提示:正文共6400字,预计阅读需要17分钟
入侵检测是帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息,看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测是系统保护的最后一道安全闸门,在不影响网络和主机性能的情况下进行监测,从而提供对内部攻击、外部攻击和误操作的实时保护。
入侵行为的影响程度取决于对信息安全CIA三元组的破坏程度、商业压力及监管压力等多方面的影响。
黑客在未经授权的情况下,控制、使用我方资源(包括但不限于读写数据、执行命令、控制资源等)达到各种目的。从广义上讲,黑客利用SQL注入漏洞窃取数据,或者拿到了目标域名在ISP中的帐号密码,以篡改DNS指向一个黑页,又或者找到了目标的社交帐号,在微博/QQ/邮箱上,对虚拟资产进行非授权的控制,都属于入侵的范畴。
企业入侵检测的范围,多数情况下比较狭义:一般特指黑客对PC、系统、服务器、网络(包括办公网、生产网)控制的行为。
黑客对PC、服务器等主机资产的控制,最常见的方法是通过Shell去执行指令,获得Shell的这个动作叫做GetShell。
比如通过Web服务的上传漏洞,拿到WebShell,或者利用RCE漏洞直接执行命令/代码(RCE环境变相的提供了一个Shell)。另外,通过某种方式先植入“木马后门”,后续直接利用木马集成的SHELL功能对目标远程控制,这个也比较典型。
因此,入侵检测可以重点关注GetShell这个动作,以及GetShell成功之后的恶意行为(为了扩大战果,黑客多半会利用Shell进行探测、翻找窃取、横向移动攻击其它内部目标,这些区别于好人的特性也可以作为重要的特征)。
有一些商业产品,喜欢报告GetShell之前的一些“外部扫描、攻击探测和尝试行为”,并美其名曰“态势感知”,告诉企业有人正在“试图攻击”。在笔者看来,实战价值并不大。很多企业,基本上无时无刻都在遭受“不明身份”的攻击,知道了有人在“尝试”攻击,如果并不能有效地去行动,无法有效地对行动进行告警,除了耗费心力之外,并没有太大的实际价值。
当我们习惯“攻击”是常态之后,就会在这样的常态下去解决问题,可以使用什么加固策略,哪些可以实现常态化的运营,如果有什么策略无法常态化运营,比如需要很多人加班临时突击守着,那这个策略多半在不久之后就会逐渐消逝掉。跟我们做不做这个策略,并没有本质上的区别。
类似于SQL注入、XSS等一些不直接GetShell的Web攻击,暂时不在狭义的“入侵检测”考虑范围,建议可以划入“漏洞”、“威胁感知”等领域,另行再做探讨。当然,利用SQL注入、XSS等入口,进行了GetShell操作的,我们仍抓GetShell这个关键点,不必在乎漏洞入口在何处。
入侵检测技术:入侵检测是指“通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图”。
入侵检测技术从结构上包含:入侵检测知识库、入侵检测主体、入侵检测体系等子结构。
1. 通过特征、模型、异常检测等手段进行入侵防御。
2. 部署于主机之上,实现无盲区覆盖。
3. 在高可用场景下依然可用,基于异常的启发式规则,将变种入侵手段通过行为特征捕获。
