• <button id="qiake"><tr id="qiake"></tr></button>
    <bdo id="qiake"></bdo>
  • 護航網絡安全新利器NDR

    日期:2021-04-29 17:17:14 / 人氣:939


    1

    護網背景


    在國內數字化轉型過程中,物聯網、大數據、人工智能和云計算等新技術的應用,導致企業的攻擊面不斷擴大,傳統的網絡邊界持續瓦解,帶來物聯網安全、云安全、移動安全、數據安全、安全智能運維等全新的挑戰。

    與此同時,網絡攻擊已經發展成有組織的犯罪行為,呈現手段專業化、目的商業化、源頭國際化及載體移動化的趨勢。

    復雜的網絡環境、日益高級的網絡攻擊促使安全防護體系不斷演進。在這種嚴峻的網絡安全態勢之下,由公安部牽頭組織事業單位,國企,名企等開展攻防兩端的網絡安全演習。

    2

    護網簡介


    公安部組織的護網演習已開展6年,前三年可以說是合規性檢查,主要檢查企業部署了哪些網絡安全產品,企業的安全保障體系架構是否完整。最近三年,也就是2019至2021年,護網進入了實戰對抗階段,此時檢驗的不僅是企業有什么,還要考驗企業的安全防護能力,安全檢測能力,應急響應能力等,總體來說就企業整體的網絡安全防護及應急響應能力。

    在演習的過程中,主要分成兩部分,攻擊方紅隊以及防守方藍隊,其中,紅隊為公安部組織,藍隊為企業自建。護網實際是紅隊和藍隊之間的較量,那么防守方必須具備網絡安全體系框架的三種能力,即網絡攻擊檢測與分析、安全事件應急響應以及網絡攻擊溯源分析三部分。

    3

    NDR產品對護網的應用


    在護網攻防演練中,不論攻擊成功與否,攻擊行為的載體只可能是網絡流量。因此網絡流量監測與分析技術可以說是藍軍的一張王牌,通過對正常業務與威脅行為的建模,能夠在第一時間發現入侵事件,甚至還原整個攻擊流程。

    4

    網絡威脅追蹤溯源系統(NDR)關鍵能力


    在實際應用場景中,流量獲取、協議解析、流量還原、攻擊行為分析、實時的攻擊過程追蹤、聯動處置、追蹤溯源等關鍵能力,決定了NDR能否為藍軍帶來最大化的防御效益。

    • 流量獲取能力

      對于企業來說,企業的網絡主要分為內網和外網兩部分,能夠訪問核心生產系統的一般有兩個區域:企業對外公布的門戶網站以及運維人員所在的運維區域。對于前者,紅隊采用從類似門戶網站正面攻擊的入侵流量,后者通常采用社工的方式拿下內部維護人員的運維終端后發起攻擊行為,所以,對企業網絡的安全防護包含內網及外網兩部分,這兩部分流量監控及防御缺一不可。


      NDR系統采用旁路部署,不會影響企業網絡結構,不會造成單點故障等問題,流量獲取方式支持交換機端口鏡像,支持從分流、分光等設備接入待檢測流量。
    • 協議解析能力

      協議解析是異常流量分析的根基,NDR產品應從 ISO 七層模型和應用領域兩個維度支持盡可能全的通訊和網絡協議,而非單純追求 L2 到 L7 的協議數量。NDR產品的協議解析除了包含ISO七層模型的網絡和通訊協議外,還有對于應用軟件的協議解析。

    • 流量還原能力

      系統被攻擊入侵后,要想取證或溯源,必須借助流量還原,這種網絡流量深度記憶力,能夠將流量數據以不同的統計維度進行透視分析,對網絡種傳輸的數據包進行流重組,并還原網絡中通過 HTTP、FTP、SMTP、POP3、IMAP等傳輸的文件,支持的文件類型包括不限于exe、doc、xls、sis、sisx、jar、apk、cab、ipa、cod、alx、prc、zip、rar、elf,并對還原出的數據及文件進行深度的行為分析和檢測,重演攻擊過程、勾勒病毒擴散及網絡攻擊路徑。

    • 攻擊檢測能力

      NDR技術不只是依賴于簽名指紋匹配的傳統網絡威脅檢測技術,系統采用大數據+人工智能+安全的方式,基于特征檢測、行為檢測、基因檢測、機器學習和深度學習等技術,對網絡攻擊事件、web攻擊事件、惡意文件傳播、C&C控制等具備實時或準實時的高效檢測能力,并通過智能的推理分析引擎,還原紅方攻擊鏈。
    • 異常流量分析能力

      對原始流量初始化處理之后,通過多維度智能分析,進行攻擊事件的告警、攻擊態勢、威脅趨勢預警輸出,用于支撐網絡威脅態勢、安全告警監控展示。NDR借助大數據、行為分析、機器學習/深度學習(如 HMM、XGBOOST、CNN、 LSTM)等技術繪制重要資產應用系統的流量秩序基線,通過網絡流量變化的特征來確定流量異常行為發生的時間點,分析流量行為特征參數,找出異常行為對應的源 IP 及目的 IP;最后根據攻擊日志和行為日志判定資產是否失陷。
    • 攻擊溯源能力

