近几年的攻防演练显示,攻击方的手段越来越隐蔽,经常通过0Day、NDay漏洞快速侵入靶标系统并取得控制权限。这种隐蔽性的攻击给防守方的工作带来了很大的难题。
与攻击方尽量隐蔽痕迹、防止被发现的意图相反,防守方需要尽早发现攻击痕迹,并通过分析攻击痕迹,调整防守策略、溯源攻击路径甚至对可疑攻击源进行反制,而建立全方位的安全监控体系是防守方最有力的防卫武器。因此,本文将重点介绍安全监控,帮助各位了解在攻防实战中,如何进行高效的安全监控。
本文与笔者之前发布的攻击研判、红队演练,以及风险收敛加固三篇文章形成了攻防演练的系列内容,详细阐述了攻防演练不同阶段蓝队的防护举措,有兴趣的读者可以结合起来阅读。
扫码下载红蓝对抗服务全景图
什么是网络安全监控?
网络安全监控是持续观察用户网络中所发生事情的过程,目的在于监测潜在的网络威胁和及早发现系统被入侵的风险。安全监控可以理解为网络安全界的“吹哨人”,它在检测到网络攻击时发出报警,并在造成严重损害之前帮助用户做出响应,及时检测和管理潜在威胁,有助于保护用户的业务应用程序、数据以及整个网络。
安全监控的过工作通常需要包括以下几个方面:
- 收集和分析数据以识别网络变化或异常行为
- 利用威胁情报来识别最新的风险
- 确定需要注意的特定行为类型
- 在威胁成为安全事件之前采取行动
- 生成详细的网络安全报告
网络攻防演练中,监控工作主要由安全监控和应急处置小组完成。他们一般将监控重点放在三个端上:网络端、服务器端和个人终端三个角度进行。
- 网络监控。当攻击者通过网络发动攻击,就会产生网络流量。防守方通过对企业外部与内部间的所有流量进行监控和分析,结合安全人员的深入分析,可快速发现攻击行为,并提前做好针对性防守准备。
- 主机监控。通过在每台主机(服务器)上安装代理(Agent)来进行对操作系统层面的日志监控,日志信息是帮助蓝队分析攻击路径的一种有效手段。蓝队通过分析用户系统的行为和配置状态,并结合网络全流量监控措施,从而准确、快速地找到攻击者的真实目标主机。
- 终端监控:除了网络与主机以外,对终端的监控同样必不可少。红队很容易从终端发起攻击,然后逐步渗透到核心服务器。因此,持续监控终端的日志和行为也是安全监控的重点之一。
安全监控不是攻防演练的目的,它只是蓝队进行安全防护的手段之一。安全监控应该覆盖攻防演练的全流程,除了流量和日志,防守方通常还会安排专门的安全人员对互联网上新披露的漏洞进行持续监控,防止其成为红队的入侵点。
为什么需要安全监控?
不同于传统的渗透测试,攻防演练中红队完全按照攻击者的思维,发起高强度、高水平的网络攻击,专注于攻击和暴露网络安全漏洞。因此,对蓝队来说,监控是能够及时发现攻击的至关重要的一步。虽然预防性安全技术能够应对已知的基于签名的威胁,但蓝队仍需要网络安全监控来识别更复杂的威胁,它可以帮助蓝队:
- 缩短响应攻击的时间
网络攻击可能会在最意想不到的时候发生,用户必须在检测到威胁后立即进行控制和补救。持续的网络安全监控可以让用户在攻击造成广泛破坏之前做出响应。
- 检测到新的未知威胁
由于网络安全形势在不断变化,新型攻击层出不穷。因此,防守方不能仅仅依赖于对已知威胁的特征值来进行安全防护,他们需要基于对流量、主机上异常行为痕迹等监控来发现新的未知威胁,例如0day攻击。
- 限制红队攻击造成的损害
在攻防演练中,攻击方往往通过某一漏洞进入内网,继而横向移动,最终拿下靶标系统。这种情况下,通过网络安全监控,用户可以及时发现并组长攻击者在内网的移动。安全监控会自动检测用户网络中的任何异常活动,并阻止它威胁蔓延到其他区域造成广泛破坏。
