當(dāng)前位置:首頁 >  科技 >  互聯(lián)網(wǎng) >  正文

防患于未來:如何建設(shè)深度防御體系

 2017-01-03 10:20  來源: A5專欄   我來投稿 撤稿糾錯

  域名預(yù)訂/競價,好“米”不錯過

概述

從Google的BeyondCorp計劃說起。

Google的這項行動計劃名為BeyondCorp,目的是為了徹底打破內(nèi)外網(wǎng)之別。其基本假設(shè)是——內(nèi)部網(wǎng)絡(luò)實際上跟互聯(lián)網(wǎng)一樣危險,原因有兩點:

1)一旦內(nèi)網(wǎng)邊界被突破,攻擊者就很容易訪問到企業(yè)內(nèi)部應(yīng)用。

2)現(xiàn)在的企業(yè)越來越多采用移動和云技術(shù),邊界保護變得越來越難。所以干脆一視同仁,不外區(qū)分內(nèi)外網(wǎng),用一致的手段去對待。

本文不深入闡述Google的這個方案是如何做的,從這個案例只想說明一個問題,隨著信息安全漏洞層出不窮,而且利用手法也日益精妙,內(nèi)部網(wǎng)絡(luò)也會面臨極大的風(fēng)險(除非是完全物理隔離的內(nèi)網(wǎng))。所以需要同時關(guān)注內(nèi)部網(wǎng)絡(luò)和邊界網(wǎng)絡(luò)的安全。

原理篇

有段時間經(jīng)??粗醒胍惶椎摹督袢照f法》,其中有一個案件尋找破案線索的過程令我印象非常深刻。當(dāng)時大概的案情是在一段沒有監(jiān)控的路上,有個女的被綁架了,這個時候?qū)ふ医壖茏靼傅能囕v就非常重要。由于事發(fā)路段沒有監(jiān)控,尋找作案車輛就陷入了困難,后面公安干警想出了一個非常簡單的辦法找到了作案的車輛。在綁架的現(xiàn)場是沒有監(jiān)控的,但在路的兩頭是有監(jiān)控的,干警用給每輛車計時的方法來查找作案的車輛。如果要作案,必須要有作案的時間,也就是說這輛車的通過時間要比其他車輛時間要長。這就是最簡單的邏輯推理破案。

同理,網(wǎng)絡(luò)安全事件的發(fā)生也會有類似的邏輯,很多時候通過直接的手段很難發(fā)現(xiàn)入侵行為,但如果用推理的方式,入侵一定會存在某些不同尋常的行為。就像剛才的案件,沒有直接監(jiān)控發(fā)現(xiàn),但車輛通過的時間會比其他時間長。如果我們擁有多樣化的縱深防御能力,對進攻行為體系化防御,就帶來了更多的防御點和監(jiān)測點,樣就可以極大的降低安全的風(fēng)險。

防御具有排兵布陣的的先發(fā)優(yōu)勢,在精心策劃下,可以通過深度防御防止單點突破造成的入侵。我們以主機入侵為例來說明深度防御的架構(gòu)。對于主機來說,主要有幾個層面的內(nèi)容,網(wǎng)絡(luò),進程,文件,操作命令,文件操作,系統(tǒng)事件大概幾個方面。通過這幾個方面的綜合分析,就可以發(fā)現(xiàn)絕大多數(shù)的入侵行為。

無標(biāo)題

我們從一些假設(shè)的攻擊開始分析,大多數(shù)的攻擊都是從弱點開始,包括一些漏洞、弱口令、0day等等,由其是0day,大多數(shù)基于規(guī)則的安全防護都是失效的。攻擊的第一步是踩點,踩點的行為有多種多樣,最常用的是掃描,包括主機掃描,端口掃描,漏洞掃描等,掃描的發(fā)現(xiàn)可以從兩個方面來發(fā)現(xiàn),一是從網(wǎng)絡(luò)上發(fā)現(xiàn)流量的異常行為,比如端口掃描就會發(fā)現(xiàn)一臺主機在短時間內(nèi)容會有大量的不同端口請求。一是從主機上可以發(fā)現(xiàn),比如密碼猜測掃描就會發(fā)現(xiàn)大量的登錄失敗的日志等。

當(dāng)發(fā)現(xiàn)主機有漏洞的時候,下一步要做的事情是漏洞利用,漏洞的利用過程有時候很難被感知,比如緩沖區(qū)溢出等,但利用后的結(jié)果還是從系統(tǒng)中可以發(fā)現(xiàn)。比如如果有弱口令就會發(fā)現(xiàn)有異常登錄行為,包括時間異常,登錄源IP異常等等。比如文件的上傳行為,用戶操作行為,大多數(shù)黑客攻擊成功后會到服務(wù)器上上傳一些木馬等文件,會做一些操作行為,比如創(chuàng)建一些隱蔽賬號等。

