在早些年,每个人都依赖于 SOC(包含防火墙,WAF,SIEM 等),并且建设 SOC 的优先级提供了安全性并且 CIA 得以保护。
然而,随着网络攻击的呈现,应答黑客行为变得越来越具备挑战性,现有的 SOC 将无奈为 CIA 提供更好的平安保障,SOC 故障的起因有很多,它只依赖于 SIEM。
许多网络安全公司或者团队置信,在 SIEM 中集成防火墙、路由器、AV(Anti-Virus)和 DB(数据库)平安解决方案等所有的安全设备以及相干的工具,这将为他们提供 100% 的数据安全。然而,这所有都失败了,因为 APT 攻打呈现了。
这些年来 APT 攻打曾经明确地显示出,在网络空间,组织应该施行 0 信赖进攻模式。
现有 SOC 失败的次要起因是,咱们把焦点次要放在了暴力破解、失败登录、HTTP 失败申请和恶意软件流传的案例上。
然而,咱们必须理解到,当防御者开始晋升时,攻击者也在以更强的形式进化着。
APT 攻击者正在一直地倒退和入侵咱们常常应用的应用程序,并在将来数年的工夫里不被发现。
APT 的产生
APT(AdvancedPersistence Threat),这些攻击者并不是个人身份,他们大多是组织或是国家(基于政治等起因),领有业余的团队。他们不是一般的专家,而是训练有素的专业人士,有可能闯入到任何零碎之中,并在局域网中畅通无阻,而且多少年都能够绳之以法。
即便你的防病毒软件也无奈检测到这些行为,因为它们不会编写恶意软件,只是利用理论的应用程序(如 PowerShell)并像真正的过程那样横向扩散。
APT 的次要流动是,横向扩散、长久化、创立 CnC 通道、仅利用 DNS 申请获取无效负载等等。
迄今为止记录的每一次 APT 攻打都具备在网络中流传的一种独特形式,它们高度依赖于凋谢的网络端口、未受爱护的网络区域、软弱的应用程序、网络共享等等。一旦它们入侵胜利,就会胡作非为地做任何想做的事了。
主动防御模式
对于任何古代网络攻击和 APT 攻打的进攻观点,就应该站在“对手”的角度来思考并建设相应的防御机制。
为了建设平安进攻模型,你应该理解对手的战术,他们是如何入侵的?它们是如何攻打的?它们是如何逃离的?
对于这些问题,Lock Martin 的网络屠戮链和 Mitre ATT&CK 能够更好地理解攻打。实际上就是,一个敌人是如何潜入到你的网络中的,以及他是如何平安地逃离的。还能够依据网络杀链的各个阶段,在现有的 SOC 中实现用例,这将为你提供无关网络攻击的新思路。
网络威逼情报
阻止 IOC 和 IP 并不能为你提供百分百的网络安全。最近的 APT 攻打曾经在很大水平上进行了演变,不仅应用了 DGA 算法,并且还常常扭转域名、应用 VPN 和 TOR 节点的 IP 地址源(DarkNet)、坑骗等形式。
据记录,到目前为止,因为恶意软件攻打、网络攻击、APT 和 TOR 等起因,寰球已有 500 万个 IP 地址被列入黑名单。
假如咱们曾经有了现成的 SOC,是否还有必要在 SIEM 中设置一个监督 500 万个 IP 黑名单的监督列表呢?换句话说,咱们须要阻止边界防火墙中黑名单上的 500 万个 IP 吗?
两者都属于进攻行动计划,而不是事件应答。
APT 攻击者正在利用各种技术,目标要彻底暗藏他们的痕迹,所以仅仅依赖于 IOC(IP、域名、哈希值、URL)就不再无效了。这时,你就应该思考 TTP(战术,技术和程序,有时也称为工具,技术和程序)。
这些 TTP 在收集对手们应用的操作系统和网络数据包的信息方面起着至关重要的作用,基于这些信息,以特定的通信形式或特定的“dll”或“exe”为案例构建用例,从而提供应答攻打的思路。
同时也须要 DarkNet 情报,因为大部分被盗的数据都会在黑市上发售的,要么是为了钱,要么是为了进一步的暗藏。
威逼情报,也提供寰球基于可用资源的威逼信息。许多 OEM 还提供各种威逼矩阵信息、应用的工具等等。
每天,你的情报团队不仅要收集无关 IOC 的信息,而且还必须争取取得无关新呈现的 IOA 和 IOE 的详细信息。
APT 攻击者在利用破绽方面训练有素。因而,咱们须要收集更多相干的信息,让破绽为我方所管制和爱护,并确保在被对方利用之前将其修复。
一个网络情报程序就是要揭示网络攻击者、攻打指标、攻打地点、攻打事件、攻打起因以及攻击方式。
策略和行为能够帮忙确定攻打的内容和形式,有时还能够确定攻打的地点和工夫。
网络威逼搜寻
