书接上文,《网络安全攻防演练风云》专栏之 攻防演练之-动员大会,这里。
动员大会结束后,王工把小白,Nick,刘总,亮哥等十个人召集起来,准备为大家介绍甲方的一些情况。虽然大家这次攻防演练的任务各不相同,但是甲方给所有的参与方的任务和目标是一致的,是尽可能的提交溯源报告给到裁判组,尽可能的为甲方多的分,快速处置,尽可能少失分。
Nick的任务是体现出安服的价值,尽可能多的出具溯源报告,毕竟甲方请他们出场是项目制,付了真金白银的。亮哥的任务是实战检验自己所负责的安全产品,为后续的迭代改进积累经验。王工和刘总一方面配合安服,为安服尽可能的提供帮助,另一方面希望自己所负责的产品能够在溯源报告中体现出价值,为后续的增购提供帮助。至于小白,任务最轻松,充一下人数,顺便见见世面,提前体验下职场,了解下甲方。
因此在动员大会结束后,王工第一时间把大家召集到了他的座位附近,首要任务是为大家介绍甲方所使用的安全设备。大家都是初到甲方,但对于即将开始的讲解,他们依然充满了期待。王工在甲方长期驻场,对各种安全产品了如指掌,他的讲解将为大家在接下来的演习中提供重要的帮助。
王工打开电脑,屏幕上显示出一张甲方安全产品的全景图。“今天,我给大家介绍一下攻防演练过程中经常使用到的安全产品,主要包括EDR,NDR,SIEM,威胁情报,SAOR,XDR,邮件网关,云沙箱,防火墙等”。
EDR
“首先,我们来看一下EDR,也就是终端检测与响应。甲方所采用的EDR是国内某知名公司的产品”,王工打开了一张EDR的介绍页面,屏幕上显示了详细的功能和架构图。
“EDR是做什么?”小白问道。
“EDR主要用于监控和保护终端设备,通过agent的方式安装在PC,服务器,云桌面等多种设备上,覆盖的操作系统包括windows,linux,MACOS等,EDR是由防病毒软件演化而来。在网络安全发展初期阶段,反病毒软件通过黑白名单,启发式规则等手段解决了已知病毒的防护问题。但是攻防两端的较量愈演愈烈,一方面病毒变种以及绕过的手段不断地出现,另一方面,离地攻击借助操作系统自带的功能逐渐流行。为了应对已知病毒的变种以及未知病毒的攻击,反病毒软件逐步进化到利用威胁情报以及AI等进行本地和云检测的方式。为了应对离地攻击,在反病毒的基础上增加了基于行为的检测能力,例如检测进程,网络,注册表等行为”。王工解释道,“它能够实时监控终端设备上的活动,一旦发现可疑行为,立刻进行告警。比如,如果某个设备上出现了异常的文件访问或者进程活动,EDR会立即发出警报。每一个安全厂商自身优势的不同,导致了,EDR的则重点会不一样,EDR主要的功能包括检测能力,支持的平台,数据采集能力,取证能力,威胁狩猎能力。对于传统的反病毒厂商的EDR来说,病毒的检测能力以及行为的检测能力都是他们的强项,毕竟他们对于样本的研究是具备领先优势的。比如国际上的MS defender,由于其强大的样本积累能力,因此在检测这一块,很少厂商可以其正面PK。但是EDR不仅要支持windows系统,还要支持Linux,MACOS,这也是一项核心指标,在这块很多其他厂商要比MS defender做得更好。除此之外EDR的数据采集能力也是非常重要的,对于进程,网络,注册表,文件,URL浏览记录等数据粒度的采集目前是各大厂商PK的关键,毕竟谁能够帮助安全分析师在分析的过程中找到关键证据,谁将得到安全社区的好评。除此在外,在实际的数字取证的过程中,EDR是否具备丰富的取证能力,包括文件的取证,内存的取证,应用软件的取证也是被应急响应和数字取证人员所看重的。实际使用过程中,对于企业来说,威胁狩猎的能力是极为关键的,但是目前国内这块的生态并没有形成。导致虽然很多的产品声称具备了威胁狩猎能力,但是缺乏实战检验。”
小白点点头:“那具体是怎么响应的呢?”
