最近互联网安全事件频出,因此公司也新上了一些安全防护产品,上周刚刚部署完WAD,目前还是试用阶段,也来说说感受。
WAD 全称WEB-APT-DEFENCE,中文名称“WEB高级威胁感知”。官网地址http://xi.baidu.com
1、原理
其原理是通过旁路分析网站流量,使用先进的威胁感知以及异常检测模型,及时发现已经发生、正在发生以及将要发生的针对核心web业务的后门、远程控制、拖库和敏感文件泄露攻击等攻击,而且不局限于已知风险,更能深度挖掘隐秘的web-apt攻击及未知风险,从而保护企业互联网业务。
优势:相对于传统安全设备,其优势在于互联网化的精准、智能和易用,黑产常用的拖库、webshell做的比较精深。
以上内容源自官网介绍,那么具体的情况如何,下面我们来上手感受一下。
2、功能介绍
2.1部署
目前WAD的服务还属于收费服务,公司购买了后,需要旁路部署WAD的节点,可以是物理主机也可以是虚拟机或者云主机,这都不重要,重要的是旁路部署不影响正常业务运行,只需要在交换机做一个全流量的镜像就好,部署相对比较简单。
部署好后,经过一段时间(看流量大小,一般30min左右)的流量分析,就可以看到风险监测结果了,不过一般没有攻击的情况居多。由于我们已经部署了一周多,所以数据还是有一些,下面就让我们来看看WAD都能干点啥。
登陆WAD后,我们可以看到整个页面比较“技术风”,蓝色主题,卡片式设计,功能分类也比较清晰,整个功能分为五个大模块,分别是:总览、威胁、弱点、情报、资产,下面我们来具体看一下。
2.1总览
WAD总览主要展现WEB威胁感知模块的特有能力和安全数据。
包含威胁感知总览和攻击来源排行(TOP10)报表。
威胁感知总览:
- 威胁数:发现的总的攻击次数,包含成功数和失败数;
- 告警数:威胁攻击中结果为成功的攻击数量;
- 弱点数:发现的资产漏洞及风险项数量;
攻击来源排行(TOP10):
- 攻击来源分布:攻击来源IP、地理位置以及攻击次数信息;
- 攻击者IP:点击可查看此攻击IP的详细信息(情报页面);
从上面的图上可以看出,最近这一周攻击还是不少的,平均每天检测到的威胁数(攻击)大概在20左右,但告警数却很少,平均也就每天一个。这点还是不得不赞一下的,以往的安全产品每天的告警数量十几二十几,短信不停地响,但实际的情况可能也没那么严重,有些只是扫描器无目的的乱扫,这样的报警实际上是我们安全运维人员不需要重点care的。
通过这几天的威胁报警,我们发现WAD其实只针对有入侵行为并且已经构成损失的情况报警,这个还是很有效率的。
总体看这块报表的数量比较少,内容上还是主要关注“威胁”和“溯源”的属性,当然这也符合WAD攻击溯源的价值理念。
2.2威胁
威胁页面这里就是展示刚刚报表看到的实际攻击情况,但此处为聚合后的数据(专门询问了对方技术,这里是对整个攻击链进行了整合,方便查看整个攻击过程),同时可以对具体的攻击进行溯源。
说说具体的功能:
- 可按照攻击结果、攻击来源或攻击目标、攻击类型进行过滤;
- 可进行攻击溯源:查看整条攻击链;
- 可导出原始的攻击数据,供进一步分析;
我们来看两个实例,我单独过滤了针对我们CMS系统攻击成功的事件,可以看到黑客进行了多次攻击,且攻击手段也不唯一,有远程命令执行,有SQL注入,还有WEBSHELL,天啦噜~(当然这些我们都已经处理过了)
我们看看具体的攻击情况:
点击“攻击溯源”我们可以到具体的攻击行为
2017-01-06 10:37:55 黑客访问了一个页面文件 /help/eval.php 成功(访问到了么?)
2017-01-06 10:44:01 黑客访问了一个WEBSHELL /help/left_pane.php,结果是成功(返回了啥?)