实施安全监控的4大要点
虽然安全监控对蓝队做好安全防护来说至关重要,但建立有效监控机制的过程并不简单。笔者整理了用户在实施安全监控时涉及的基本步骤。
1. 确定监控范围和要重点保护的靶标系统
攻防演练中,防守方的监控范围可以概括为外网、内网两个维度,外网代表企业资产在互联网中的暴露面,比如IP地址、端口的数量等;内网代表企业内部各部门联通或远程办公人员访问内网服务等情况。
另外,在确定监控范围之后,蓝队还需要明确保障目标系统(靶标系统)和重点资产,并对重点监测资产进行监测优先级排序,这样才能将有限的资源用在重点资产监控上。
表1 攻防演练中资产监控优先级排序
2. 创建一个识别用户行为变化的流程基线
针对潜在内部威胁,需要通过持续的安全监控。首先,必须为整个企业组织的标准用户行为设置基线,了解大多数员工通常如何使用网络中的应用程序和数据。随后,就可以通过安全监控和行为基线来识别一些可能存在潜在安全威胁的可疑行为变化。
3. 确保持续监控所有端点
当攻击者侵入内网之后,为了获取更多的资产信息进行下一步行动,他会进行横向渗透。因此,用户必须持续监控所有端点,包括台式机、笔记本电脑、服务器和其他设备。
4. 与应急处置组协同工作
攻防实战阶段监控人员需具备基本的安全数据分析能力,根据监测数据,情报信息能基本判断攻击有效性。一旦确定攻击事件,应立即协同应急处置人员采取技术手段遏制攻击、防止蔓延。事件处置环节,应联合运维和安全等多个岗位人员协同处置。
攻防演练中安全监控最佳实践
考虑到技术和人员等方面的原因,很多企业并不具备独自实施安全监控的能力,这就需要选择一个靠谱的安全厂商提供托管式的安全监控服务。
青藤作为有6年多攻防实战经验的安全厂商,将专业的安全监控服务与主机安全、容器安全、微隔离等多款安全产品相结合,形成了「产品+服务」的安全监控服务模式,可以创建针对不同用户的独特需求定制专家策略。从识别漏洞到修复漏洞,青藤的安全服务为用户的提供全流程的安全保护。
- 持续性监控分析,及时发现最重要的风险
主动、持续性地监控所有主机上的软件漏洞、弱密码、应用风险、资产暴露性风险等,并结合资产的重要程度进行风险分析,准确定位最急需处理的风险,帮助企业快速有效解决潜在威胁。另外,安全团队持续关注国内外最新安全动态及漏洞利用方法,不断推出最新漏洞的检测能力,实现紧急安全事件快速响应。
- 多锚点、全方位攻击监控
通过对攻击路径的每个节点进行深入监控,提供了多平台、多系统的全方位、高实时的攻击监控,对进程变化、文件变化、登录登出等事件了如指掌,做到了实时监控“全”方位,保证了能实时发现失陷主机,对入侵行为进行告警。
- 只告警“成功的入侵”,减少告警量
由于网络安全监测设备原理机制的原因,误报在所难免。当有大量误报时,网络安全监测人员只能通过经验进行排除,难度很大。但青藤安全监控服务只对“成功的入侵”行为发出告警,有效减少告警量,提升了告警有效性。
截至目前,青藤已服务1000+涉及金融、运营商、能源、电力、政府、军工等行业的攻防演练项目,实现所有关基行业的全面覆盖,并在省、市级及行业攻防演习中多次取得第一,受到了各个行业的广泛认可。登录青藤云安全官网或立即致电400-188-9287与青藤安全专家联系,即可免费咨询关于安全监控或攻防演练的任何问题。
文末福利!
攻防演练即将开始,为了帮助更多企业做好安全防护,青藤特推出《攻击视角看防守-域安全常见攻击与检测》直播课,6月14日(星期二)19:30,青藤吴钩实验室高级安全研究员毕鑫泰带你从攻击者的角度更全面、深入地研究蓝队防守细节。
点击以下链接,了解更多&报名预约~