“自动化的响应机制包括隔离受感染的设备、终止恶意进程、删除恶意文件,这块主要针对的是已知的病毒感染,对于未知的病毒感染和行为检测,主要依靠SOC,以及企业内部的安全人员分析定性之后,手动的进行处置。”王工补充道。
“Nick总经常参与重保之类的演练,对此应该非常熟悉。其他的兄弟们可以利用今天的时间简单熟悉下该款产品,不同厂商之间EDR的原理还是相同的”。
“是的,EDR在攻防演练的过程中作用非常大。”Nick赞同道。
NDR
接着,王工打开了NDR(Network Detection and Response,网络检测与响应)的介绍页面。
“NDR,网络检测与响应,是我们攻防演练络环境的重要工具。”王工继续讲解,“它主要用于监控和分析网络流量,通过分析网络流量中的数据包,可以发现异常的通信行为,比如异常的大量数据传输、不正常的端口访问等。”
“这和EDR有什么不同?”小白问道。
“EDR是针对终端设备的,需要在每个端点上安装对应的agent,也就是探针,而NDR是针对整个网络的,不需要在终端安装软件,只需要在网络出口处或者核心交换机的位置配置流量镜像到对应的设备即可。实际上和EDR类似,NDR也是随着攻防对抗的愈演愈烈逐步发展而来的。最开始流量侧的防火墙只能做一些传输层基本的流量控制,后来发展出IPS能够检测应用层的攻击威胁,在之后的IDS是应对不断变种的网络攻击采用的告警而非阻断模式,在之后再NTA走的是网络流量日志记录的能力,最后firewall/IPS/IDS/NTA 的一些能力的融合,促成了今天的NDR的形态。实际上由于各个企业历史架构的负担,各种遗留设备不可能一次性被替换。目前firewall融了IPS的能力,形成了7层防火墙,而且防火墙的地位短期内无法动摇。目前的NDR更多的是IDS和NTA能力的融合,简单的说就是传统的网络攻击检测能力,加上全流量数据包和日志记录能力,加上网络侧的威胁分析和狩猎能力。和EDR的演进轨迹类似,为了应对已知攻击的变化以及未知攻击的出现,基于特征的检测机制已经无法适应当前网络环境的攻防要求,利用威胁情报,异常检测,统计检测,AI等新技术的是目前各个厂商在这一块的卖点。 ”王工解释道,“NDR覆盖范围更广,能够监控整个网络中的所有活动。它们相辅相成,共同构成了我们多层次的防护体系。”
小白点点头:“有了EDR为什么还需要NDR?
“总的来说,EDR解决不了所有的问题。举几个例子,作为终端的agent首先是个软件,则存在着被关闭绕过,日志存在着被篡改的可能性,但是网络流量不会,作为被动的离线模式,网络流量只是默默记录着一起,网络流量不会撒谎。其次企业网络存在大量的设备无法安装agent 的情况,比如一些稳定性要求比较高的设备,OT设备,容器等等,这种情况下只能依赖网络侧。再次企业中还存在着大量没法有效管理的设备,包括测试用的服务器,影子设备等等。最后终端则对于网络攻击是没法详尽的记录的,例如网络攻击的payload在目前的终端设备中是不可见的。基于这些原因,NDR还是具备非常大的用武之地的”。王工顿了顿继续说:“当然网络流量的加密降低了网络侧的可见性,但是企业解密手段的应用,基于加密的检测手段,和其他设备的联动,比如WAF的联动,云API的调用有效的缓解了网络侧可见性的进一步降低。当然对于现在企业安全来说,NDR主要负责安全广度的检测,EDR主要负责安全深度的检测,都有其存在价值。”
SIEM
王工接着展示了SIEM(Security Information and Event Management,安全信息与事件管理)系统的介绍页面。
“SIEM是我们整个安全防护体系的中枢。”王工说道,“它能够收集、存储、分析来自不同安全设备和系统的日志和事件数据。通过统一的管理界面,SIEM能够提供全局的安全态势感知,让我们及时发现和应对各种安全事件。”
“它的优势是什么?”亮哥问道。
“最大的优势在于它的整合能力和分析能力。”王工回答道,“SIEM能够把来自不同设备,不同系统的数据进行整合。包括EDR以及NDR的告警数据,服务器的日志,负载以及代理的日志,操作系统的审计日志,OT等特殊系统的日志等。SIEM 就是一个大数据系统,在一个大型企业里面,数据量是非常大的,SIEM能够在本地对这些数据做到快速的存储以及检索,是安全分析师最常用的平台之一。由于来自EDR和NDR收集的数据量比较的庞大,很多的企业出于成本的考虑,只会把EDR以及NDR的和告警相关的数据同步到SIEM系统,而像NDR的transaction log以及EDR的遥测数据往往由各自的平台分别管理。因此在诸多的大型企业目前形成了EDR,NDR,SIEM等系统并存的现状,处于成本以及技术的考虑,SIEM目前无法对于EDR以及NDR的数据做到统一管理。当然最大的阻碍还在于传统的SIEM的定位更多的是安全日志和事件的管理,SIEM的安全分析能力是偏弱的。虽然现在很多的SIEM也是支持编写SIEM的规则以及支持威胁情报的feed,例如Sigma的规则对于汇聚来的日志做二次的检测。因为除了EDR和NDR外,其他的日志本身不具备检测和告警的能力。但是SIEM并不具备将告警与攻击者多个关联上下文进行分析综合的能力。因此目前的SIEM在我看来主要做了两件事,一个是EDR以及NDR之外日志内容的存储检索,二是针对这些日志提供了检测的机会。因此最近几年比较火的XDR实际上是在综合EDR以及NDR,做了SIEM无法覆盖的领域,即NDR以及EDR遥测数据汇集以及告警上下文丰富的关联分析。因此很多人认为XDR是SIEM的新瓶装旧酒其实是不准确的,其作用的领域是不一样的。“
其中一个安服问到,“目前甲方的威胁情报是什么情况?”
