高級威脅分析在安全運營中的應用
在安全運營中,安全工程師和安全數據分析師如何面對未知和高級威脅的挑戰? 高級威脅分析如何輔以威脅情報完善安全事件分析?
在現有的企業安全運營環節中,由於各種各樣的因素,往往存在著這種問題:
1)攻擊的目的不明確:攻擊者攻擊我們的目的是什麼?比如DDoS,是要把我們的伺服器打癱瘓么?還是說有著其他的目的?
2)安全運營中心(簡稱SOC)的建設原因:由於SOC建設的不完善等情況,SOC的安全工程師把大部分精力放到了針對事件的應急響應上來,而非實現理想情況中SOC對於安全事件的「兩線作戰」——一線注重於應急響應和攻防對抗,二線則側重事件分析和日常監控。
3)安全盲區的客觀存在:在企業安全建設的過程中,盲區是客觀存在的。我們把常見的網路安全威脅和攻擊手法以感知度為橫軸、危害程度為縱軸來做成一個平面圖,可以得到下面的結果:
圖1-1 常見的安全威脅描述圖
我們可以從這張圖片上看到,企業現有的安全運營手段和方法可以監測並發現一些常見的威脅,但是我們都知道,今年爆發了一系列的足以改變網路安全行業發展趨勢的安全事件。諸如4月份NSA武器庫泄露和5月份WannaCry蠕蟲肆虐全球,我們可以看到一種趨勢,那就是對於威脅情報數據的引入,可以增強我們態勢感知的能力,減少從事件披露到影響的時間差,提高我們解決安全問題的能力。但是需要注意的是,威脅情報數據的引入 並不能完全消滅安全運營的盲區,因為威脅情報數據的來源具有滯後性 的特點,所以,不可能完全覆蓋到類似APT這種隱蔽性很強而且危害很大的攻擊。話雖如此,但是引入威脅情報,尤其是商業化的高級威脅情報仍然可以一定程度上減少安全運營環節對於攻擊的誤判,增強態勢感知的能力。以下我會通過兩個真實的信息安全事件,來說明高級威脅分析和威脅情報如何在日常安全運營工作中起到明顯的作用。
案例一
某企業撞庫事件分析:
事件概述:
某企業的客服收到用戶的反饋說自己的賬戶存在異常登陸的行為並且成功登錄,客服部門第一時間把這個情況反饋給了企業的SOC,SOC通過相關事件的調查取證認定這是一起撞庫事件。
事件分析:
SOC首先調取了事件發生前後的一段時間的日誌進行分析與審計,調取的日誌內容包含所發生問題的認證日誌、伺服器操作日誌、攻擊事件日誌等與安全相關的日誌。通過分析發現,被攻擊的伺服器確實遭受撞庫的行為且統計得出撞庫成功率在30%,同時發現了一些存在可疑行為的IP地址並對其進行了封禁。
圖1-2 SOC對於事件的分析
SOC使用鑽石模型分析法,目標是企業客戶並且使用大量肉雞伺服器對該企業發起惡意撞庫行為的攻擊。但是這個時候SOC的分析存在以下疑問:
攻擊者出於什麼樣的目的攻擊我們?
攻擊者撞庫所使用的數據源是從什麼地方來的?
30%的成功率是否太高了?
但是SOC通過內部的日誌並沒有發現資料庫被泄露的痕迹,於是他們帶著這些疑問找到了我方的安全分析師。
首先根據我們的經驗來看,30%這個碰撞成功率就撞庫這種本質是暴力破解的攻擊來講,確實高的不正常。於是我們去把該企業提供給我們的攻擊數據和攻擊向量進行了分析和攻擊溯源,我們發現兩周前,該攻擊者製作了一個與該企業某業務系統系統很類似的釣魚頁面。
圖1-3 溯源得到的釣魚頁面
安全分析師推測,數據源可能是由於該釣魚頁面竊取了部分賬戶的用戶名和密碼從而實現了對用戶名密碼的採集,同時我們發現了該頁面的傳播方式很可能是通過簡訊偽基站分發釣魚簡訊的方式來對用戶進行釣魚。但是這個時候還有另外的一個未解問題:為什麼該客戶會成為這個攻擊者的目標,於是我們對這個攻擊者的歷史行為繼續進行溯源發現,該攻擊者對目標企業曾經發起過一次規模不大的DDoS攻擊。
圖1-4 DDoS Mon上檢測到的DDoS攻擊
安全分析師通過和企業SOC的工程師經過反覆確認之後,也證明了這一次攻擊的真實性,並且據工程師回憶,該企業服務還因此中斷了幾秒鐘時間。安全分析師推測,這次DDoS攻擊很有可能是企業成為目標的前奏。根據360威脅情報中心提供的數據顯示,絕大部分DDoS攻擊都存在量小、持續時間短等特點,這顯然與DDoS攻擊的本質——拒絕服務相差甚遠甚至背離其拒絕服務的本質,小流量DDoS也是令國內外安全專家困惑的攻擊類型。
通過對該攻擊者更進一步的溯源發現:攻擊者的挑選目標和攻擊手段的步驟為:
通過小流量短時間DDoS攻擊測試目標系統的安全響應時間和反應速度,評估其SOC的素質
製作針對性的釣魚網站騙取這些SOC能力較弱企業的用戶認證信息
對該企業進行撞庫,獲取利潤
圖1-5 針對攻擊者的分析過程
通過對該攻擊者的進一步調查,我們最終確認這是一個具備一定規模的黑產團隊,並且具備一定的技術能力。
圖1-6 360威脅情報中心可視化分析圖
案例二
某企業簡訊平台事件分析:
事件概述:
某企業的客服收到用戶的反饋說自己的手機收到了該企業發來的驗證碼簡訊,但是客戶並沒有辦理任何需要驗證碼相關的業務,客服部門第一時間把這個情況反饋給了企業的SOC,SOC通過調查和分析後發現是攻擊的介面沒有進行人機驗證,遂督促產品部門進行修復。修復完成後一段時間,運維部門發現伺服器佔用率較大,並且請求URL類似,通過與SOC部門的配合,認為遭受到了CC/DDoS攻擊。
事件分析:
SOC的工程師通過對出現嚴重資源佔用的伺服器和與之相關的伺服器進行了Web日誌分析和審計,並且通過對IDS/WAF的日誌進行分析。SOC從Web日誌中發現同一個IP地址發起了多次請求,並且這樣的IP數量有2000左右,由於該公司是一個互聯網企業,所以不會出現這種大批量註冊的行為。由於該SOC素質較高,同時存在使用OTX(OpenThreat Exchange安全威脅數據數據交換)安全威脅情報的能力,SOC發現有20% 的IP地址被標記為惡意的IP,同時被標記為DDoS源,所以認定該事件為對伺服器的CC/DDoS事件。
圖1-7 SOC對於事件的分析
SOC通過和各部門的溝通,最終確定了封堵IP的方案,建議按照請求量和頻率進行封堵IP。但是一段時間後發現,伺服器資源並沒有因此而下降,而且封禁的IP過多已經導致了影響正常業務的運行。於是SOC便將此事件報告到了專業的安全分析師。
安全分析師看過SOC的分析報告後,首先有以下的幾個疑點:
為什麼只有20% 的IP被標記為肉雞
為什麼封禁IP的手段會失效
帶著這些問題,安全分析師對該事件產生的攻擊向量和IP地址進行了分析,通過分析發現,IP的數據確實為20% 是被標記肉雞數據,80% 為正常的ADSL接入數據和動態IP配置,也就是剩下的80%均為終端用戶,而非IDC。安全分析師通過使用商業化的威脅情報數據對這些IP地址和請求進行了分析,發現這些IP地址裡面有75% 的IP地址使用一種名為轟炸機的Android應用程序。這種工具的原理是:通過對網路上使用驗證碼的系統的分析,會找到一些不用驗證碼只需要對特定URL請求的伺服器,直接大批量請求這些URL即可獲取驗證碼,如果把這些驗證碼的手機目標替換為想要整蠱的對象的手機號碼,即可讓該對象收到大量的簡訊驗證碼,從而達到整人的目的。
圖1-8 攻擊者所使用的工具
通過對攻擊者的分析,SOC承認了之前對攻擊行為的誤判,於是敦促產品團隊進行了二次修復,同時啟用了備用的簡訊平台伺服器,等待工具製作者更新介面時將該企業的介面移除。
圖1-9 對該事件的威脅分析
總結
上面的兩個案例很好的說明了高級威脅分析搭配威脅情報的組合拳可以更有效和準確的檢測和對抗來自於互聯網的攻擊,同時也能更好地去識別類似於案例一中真實的高級威脅和類似於案例二中具備攻擊假象的產品漏洞利用。往往不太可能是攻擊的行為往往可能是高級威脅的前奏,看似是攻擊的行為往往可能只是某些業務邏輯漏洞的利用。利用儘可能多的安全數據來源去減小安全運營中的盲區是未來安全運營需要解決的問題。
由於安全行業的發展和企業對於安全越來越多的訴求,近兩年安全行業的發展逐漸從人+技術的技術驅動安全發展慢慢的過渡到了人+數據的數據驅動安全發展,特別是近期比較火的威脅情報、用戶實體行為分析(UEBA)、互聯網攻擊溯源等都是人+數據驅動安全發展的里程碑,安全行業需要越來越多的懂安全的數據分析人員加入來一同築造企業安全的防線。
作者簡介
李中文,360企業安全集團觀星實驗室高級安全研究員,i春秋安全課程講師,DEFCON GROUP會議演講者,研究方向為互聯網攻擊溯源和威脅情報的應用,曾參與WannaCry和Petya事件的安全應急響應工作,同時協助某大型電商網站的安全團隊在618中完成了對流量劫持源的溯源工作,擁有豐富的應急響應和安全事件追蹤分析經驗。
TAG:360企業安全 |