在收集了信息之后,咱们必须进行搜寻。网络威逼搜寻是一种古代的方法学,其目标是要理解网络杀链或 Mitre 攻打,并搜寻未知的攻击方式。
当理解了局域网中产生了什么,那么你就能够间接进入事件响应了。
当你狐疑一个事件的时候,先在局域网中查找未知变量(APT),这时威逼搜寻就呈现了。威逼搜寻提供了对威逼向量的深入分析,你能够在事件产生之前放大事件的影响范畴。
在每一个平安组织中,都应成立威逼追究小组,并积极主动地追究可疑的事件,确保其不会成为安全事件或是黑客的攻击行为。
他们应该理解 APT 攻打的历史记录,并查看网络中的数据包。不要寻找已知的 IOC,只是剖析它们的流传办法。
到底要搜寻什么呢?–示例
- 搜寻网络信标
- 搜寻零碎外部权限降级
- 搜寻异样的 DNS 申请
- 搜寻异样的网络共享
- 搜寻网络嗅探
- 搜寻不匹配的 Windows 服务(父 / 子过程)
- 搜寻权限降级 - 拜访令牌操作
- 搜寻 UAC 被旁路设置
- 搜寻证书有效设置
- 搜寻 SMB 管道信标
- 搜寻荫蔽通道
- 搜寻 CnC 流量
- 搜寻暗影区
- 搜查可疑的网络隧道
同样,在局域网中搜寻也有几个条件。咱们能够利用 MitreATT&CK 框架技术,查看 APT 攻打的历史记录,并尽量对它们进行理解。
咱们能够将搜寻办法映射到框架中,而后查看一下能够实现的水平。
在入侵的工夫里,对手们会潜入你的网络中,嗅探每个区域、网络共享、数据库、网络协议、映射设置、路由表、薄弱点等。威逼搜寻会帮忙你找到任何网络攻击的横向扩散和继续流动行为。
事件响应
传统的事件响应提供了对事件(突发事件)的缓解和补救措施,而在事件产生之前,威逼搜寻提供了对任何可疑的或重大的事件的认知和缓解形式。
在任何 SOC 中都相对须要事件响应者以及响应团队,他们可能帮忙缓解以后所产生事件的重大水平,并有助于解决已有的破绽,这将能够捣毁攻打链,升高网络威逼的可能性。
IR 团队应确保 CIA 不被毁坏,并且数据没有被外泄。
事件响应团队还能够在其查看列表中部署网络杀链模型,并绘制攻打的路径。事件响应打算,能够通过形容如何最大水平地缩短安全事件的持续时间和缩小造成的损失、确定利益相关者、简化剖析、放慢复原工夫、缩小负面宣传报导,并最终晋升公司高管、所有者和股东的信念,以扩充企业的利益。
古代 SOC 与专业技能
正如大家所看到和经验过的各种 APT 攻打和古代网络间谍活动,咱们应该制订和创立一个更弱小的网络安全策略。
这个模型提供了应答网络攻击的思路,因而咱们须要一个领有多种技能的业余团队。
特定的技能包含威逼搜寻、开源威逼情报和 DarkNet 情报,被动事件处理程序和首先响应者、恶意软件研究者以及那些可能了解 Windows 架构和恶意软件行为的人。这些技能次要是为了爱护网络免受入侵和攻打。
论断
网络弹性是一种继续倒退的观点,正在迅速地取得宽泛认可。这个概念实质上是将信息安全、业务连续性和(组织)弹性等畛域联合在一起。
CyberSOC 模型的概念是将威逼 Intel、网络搜寻、应急响应和 SOC 整合在一起,为组织提供简单的平安构造阵列。这将更加有助于确定流动的优先级程序,还能够帮忙咱们轻松地进攻古代的网络攻击。该模型包含“自适应响应、剖析监控、坑骗、情报、多样性、动静定位、基于现有策略的特权限度、从新调整要害工作和非关键服务 / 服务器、事件相关性以及疾速响应”等要害因素。
它次要应答 APT 攻打的威逼,和提供对攻打及其潜在载体的深刻分析。
之前,“恶意软件”被归类为希图执行某些操作的脚本。然而,在一个 APT 或攻击者的 POV 中,他们很分明以后网络的防病毒能力及其防御机制。
因而,他们不太依赖于脚本或是恶意软件,而是利用现有的应用程序,在没有被发现的状况下进行横向扩散。网络威逼搜寻程序 POV,无论是个体利用,或是在任何客户端里,还是在一个组织中不受器重的软件,这些易受攻击的点对于 APT 攻打来说都是十分有价值的。在威逼搜寻程序的认知中,这些软件被视为恶意软件。
例如:除非服务器的 admin 用户须要,否则每个人都不能应用 PowerShell。因而,在客户端中如果不禁用 PowerShell 的话,这将是一个破绽,就很容易被攻击者所利用。
CyberSOC 模型对于每个模块的部署都有 5 局部,即“威逼情报”、“网络搜寻”、“SOC”、“事件响应”和“杀链模型”。
这 5 个局部是 CyberSOC 的支柱,它们能够依据组织策略独自进行保护或应用。然而,当呈现可疑事件的时候,所有的信息都应该进行逻辑同步,并无效地利用每个模块。