威胁情报
接着,王工展示了威胁情报系统的介绍页面。
“威胁情报系统是我们获取外部威胁信息的重要来源,在历次的攻防演练中起到巨大的作用,这点Nick总应该深有体会”。王工说道,“它能够提供关于最新威胁、攻击手法和恶意软件的信息,帮助我们及时更新防护策略。通过整合内部和外部的威胁情报,我们能够更全面地了解当前的安全态势。”
“威胁情报是什么?”小白问道。
“威胁情报其实就是关于攻击者,攻击手段的信息表示形式,通常分成三个层次。战略级威胁情报,主要描述的是威胁组织,例如APT,勒索团伙等组织,一种比较high level 的内容,主要以安全研究机构提供的威胁情报报告为主。例如世界上最著名的威胁情报供应商mandiant就会经常发布此类的报告。作战威胁情报,这一类的威胁情报要比战略级威胁情报要具体些,比如ATT&CK 矩阵中所提到的TTP都属于这一类的威胁情报。通过对于TTP,即攻击者使用的工具,技术,过程的了解,应急响应团队和威胁狩猎人员可以根据TTP编写对应的检测和狩猎规则。战术情报大家最为熟悉,就是我们通常说的IOC,常见的包括IP,domain ,URL ,文件,注册表,进程等特征表示,描述的是攻击者的基础设施,能够明显映射到该攻击者的特征,这一类是应用最为广泛的威胁情报。”
“威胁情报在甲方是如何落地的?”亮哥问道。
这个我可以补充下,Nick结果话语,“通过IOC的共享,不同的参与攻防演练的队伍可以共享情报信息,在不同的甲方中通过全流量以及EDR进行搜索,在多次的供方演练过程中,通过IP的共享,帮助我们发现很多检测规则无法检测到的攻击,贡献了不少的溯源报告,够起到意想不到的作用。”
“除了Nick总的use case之外,目前甲方的威胁情报落地主要指的是外部情报,受限于团队的网络安全成熟度,内生情报并没有实质的进展。
”王工接着说道,“常规上甲方这边将威胁情报系统与其他安全工具结合使用。首先将购买的多家威胁情报的数据源进行整合,建立起一整套的威胁情报生命周期和打分流程,将威胁情报分成用于检测的威胁情报和用于威胁狩猎的威胁情报。然后将用于检测的威胁情报导入SIEM,EDR,NDR系统,将这些遥测数据和威胁情报进行碰撞告警。至于用于威胁狩猎的IOC,以及战术类和战略类的威胁情报,目前甲方的网络安全成熟度还达不到,因此还没有落地。说起来,近年来威胁情报开始热了起来,甲方也是付了大量的资金来购买威胁情报,但是整体使用效率不够高。”
“甲方都是躺着把钱挣了,这点钱都只是小钱”,刘总笑呵呵的说到。
“目前威胁情报领域国内做的最好的是D公司,以威胁情报驱动应急响应也是这几年一个比较新的概念。D公司以高质量威胁情报为抓手,在甲方企业推进他们的产品战略目前效果还是不错的。”
SAOR,XDR,邮件网关,云沙箱,防火墙详见下文分解。
本故事中人物角色和故事情节纯属虚构,如有雷同,纯属巧合。
本文为CSDN村中少年原创文章,未经允许不得转载,博主链接这里。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