4. 可通过时间窗口关联多次行为特征,提高入侵检测的敏感和准确度。
5. 基于已知的行为判断发现发现未知的入侵行为。
入侵检测体系是根据入侵检测知识库建立的对抗入侵行为的制度和框架。入侵检测体系从粗糙臃肿、定位笼统不清晰的安全运营体系中抽离并对入侵检测体系再次抽象。
从而对企业内部入侵检测制度规范、检测策略、框架产生定义。入侵检测主体根据入侵检测知识库提供设计指导思想,建设和实施入侵检测体系。对检测到入侵行为后还原事件提供极大的帮助。
入侵检测框架是入侵检测实施主体结合入侵检测体系的制度规范、入侵检测框架的设计需求,对入侵检测系统的产生定义。为入侵检测系统实例提供设计标准,功能模块等方面的指导思想。是为了提高同步性、整合性、解耦方面的产物。
鲁棒性:比如说,计算机软件在输入错误、磁盘故障、网络过载或有意攻击情况下,能否不死机、不崩溃,就是该软件的鲁棒性。
1. 解决现有入侵检测商业化方案不能完美符合企业要求的问题:
2. 解决入侵检测效率低下的问题
3. 解决无完善标准化流程的问题
4. 提升复杂入侵场景感知难的能力:
5. 解决经验无法赋能至体系中的问题
1) 事件响应后通过复盘优化入侵检测知识库,知识库再对系统赋能形成响应闭环。
6. 解决体系中因制度、策略、框架过度耦合带来的一些问题,将入侵检测体系中的制度、策略、框架在一定程度上解耦。
入侵检测系统是根据入侵检测框架设计需求实现的结构化系统实例。含有对入侵行为进行自动化的监视、审计、缓解、阻断,事件还原等方面功能。每个入侵检测系统实例基本含有四个模块:事件产生、事件数据库、事件分析引擎、事件告警引擎触发。每一个入侵检测实例含有一个或多个模块。根据企业环境,各个实例的数据库、分析引擎、告警引擎可能有不同程度的统一。各个模块也可能多次、交叉、无固定顺序的进行关联形成一个联合整体。(大多数情况下,阻断功能可能会影响业务的正常进行,不建议轻易尝试)
策略:
制度:包含在入侵检测体系内
框架:包含在入侵检测框架内
3. 终端入侵检测系统(HIDS):基于终端行为对操作系统的程序,可执行代码,异常操作等可疑行为监视、审计的主机入侵检测系统;
5. 防泄漏系统:基于终端或网络,对机密信息非正常或过程的转移、窃取、复制等异常行为预防、检测、缓解的(针对企业机密的透明加解密(HDLP)、网络行为审计(NDLP、行为审计)、非信任设备监控)系统;
如果对黑客的常见入侵手法理解不足,就很难有的放矢,有时候甚至会陷入“政治正确”的陷阱里。比如渗透测试团队说,我们做了A动作,你们竟然没有发现,所以你们不行。而实际情况是,该场景可能不是一个完备的入侵链条,就算不发现该动作,对入侵检测效果可能也没有什么影响。每一个攻击向量对公司造成的危害,发生的概率如何进行排序,解决它耗费的成本和带来的收益如何,都需要有专业经验来做支撑与决策。
现在简单介绍一下,黑客入侵教程里的经典流程(完整过程可以参考杀伤链模型):
入侵一个目标之前,黑客对该目标可能还不够了解,所以第一件事往往是“踩点”,也就是搜集信息,加深了解。比如,黑客需要知道,目标有哪些资产(域名、IP、服务),它们各自的状态如何,是否存在已知的漏洞,管理他们的人有谁(以及如何合法的管理的),存在哪些已知的泄漏信息(比如社工库里的密码等)......