      系統通過對攻擊事件及全流量行為的日志記錄,利用大數據分析和機器學習的方式,依據ATT&CK及killchain攻擊模型,自動生成網絡攻擊鏈。
    • 運維自動化能力
      NDR設備具備威脅處置能力,并集成眾多應急響應工具,對于明確的攻擊事件,產品除了自身具備封堵處置的功能,且具備與其他完全產品聯動的能力,對發現的攻擊能實現快速高效的響應能力。特別是護網、重保等場景中,聯動處置讓藍軍獲可以“一鍵應急”,既規避了防守方人員技術能力參差不齊的問題,又能防止安全風險的進一步擴散。

    5

    藍軍的應用


    完整攻擊鏈大概包括信息搜集、建立據點、權限維持、權限提升、橫向移動、戰果擴大、痕跡清除等七個階段,每個階段存在多種手法。

    • 對抗信息搜集:告警自動化工具掃描行為。

      這個階段采用自動化工具掃描的行為最為常見,NDR系統可對該行為進行告警。

      比如,針對用 Nmap、Hscan、dirbruter、appscan 等常見工具的信息刺探行為,NDR通過識別工具的指紋(采用的字典,或請求中的 UA、cookie、URI 等首部),快速發現掃描行為。

    • 對抗初始入侵:對抗初始入侵階段。

      對外部服務、釣魚等方式的攻擊行為具備高效的檢測能力,系統通過行為分析、機器學些等方式,解析雙向網絡流量,對請求和應答的數據進行分析,發現初始入侵行為并告警,定位到受攻擊的網站服務器、攻擊路徑和具體頁面信息;并聯動防火墻、WAF等安全防護設備進行 IP 封堵,幫助快速解決問題。

    • 對抗權限維持:識別 C2 流量。

      NDR系統對于C2的檢測方式包含兩種,一是基于威脅情報和主動外聯、行為模型、會話反彈等流量特征,除了基于流量特征的檢測方式,偵測后門反彈時使用信道,識別 C2 流量。
      二是NDR借助大數據、行為分析、機器學習/深度學習等技術,生成應用系統業務互聯關系及流量特征的秩序基線,再通過網絡互聯關系的變化和流量特征的變化來確定是否發生了異常的網絡攻擊行為,并分析流量行為特征參數,找出異常行為對應的攻擊來源及目的攻擊目標;最后根據攻擊日志和行為日志判定是否為C2流量。
    • 對抗橫向移動:分析內網資產/服務探測動作。

      NDR系統通過對全網流量的分析,能夠梳理企業內網所有資產開放服務及端口,攻擊者在橫向移動前勢必先做內網資產和訪問探測,NDR系統可分析出內網探測動作。比如,內網服務探測,網絡嗅探、端口掃描等。
    • 對抗戰果擴大:防止數據泄露。

      攻擊者拖取數據時,NDR可識別敏感信息特征,發現并阻攔數據盜取行為。利用NDR內容識別引擎,并配合識別策略,對還原后的 流量進行分析,判斷是否含有敏感信息,及敏感信息類型。

      利用脈診引擎,基于流量秩序基線,識別異常網絡流量,檢測數據外泄行為。
    • 對抗痕跡清除:溯源攻擊過程。

      NDR系統通過聚合關聯利用攻擊鏈各階段的流量,將告警之間的時序關系、因果關系進行關聯分析,通過系統的推理引擎,結合流量秩序基線、網絡攻擊事件及未知威脅事件、敏感數據泄露事件等,從攻擊者的角度出發,推理整個攻擊發生及演變的過程,從而還原整個攻擊流程,并將攻擊過程映射ATT&CK框架,以紅隊的視角可視化攻擊過程,為藍隊在應急響應方面提供參考。
    • 自動化運維:高效的應急響應。

      通過系統封堵處置及聯動功能,可快速對確認的攻擊行為進行處置,并調用系統自帶安全工具,快速發現企業內部存在的安全風險,并對風險進行加固,實現智能的安全事件運維。

    6

    總結


    棱鏡網絡威脅追蹤溯源系統對攻擊行為在防御體系內外部的路徑進行分析,并對相關聯的行為進行相關性組合。在安全事件發生后,能夠對攻擊事件下鉆到原始日志進行分析取證,對回溯到的攻擊源,可以利用威脅信息進行驗證的能力;攻擊鏈模型對攻擊事件進行溯源分析,通過將產生的安全事件按攻擊過程分類,不限于信息收集、初始入侵、權限維持、權限提升、橫向移動、命令控制、數據外泄等。在真實的攻擊事件發生后,通過ATT&CK攻擊鏈模型結合人工分析判斷找到真實攻擊源的能力。

    綜合來看,NDR 有其先天流量優勢,可對網絡中全部的流量進行全量記錄、實時的深度監測分析,了解網絡中發生的任何事情。在攻防演練中,通過對網絡中流量行為的監測與分析,發現攻擊行為并且快速進行響應,提升檢測精度,減少誤報率,提高應急響應效率。而基于溯源分析,不僅可以還原整個攻擊流程,企業還可以進一步完善自身在事前的攻擊模型建模,進一步優化整體安全能力。




    作者:admin


    熱線電話:400-680-0996      周一至周日:9:00-17:35     

    地址:北京市昌平區高新四街6號院1號樓4層411(中關村科技園昌平示范園)

    欧美z0z0人禽交_好涨好硬好爽免费视频_免费人成高清在线观看_国产成 人 黄 色 网 站 视频