起了攻擊鏈和攻擊源的概念,我們對組織內部安全運營就有了新的認識。按照這個理論,我們還有受害者和潛在受害者(兩者都是資產),還有潛在受害點的概念(漏洞)。還有乙個概念就是暴露面積的概念,比如a傳播wanncry,但是a只能通訊b和c,b只能通訊d,c和d都不能繼續通訊出去(acl限制),那麼暴露面積就是b、c、d。如果b已經中招,c和d還沒中招,但是c存在ms17-010漏洞,d不存在。那麼d就不具備潛在受害點,但是c具備。c和d雖然都是潛在受害者,但是只有c有可能中招。

上面的概念有點紛繁複雜了是不是,其實我們可以分類成四個維度來看。第一維度--我情,這裡面就包括我方資產資訊,這裡面就包含了受害者、潛在受害者、潛在受害點、暴露面積等資訊。第二維度--敵情:攻擊源及其資訊(這裡面包含了很多公司和實驗室現在在做的攻擊者畫像等等。組織內部的敵情可以根據自己收集的資訊去統計歸類,組織外部的資訊如果不是專門做資訊保安類的企業或生態及企業,可能需要去購買威脅情報來補充。)第三維度--戰況,戰況就是攻擊鏈,以及攻擊鏈的詳情(我建議需要重點關注下攻擊鏈中的一些特殊的攻擊手段和告警,例如wanncry)這種情況會有相應的不同的解決方案。第四維度--趨勢,從我情、敵情和戰況來判斷未來趨勢走向,這個是企業安全戰略的問題。

敵情:戰況:

趨勢:從安全運營的角度來看一看。首先,我們終於脫離了一條一條去處置告警的繁瑣的重複性體力勞動,我們從攻擊鏈的角度來看問題,10000+的告警可能就是三個攻擊源攻擊了四個目標,一共3x4=12條攻擊鏈資訊,追溯攻擊源3個,處置3攻擊源,就可以遏制時態的進一步擴充套件。處理四個受害者可以完成定損、止損、回覆業務、整改修復方案的指定與推進。站在上帝視野看事情,解決內網安全運營的根本問題。其次,沒有告警就沒有攻擊發生嗎?答案顯然是否定的,但是整個攻擊鏈條中是否一條告警都不觸發呢,不排除這種大神,但是也絕對是鳳毛麟角,所以只要有一條告警,就可以抓住整個攻擊鏈,也在一定程度上緩解了漏報帶來的風險問題。再次,日誌和流量還有告警終於可以在乙個平台統一分析整合,避免了之前多平台切換,資料整合分析需要人工完成的尷尬。

原有情況新出了一種攻擊手段,新出了乙個高危漏洞,如何評估組織內部風險,檢視機器,排查受影響元件、手工評估多少臺機器,多少業務受影響。現在可以自動化完成這一切,得益於我們前期資料的系統性梳理和統計,完美的解決了這個問題。

企業無線區域網安全

team pst www.ph4nt0m.org author 雲舒 wustyunshu hotmail.com 一 前言以及版權 網路本來是安全的,自從出現了研究網路安全的人之後,網路就越來越不安全了。希望更多的文章是用來防禦,分析,而不是純粹的攻擊。本文可以任意 但必須保證完整性,且不得私自用...

區域網安全實戰教程

終於趕在6月底之前將這套 區域網安全實戰教程 發布上線了,這套教程主要是針對2016年國賽第二階段的 四 五 六題,內容主要包括 mac泛洪 dhcp arp stp 另外還包括了2015和2016年國賽第一階段交換機配置的相關題目。同以往一樣,雖然教程主要內容都是基於比賽,但絕不能僅侷限於比賽,所...

區域網安全實戰教程

終於趕在6月底之前將這套 區域網安全實戰教程 發布上線了,這套教程主要是針對2016年國賽第二階段的 四 五 六題,內容主要包括 mac泛洪攻擊 dhcp攻擊 arp攻擊 stp攻擊,另外還包括了2015和2016年國賽第一階段交換機配置的相關題目。同以往一樣,雖然教程主要內容都是基於比賽,但絕不能...