當(dāng)一臺主機被黑客控制后,往往這臺機器機會淪為黑客的肉雞,這個時候也會產(chǎn)生一些異常的行為,比如在網(wǎng)絡(luò)上,會有非法外聯(lián),不管是木馬主動發(fā)起還是木馬被動監(jiān)聽,都會在網(wǎng)絡(luò)上產(chǎn)生這些異常信息。在進程層面,很多時候會產(chǎn)生異常進程,很多進程會通過偽裝成系統(tǒng)進程名,但是只要留意依然能夠被發(fā)現(xiàn)。

技術(shù)篇

對linux系統(tǒng)而言,這些參數(shù)和指標(biāo)都是比較容易的。下面是我經(jīng)常用的一些腳本可以參考下。

進程:ps aux|sed -n '2,$p'|awk 'BEGIN{count=0;}{suser[count]=$1;pid[count]=$2;cpu[count]=$3;mem[count]=$4;p[count]=$11;count++;};END{for (i = 1; i < NR; i++)print "seci-host-process user="suser[i]" pid="pid[i]" cpu="cpu[i]" mem="mem[i]" process="p[i]}' |sort |uniq|egrep -v "suser|grep|ps|sed|awk|sort|uniq|egrep|[[*]"

端口:ss -ntu|sed -n '2,$p'|awk 'BEGIN{count=0;}{pr[count]=$1;fl[count]=$4;si[count]=substr($5,1,index($5,":")-1);sp[count]=substr($5,index($5,":")+1,length($5));ti[count]=substr($6,1,index($6,":")-1);tp[count]=substr($6,index($6,":")+1,length($6));count++;};END{for (i = 0; i < NR; i++)if(si[i]!=ti[i])print "seci-host-network pro="pr[i]" sendFlow="fl[i]" sourceIp="si[i]" sourcePort="sp[i]" targetIp="ti[i]" targetPort="tp[i];}'

操作命令審計:export PROMPT_COMMAND='{ msg=$(history 1 | { read x y; echo $y; });logger " secisland user=$(whoami)" client=$SSH_CLIENT path=`pwd` command: "$msg"; }'

系統(tǒng)事件:正常在/var/log/secure文件中,比如登錄成功失敗等。

上傳下載:目前l(fā)inux sshd會自帶的sftp協(xié)議日志,通過配置可以記錄sftp的日志。

配置:#vi /etc/ssh/sshd_config

修改 Subsystem sftp /usr/libexec/openssh/sftp-server

如下Subsystem sftp internal-sftp -l INFO -f local0

去掉下面一行的注釋 #LogLevel INFO

修改syslog配置 vi /etc/rsyslog.conf

# 增加一行

local0.* @ip

文件修改:對文件修改的監(jiān)控稍微麻煩點,可以通過輪詢文件修改時間,通過實現(xiàn)對文件進行打標(biāo)簽對比。效果比較好的方式是利用linux的inotify機制來監(jiān)控文件操作。

Inotify 是一個 Linux特性,它監(jiān)控文件系統(tǒng)操作,比如讀取、寫入和創(chuàng)建。Inotify 反應(yīng)靈敏,用法非常簡單,并且比 cron 任務(wù)的繁忙輪詢高效得多。多用在主機防篡改,網(wǎng)頁防篡改中,比較重要所以系統(tǒng)也集成了此功能。

安裝SeciInofify,這個版本支持syslog發(fā)送,安裝好后,運行:

nohup ./inotifywait -c -rme create,modify,delete,move,attrib,delete_self /home /etc &

這樣就對指定的目錄/home /etc進行監(jiān)控,這兩個目錄中文件的任何變化都會發(fā)送到日志服務(wù)器中。

總結(jié)

如果在日常運維中能構(gòu)建深度防御體系,實時的分析主機中的網(wǎng)絡(luò),進程,操作命令,文件操作,系統(tǒng)操作,上傳下載行為,能把這些環(huán)節(jié)都記錄加以分析的話,應(yīng)該大多數(shù)的情況下能第一時間發(fā)現(xiàn)入侵行為。這樣就降低了很大的風(fēng)險。但這些東西如果都手工來做,效率還是比較低的,可以借助日志收集分析工具來進行分析,比如splunk,arcsight,SeciLog,elk等。這樣就會達到事半功倍的效果。

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關(guān)文章

熱門排行

信息推薦