一旦踩点完成,熟练的黑客就会针对各种资产的特性,酝酿和逐个验证“攻击向量”的可行性,下文列举了常见的攻击方式和防御建议。
所有的公共服务都是“高危服务”,因为该协议或者实现该协议的开源组件,可能存在已知的攻击方法(高级的攻击者甚至拥有对应的0day),只要你的价值足够高,黑客有足够的动力和资源去挖掘,那么当你把高危服务开启到互联网,面向所有人都打开的那一刻,就相当于为黑客打开了“大门”。
比如SSH、RDP这些运维管理相关的服务,是设计给管理员用的,只要知道密码/秘钥,任何人都能登录到服务器端,进而完成入侵。而黑客可能通过猜解密码(结合社工库的信息泄露、网盘检索或者暴力破解),获得凭据。事实上这类攻击由于过于常见,黑客早就做成了全自动化的全互联网扫描的蠕虫类工具,云上购买的一个主机如果设置了一个弱口令,往往在几分钟内就会感染蠕虫病毒,就是因为这类自动化的攻击者实在是太多了。
或许,你的密码设置得非常强壮,但是这并不是你可以把该服务继续暴露在互联网的理由,我们应该把这些端口限制好,只允许自己的IP(或者内部的堡垒主机)访问,彻底断掉黑客通过它入侵我们的可能。
与此类似的,MySQL、Redis、FTP、SMTP、MSSQL、Rsync等等,凡是自己用来管理服务器或者数据库、文件的服务,都不应该针对互联网无限制的开放。否则,蠕虫化的攻击工具会在短短几分钟内攻破我们的服务,甚至直接加密我们的数据,甚至要求我们支付比特币,进行敲诈勒索。
还有一些高危服务存在RCE漏洞(远程命令执行),只要端口开放,黑客就能利用现成的exploit,直接GetShell,完成入侵。
防御建议:针对每一个高危服务做入侵检测的成本较高,因为高危服务的具体所指非常的多,不一定存在通用的特征。所以,通过加固方式,收敛攻击入口性价比更高。禁止所有高危端口对互联网开放可能,这样能够减少90%以上的入侵概率。
随着高危端口的加固,黑客知识库里的攻击手法很多都会失效了。但是Web服务是现代互联网公司的主要服务形式,不可能都关掉。于是,基于PHP、Java、ASP、ASP.NET、Node、C写的CGI等等动态的Web服务漏洞,就变成了黑客入侵的最主要入口。
比如,利用上传功能直接上传一个WebShell,利用文件包含功能,直接引用执行一个远程的WebShell(或者代码),然后利用代码执行的功能,直接当作Shell的入口执行任意命令,解析一些图片、视频的服务,上传一个恶意的样本,触发解析库的漏洞......
Web服务下的应用安全是一个专门的领域,具体的攻防场景和对抗已经发展得非常成熟了。当然,由于它们都是由Web服务作为入口,所以入侵行为也会存在某种意义上的共性。相对而言,我们比较容易能够找到黑客GetShell和正常业务行为的一些区别。
针对Web服务的入侵痕迹检测,可以考虑采集WAF日志、Access Log、Auditd记录的系统调用,或者Shell指令,以及网络层面Response相关的数据,提炼出被攻击成功的特征,建议我们将主要的精力放在这些方面。
通过泄漏的工具包来看,早些年NSA是拥有直接攻击Apache、Nginx这些服务的0day武器的。这意味着对手很可能完全不用在乎我们的代码和服务写成什么样,拿0day一打,神不知鬼不觉就GetShell了。
但是对于入侵检测而言,这并不可怕:因为无论对手利用什么漏洞当入口,它所使用的Shellcode和之后的行为本身依然有共性。Apache存在0day漏洞被攻击,还是一个PHP页面存在低级的代码漏洞被利用,从入侵的行为上来看,说不定是完全一样的,入侵检测模型还可以通用。
所以,把精力聚焦在有黑客GetShell入口和之后的行为上,可能比关注漏洞入口更有价值。当然,具体的漏洞利用还是要实际跟进,然后验证其行为是否符合预期。
绝大多数APT报告里,黑客是先对人(办公终端)下手,比如发个钓鱼邮件,哄骗我们打开后,控制我们的PC,再进行长期的观察/翻阅,拿到我们的合法凭据后,再到内网漫游。所以这些报告,多数集中在描述黑客用的木马行为以及家族代码相似度上。而反APT的产品、解决方案,多数也是在办公终端的系统调用层面,用类似的方法,检验“免杀木马”的行为。
因此,EDR类的产品+邮件安全网关+办公网出口的行为审计+APT产品的沙箱等,联合起来,可以采集到对应的数据,并作出相似的入侵检测感知模型。而最重要的一点,是黑客喜欢关注内部的重要基础设施,包括但不限于AD域控、邮件服务器、密码管理系统、权限管理系统等,一旦拿下,就相当于成为了内网的“上帝”,可以为所欲为。所以对公司来说,重要基础设施要有针对性的攻防加固讨论,微软针对AD的攻防甚至还发过专门的加固白皮书。
本文大多数思路来自于公开资料,经过自己学习结合工作经验产出,如有错误可联系修改。
建了个群,有兴趣的师傅可以加一下。