2017-01-06 15:29:03 黑客对id字段进行了 union select 注入“UNION SELECT PASSWORD FROMSYS_ALL_TALBES”,但结果没成功
看来黑客上午通过webshell 分析发现了一些有用的信息,进而下午又尝试SQL注入的方式获得数据。
上面这些还是攻击行为的描述,没有攻击细节,这时候WAD还提供了另一种方式查看细节,那就是“攻击详情”,我们一起来看看,黑客都做了什么:
在详情页我们可以看到黑客具体的攻击行为细节,包括发的什么结构的包,获得的什么返回结果,非常清晰
通过这里可以到具体的POST参数和返回的结果,整个内容还是非常详细的。也就解释了上面的提到的问题。
另外:webshell的返回也非常清晰(14.04.1-Ubuntu SMP Fri Jan 2215:32:26 UTC 2016 x86_64),还好这个CMS只是一个蜜罐系统,影响不大。
从上面的分析看,整个溯源过程还是比较清晰的,细节也记录的非常完善,对我们查找问题,分析攻击过程非常有价值。
2.3弱点
除了威胁溯源分析外,WAD还有一个弱点模块,看了下主要是WAD在业务流量中感知的漏洞情况,同时也提供相应的修复方案。
同时这里也支持按照资产(URL)过滤查询。
修复建议这块主要显示了存在漏洞的URL位置,还包括了在流量中检测到的攻击特征。这点比较好的是,如果这个漏洞和业务切入很深,那么整个问题点看起来就更清晰,根据具体业务的修改也就越具有参考价值。
关于最后给出的修复建议这里得吐槽下,看了几个漏洞修复建议,基本上都是一些通用的修复方法,没有太贴合具体的攻击场景业务(其实流量中已经有了这个数据,可以给出来到底是哪个函数出的问题,安全的写法是什么样的),指导价值比较低。
另外,这里如果能有一些漏洞补丁就好了,eg:某个漏洞的官方补丁或具体修复方案。
2.4情报
情报模块主要用于攻击IP的画像查询,可以查询到IP的地理位置、所属IDC、是否为代理以及是否为VPN等信息。
其实这个功能用起来有点鸡肋,基本上用处不大,因为常规的信息在网上已经有了,并没有提供更多有价值的信息,eg:是否有历史攻击行为、是否为肉鸡等等,和现在一些厂商的威胁情报比起来只能算是一个IP查询小工具。
2.5资产
这里是在流量分析过程中发现的资产,包含域名和IP。WAD不光可以识别出资产的类型(eg:IIS/APACHE等)还可以识别出资产的风险内容,这点还是比较好的,知道了漏洞自然主动修复的概率会高,也会降低整体的风险。
总结
优点
通过这几天的试用,总体效果还是不错的,尤其是其攻击检测和溯源的能力。经过我们部门同学的分析,有部分攻击事件在我们公司的WAF上没有发现,但WAD却发现了。通过对应的攻击溯源也分析出了黑客的攻击过程和可能造成的威胁,效果还是令人满意的。另外,告警还是值得表扬的,基本上告警都是比较准确的,而且经过了过滤,只告警有实际威胁的内容。
上午的时候还就这个溯源的能力和厂商做了沟通,表示现在WAD的分析数据已经可以作为公安部对信息犯罪的可信判定依据,以后“抓人”也有凭有据了。
说说不足
WAD算是主要定位攻击感知和溯源,但是缺少动作能力,对发现的问题目前还只能告警,这个还得依赖于我们自己的应急能力,有时候这样会比较被动,毕竟有的时候威胁还是发生在晚上,运维起来比较不方便。
其他方面也就是上面具体模块说的,eg,情报能力不足、弱点修复可执行性不高等。
总之,WAD这款产品还是比较实在的,攻击溯源也比较好用,对于已经部署有基础防护设备(FW/WAF等)的企业可以考虑部署,发现一些更深入的安全问题。
WAD(web高级威胁感知与攻击溯源)通过旁路分析网站流量,及时发现已经发生、正在发生以及将要发生的已知以及未知的攻击,保护企业互联网业务。核心竞争力为有别于传统安全设备的互联网化的精准、智能、易用。使用先进的威胁感知以及异常检测,及时发现针对核心web业务的后门、远程控制、拖库和敏感文件泄露,挖掘深度隐秘的web-apt攻击。
WAD(web高级威胁感知与攻击溯源)通过旁路分析网站流量,及时发现已经发生、正在发生以及将要发生的已知以及未知的攻击,保护企业互联网业务。核心竞争力为有别于传统安全设备的互联网化的精准、智能、易用。使用先进的威胁感知以及异常检测,及时发现针对核心web业务的后门、远程控制、拖库和敏感文件泄露,挖掘深度隐秘的web-apt攻击。
扫一扫
14万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
